שימוש במפתחות הצפנה בניהול הלקוח

כברירת מחדל, Cloud Tasks מצפין את התוכן של הלקוחות במצב מנוחה. שירות Cloud Tasks מטפל בהצפנה בשבילכם, בלי שתצטרכו לבצע פעולות נוספות. האפשרות הזו נקראת הצפנת ברירת המחדל של Google.

אם רוצים לשלוט במפתחות ההצפנה, אפשר להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים עם CMEK, כולל Cloud Tasks. שימוש במפתחות Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. בנוסף, באמצעות Cloud KMS תוכלו לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של מפתחות ההצפנה של המפתחות (KEK) הסימטריים שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.

אחרי שמגדירים את המשאבים עם CMEK, חוויית הגישה למשאבים של Cloud Tasks דומה לשימוש בהצפנת ברירת המחדל של Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).

מה מוגן באמצעות CMEK

כשמפעילים CMEK ב-Cloud Tasks, מפעילים אותו באזור. כשההגדרה הזו מופעלת, הגוף והכותרת של המשימות שנוצרו באזור הזה מוגנים באמצעות המפתח שלכם כשהם במצב מנוחה. אם משימה נוצרה בזמן שה-CMEK היה מופעל, והמפתח הושבת בהמשך (על ידי השבתה או מחיקה של המפתח, או על ידי השבתה של ה-CMEK), המשימה מוצפנת באמצעות המפתח שלכם אבל אי אפשר להפעיל אותה.

המשימות לא מוגנות באמצעות CMEK במקרים הבאים:

  • המשימה נוצרה לפני שהפעלתם את CMEK
  • המשימה לא נמצאת באזור שבו CMEK מופעל
  • המשימה מושפעת ממגבלת תאימות

מגבלות תאימות

השילוב של Cloud Tasks עם CMEK לא תומך בפעולות הבאות:

  • גרסאות של google-gax מתחת ל-4.0.0: לחבילת NPM‏ google-gax ל-Node.js יש תמיכה מוגבלת בגרסאות קודמות ל-4.0.0. בגרסאות האלה, CMEK נתמך רק באזור us-central1. גם אם יש לכם משימות רק באזור הזה, מומלץ לשדרג לגרסה 4.0.0 ואילך.

  • שירות Taskqueue המובנה ב-App Engine: משימות שנוצרו באמצעות שירות Taskqueue המובנה ב-App Engine לא מוגנות על ידי CMEK, גם אם הן נמצאות באזור שבו הוא מופעל. הפעלת CMEK לא מונעת את היצירה או הפעולה (למשל, ביצוע או מחיקה) של המשימות האלה.

  • תורים של משיכות: אם מפעילים CMEK, אפשר ליצור ולהפעיל משימות בתורים של משיכות, אבל המשימות האלה לא מוגנות על ידי CMEK. תורי משיכה הם לא נפוצים. כדי לבדוק אם התור הוא תור משיכה, מריצים את הפקודה הבאה ב-CLI של gcloud במסוף:

    gcloud tasks queues describe QUEUE_NAME

    מחליפים את QUEUE_NAME בשם התור.

    אם הערך שמופיע בtype הוא pull, התור הוא תור משיכה. אם הערך שמופיע ברשימה הוא type push, המגבלה הזו לא משפיעה על המשימות בתור.

  • ניתוב ברמת התור: כש-CMEK מופעל, אי אפשר להחיל ניתוב ברמת התור. אם מופעלת הפניה אוטומטית ברמת התור, אי אפשר להפעיל CMEK. כדי לבדוק אם ניתוב ברמת התור מופעל, מבצעים את הפעולות הבאות:

    1. מריצים את הפקודה הבאה ב-CLI של gcloud בטרמינל: 

      gcloud tasks queues describe QUEUE_NAME
       מחליפים את QUEUE_NAME בשם התור.

    2. בפלט, מחפשים את השדה httpTarget ובודקים אם הערך uriOverride הוגדר. אם מצוין host, התור שלכם כולל ניתוב ברמת התור והוא לא תואם ל-CMEK. כדי להסיר ניתוב ברמת התור, אפשר לעיין במאמר עדכון או הסרה של ניתוב ברמת התור. אם הפלט לא מציג uriOverride עם host שצוין, התור שלכם לא משתמש בניתוב ברמת התור.

  • זמן החיים (TTL) של משימות: כש-CMEK מופעל, אי אפשר להגדיר את task_ttl לערך שגדול מ-60 ימים. אם הגדרתם את task_ttl ליותר מ-60 ימים, לא תוכלו להפעיל את CMEK.

לפני שמתחילים

לפני שמשתמשים ב-CMEK ב-Cloud Tasks, צריך לבצע את השלבים הבאים:

  1. מפעילים את ממשקי ה-API.

    המסוף

    1. מפעילים את Cloud KMS API ואת Cloud Tasks API.

      תפקידים שנדרשים להפעלת ממשקי API

      כדי להפעיל ממשקי API, צריך את תפקיד ה-IAM 'אדמין של Service Usage' (roles/serviceusage.serviceUsageAdmin), שכולל את ההרשאה serviceusage.services.enable. איך מקצים תפקידים

      הפעלת ממשקי ה-API

    gcloud

    1. במסוף Google Cloud , מפעילים את Cloud Shell.

