Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

תמיכה במפתחות CMEK

כברירת מחדל, תוכן של לקוחות מוצפן במצב מנוחה ב-Google Cloud Observability. ‫Google Cloud Observability מטפל בהצפנה בשבילכם בלי שתצטרכו לבצע פעולות נוספות. האפשרות הזו נקראת הצפנת ברירת המחדל של Google.

אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים עם CMEK, כולל Google Cloud Observability. שימוש במפתחות Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. בנוסף, באמצעות Cloud KMS תוכלו לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של מפתחות ההצפנה של המפתחות (KEK) הסימטריים שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.

אחרי שמגדירים את המשאבים עם מפתחות CMEK, חוויית הגישה למשאבי Google Cloud Observability דומה לשימוש בהצפנת ברירת המחדל של Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).

ב-Google Cloud Observability אפשר להשתמש במפתחות CMEK כדי להצפין נתונים שמאוחסנים בקטגוריות של נתונים שניתן לצפות בהם. הקטגוריות האלה מאחסנות את נתוני העקבות. במאמר הזה מפורטים כללי המדיניות הנתמכים בארגון, מוצגות הגדרות ברירת המחדל של מאגרי נתונים של יכולת צפייה, ומוסבר איך כללי המדיניות בארגון והגדרות ברירת המחדל פועלים יחד.

המסמך הזה לא רלוונטי ל-Cloud Logging, שבו אפשר להצפין נתונים שמאוחסנים בדלי יומנים באמצעות CMEK. מידע נוסף זמין במאמר בנושא הגדרת מפתחות CMEK ל-Cloud Logging.

אילוצים נתמכים של מדיניות הארגון

כדי לקבוע איפה ייצרו את מאגרי הנתונים של יכולת הצפייה ומי ינהל את מפתחות ההצפנה של מאגרי הנתונים האלה, כדאי להגדיר את המדיניות הארגונית הבאה:

מדיניות עם מזהה אילוץ constraints/gcp.resourceLocations. המדיניות הזו מגדירה את קבוצת המיקומים שבהם אפשר ליצור משאבים חדשים. כדי להשתמש בקטגוריות של נתוני תצפית, קבוצת המיקומים הזו צריכה לכלול לפחות מיקום אחד נתמך של קטגוריות נתוני תצפית.
מדיניות Deny עם מזהה האילוץ constraints/gcp.restrictNonCmekServices. המדיניות הזו מחייבת להצפין משאבים חדשים באמצעות CMEK.
מדיניות עם מזהה האילוץ constraints/gcp.restrictCmekCryptoKeyProjects. המדיניות הזו מגבילה את המפתחות של Cloud Key Management Service שמשמשים להצפנה.

אפשר ליצור מדיניות ארגונית שחלה ברמת הארגון, התיקייה או הפרויקט. מידע נוסף זמין במאמר בנושא יצירה ועריכה של כללי מדיניות.

מידע על הגדרות ברירת מחדל של מאגרי נתונים של יכולת צפייה

ב-Google Cloud Observability יש הגדרות ברירת מחדל לקטגוריות של נתונים שניתן לצפייה בהם, והן חלות על פרויקט, תיקייה או ארגון. הגדרות ברירת המחדל האלה פועלות יחד עם מדיניות הארגון כדי לוודא שמאגרי נתונים חדשים של יכולת התבוננות נמצאים במיקום המועדף ומשתמשים במודל ההצפנה שצוין.

בארגונים, בתיקיות ובפרויקטים, הגדרות ברירת המחדל של מאגרי נתונים של יכולת תצפית מאפשרות לכם להגדיר את הפרטים הבאים:

מיקום אחסון שמוגדר כברירת מחדל.
לכל מיקום, מפתח ברירת מחדל של Cloud Key Management Service.

כשמגדירים את ההגדרות האלה לפרויקט, הן חלות רק על קטגוריות חדשות של נתונים שנוצרו בפרויקט הזה. כשמגדירים את ההגדרות האלה לתיקייה או לארגון, הן חלות על מאגרי נתונים חדשים של נתוני Observability שנוצרים בפרויקטים שהם צאצאים של התיקייה או הארגון, למעט פרויקטים שבהם הגדרתם הגדרות ברירת מחדל.

מידע נוסף זמין במאמר בנושא הגדרת ברירות מחדל לקטגוריות של נתונים שניתנים לצפייה.

איך מדיניות הארגון והגדרות ברירת המחדל פועלות יחד

ההורה של קטגוריית נתונים של יכולת צפייה חייב להיות פרויקט. כלומר, המערכת לא יכולה ליצור קטגוריה של נתונים שניתנים לצפייה בתיקייה או בארגון. עם זאת, אם מגדירים הגדרות ברירת מחדל לבאקטים של נתונים לצורך שיפור יכולת הצפייה בארגון או בתיקייה, הגדרות ברירת המחדל האלה חלות על כל הפרויקטים שהם צאצאים של הארגון או התיקייה האלה.

בטבלה הבאה מפורטים הכללים שבהם המערכת משתמשת כדי לקבוע את המיקום של קטגוריה חדשה של נתונים לניראות (observability):

שימוש במדיניות הארגון כדי להגביל את המיקום	לפרויקט (או לישות אב) יש מיקום אחסון שמוגדר כברירת מחדל	איך המערכת קובעת את המיקום של מאגר חדש של נתוני יכולת צפייה
לא	לא	המערכת בוחרת את המיקום מבין המיקומים הנתמכים עבור קטגוריות של נתונים שניתנים לצפייה.
כן	לא	המערכת בוחרת את המיקום מתוך החיתוך של המיקומים שמדיניות הארגון מאפשרת והמיקומים שקטגוריות הנתונים של יכולת התצפית תומכות בהם. אם החיתוך ריק, המערכת לא יוצרת את קטגוריית הנתונים של יכולת התצפית.
לא	כן	המערכת מגדירה את המיקום למיקום האחסון שמוגדר כברירת מחדל בהגדרות ברירת המחדל של הפרויקט. אם לא מוגדר בפרויקט מיקום אחסון שמשמש כברירת מחדל, המערכת משתמשת במיקום האחסון שמוגדר כברירת מחדל עבור רכיב קודם.
כן	כן	המערכת מגדירה את המיקום למיקום האחסון שמוגדר כברירת מחדל בהגדרות ברירת המחדל של הפרויקט. אם לא מוגדר מיקום אחסון כברירת מחדל בפרויקט, המערכת משתמשת במיקום האחסון שמוגדר כברירת מחדל ברמת הארגון. אם מדיניות הארגון לא מאפשרת את מיקום האחסון שמוגדר כברירת מחדל, המערכת לא יוצרת את קטגוריית האחסון של נתוני התצפית.

בטבלה הבאה מפורטים הכללים שבהם המערכת משתמשת כדי לקבוע אם קטגוריית נתונים חדשה של יכולת התבוננות משתמשת ב-CMEK, ואם כן, מהו הערך של מפתח Cloud KMS. כדי להצפין קטגוריה של נתוני Observability, צריך שמפתח Cloud KMS יהיה במיקום של הקטגוריה ושהוא יהיה מורשה על ידי מדיניות הארגון. אם לא מציינים מדיניות ארגונית עם האילוץ gcp.restrictCmekCryptoKeyProjects, כל המפתחות מותרים:

שימוש במדיניות הארגון כדי לדרוש שימוש ב-CMEK	לפרויקט (או לרכיב קודם) יש מפתח Cloud KMS שמוגדר כברירת מחדל	איך המערכת קובעת באיזה מפתח Cloud KMS להשתמש.
לא	לא	בקטגוריית ה-Observability לא נעשה שימוש במפתחות CMEK.
כן	לא	המערכת לא יוצרת קטגוריות חדשות של נתוני Observability כי מדיניות הארגון מחייבת שימוש במפתחות CMEK, אבל לא מוגדר מפתח ברירת מחדל של Cloud KMS.
לא	כן	כדי לזהות מפתח להצפנה, המערכת קודם קובעת אם מוגדר מיקום אחסון שמוגדר כברירת מחדל לפרויקט או לאחד מהפרויקטים ברמת האב שלו. אם לא, המערכת בוחרת מיקום ויוצרת את קטגוריית הנתונים של יכולת הצפייה. הקטגוריה לא משתמשת ב-CMEK. אם נמצא מיקום אחסון שמוגדר כברירת מחדל, המערכת מחפשת בהגדרות ברירת המחדל של הפרויקט מפתח Cloud KMS שמוגדר כברירת מחדל. אם בהגדרות ברירת המחדל של הפרויקט לא מצוין מפתח מתאים, המערכת מחפשת בהגדרות ברירת המחדל של הפרויקט ברמת האב מפתח ברירת מחדל שנמצא במיקום של הקטגוריה החדשה. אחת מהאפשרויות הבאות מתרחשת: לא נמצא מפתח: המאגר החדש של נתוני הניטור לא משתמש ב-CMEK. נמצא מפתח והוא מותר: המערכת יוצרת את מאגר התצפיות. נמצא מפתח אבל הוא לא מותר: המערכת לא יוצרת את מאגר התצפית החדש.
כן	כן	כדי לזהות מפתח להצפנה, המערכת קודם קובעת אם מוגדר מיקום אחסון שמוגדר כברירת מחדל לפרויקט או לאחד מהפרויקטים ברמת האב שלו. אם לא מוגדר מיקום אחסון כברירת מחדל, המערכת לא יוצרת את קטגוריית הנתונים החדשה של יכולת התצפית. אם נמצא מיקום אחסון שמוגדר כברירת מחדל, המערכת מחפשת בהגדרות ברירת המחדל של הפרויקט מפתח Cloud KMS שמוגדר כברירת מחדל. אם בהגדרות ברירת המחדל של הפרויקט לא מצוין מפתח מתאים, המערכת מחפשת בהגדרות ברירת המחדל של הפרויקט ברמת האב מפתח ברירת מחדל שנמצא במיקום של הקטגוריה החדשה. אחת מהאפשרויות הבאות מתרחשת: לא נמצא מפתח: המאגר החדש של נתוני יכולת הצפייה לא נוצר. נמצא מפתח והוא מותר: המערכת יוצרת את מאגר התצפיות. נמצא מפתח אבל הוא לא מותר: המערכת לא יוצרת את מאגר התצפית החדש.

מגבלות

כשמערכת יוצרת מאגר נתונים של יכולת התבוננות, מודל ההצפנה מוגדר להצפנה שמוגדרת כברירת מחדל על ידי Google או להצפנה בניהול הלקוח. אחרי שיוצרים את הדלי, אי אפשר לשנות את מודל ההצפנה.

המאמרים הבאים

במאמר הגדרת ברירות מחדל לקטגוריות של נתונים לצורך ניתוח מוסבר איך להגדיר מיקום אחסון שמשמש כברירת מחדל ומפתח Cloud KMS שמשמש כברירת מחדל לקטגוריות של נתונים לצורך ניתוח.
במאמרים הגדרת הגדרות ברירת מחדל למשאבים ב-Cloud Logging והגדרת מפתחות CMEK ל-Cloud Logging מוסבר איך להגדיר מיקום אחסון שמשמש כברירת מחדל ומפתח Cloud KMS שמשמש כברירת מחדל לקטגוריות של יומנים.