      הפעלת Cloud Shell

      בחלק התחתון של Google Cloud המסוף יתחיל סשן של Cloud Shell ותופיע הודעה של שורת הפקודה. Cloud Shell היא סביבת מעטפת שבה ה-CLI של Google Cloud מותקן ומוגדרים ערכים לפרויקט הקיים. הסשן יופעל תוך כמה שניות.

    2. מגדירים את פרויקט ברירת המחדל. זה צריך להיות הפרויקט שמכיל את משאבי Cloud Tasks שרוצים להגן עליהם באמצעות CMEK. אם אתם צריכים להריץ פקודה בפרויקט אחר, כמו הפרויקט שמכיל את משאבי Cloud KMS, בדף הזה יופיע הדגל --project בפקודה של ה-CLI של gcloud, ויוסבר לכם איזה פרויקט צריך לציין.

      gcloud config set project PROJECT_ID

      מחליפים את PROJECT_ID במזהה הפרויקט שמכיל את המשאבים של Cloud Tasks.

    3. מעדכנים את הרכיבים של gcloud. 

      gcloud components update

    4. להפעיל את ה-API של Cloud KMS ואת ה-API של Cloud Tasks בפרויקט שבו יאוחסנו מפתחות ההצפנה. 

      gcloud services enable cloudkms.googleapis.com cloudtasks.googleapis.com \
    --project=PROJECT_ID

      מחליפים את PROJECT_ID במזהה הפרויקט שבו יישמרו מפתחות ההצפנה. יכול להיות שזה אותו פרויקט כמו משאבי Cloud Tasks, אבל כדי להגביל את הגישה למפתחות Cloud KMS, כדאי להגדיר את Cloud KMS בפרויקט נפרד.

  2. ‫Cloud KMS יוצר יומני Cloud Audit Logs כשמפעילים או משביתים מפתחות, או כשמשאבי Cloud Tasks משתמשים במפתחות כדי להצפין ולפענח נתונים. מוודאים שרישום ביומן מופעל עבור Cloud KMS API בפרויקט, ומחליטים אילו הרשאות ותפקידים ספציפיים לרישום ביומן חלים על התרחיש לדוגמה שלכם. מידע נוסף זמין במאמר מידע על רישום ביומני ביקורת ב-Cloud KMS.

  3. קבלת תפקידים בניהול זהויות והרשאות גישה (IAM).

    כדי לקבל את ההרשאות שדרושות לשימוש ב-CMEK עם Cloud Tasks, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט:

    • הפעלה או השבתה של CMEK: roles/cloudtasks.admin
    • הצגת המפתח שבשימוש: roles/cloudtasks.viewer

    להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

    יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

יצירה של אוסף מפתחות ומפתח ב-Cloud KMS

אם כבר יש לכם מחזיק מפתחות באותו אזור כמו משאבי Cloud Tasks, ואתם רוצים להשתמש במפתח ובמחזיק המפתחות האלה, דלגו על הקטע הזה. אם לא, פועלים לפי ההוראות האלה כדי ליצור את מפתח Cloud KMS ואת אוסף המפתחות.

  1. יצירת אוסף מפתחות

  2. יצירת מפתח לאוסף מפתחות ספציפי

אחזור המזהה של מפתח Cloud KMS

כשמפעילים CMEK ב-Cloud Tasks, צריך לציין את מזהה המשאב של מפתח Cloud KMS.

המסוף

  1. במסוף Google Cloud , עוברים לדף Key management ובוחרים בכרטיסייה Key inventory.

    מעבר אל Key inventory

  2. למפתח שרוצים לאחזר את מזהה המשאב שלו, לוחצים על פעולות.

  3. לוחצים על העתקת שם המשאב.

    מזהה המשאב של המפתח מועתק ללוח. הפורמט שלה דומה לזה:

    projects/PROJECT_NAME/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME

gcloud

  1. כדי להציג רשימה של כל המפתחות באוסף מפתחות נתון:

    gcloud kms keys list --keyring=KEY_RING --location=LOCATION --project=PROJECT_ID

    מחליפים את מה שכתוב בשדות הבאים:

    • KEY_RING: השם של אוסף המפתחות
    • LOCATION: האזור של אוסף המפתחות
    • PROJECT_ID: המזהה של הפרויקט שמכיל את קבוצת המפתחות

    הפלט כולל את מזהה המפתח של כל מפתח. לדוגמה:

    NAME: projects/PROJECT_NAME/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME

מתן גישה למפתח לסוכן השירות של Cloud Tasks

צריך להעניק לסוכן השירות של Cloud Tasks את התפקיד Cloud KMS CryptoKey Encrypter/Decrypter בניהול זהויות והרשאות גישה (IAM), כדי שיוכל לגשת למפתח Cloud KMS:

המסוף

  1. נכנסים לדף IAM (ניהול זהויות וגישה) במסוף Google Cloud .

    כניסה לדף IAM

  2. מסמנים את התיבה Include Google-provided role grants.

  3. כדי למצוא את חשבון השירות של Cloud Tasks, מקלידים cloudtasks.iam.gserviceaccount.com במסנן.

    חשבון השירות של Cloud Tasks הוא מהצורה service-PROJECT_NUMBER@gcp-sa-cloudtasks.iam.gserviceaccount.com.

  4. לוחצים על סמל העיפרון עריכת הגורם המרכזי.

  5. בחלונית שנפתחת, לוחצים על Add another role.

  6. מחפשים את התפקיד Cloud KMS CryptoKey Encrypter/Decrypter ובוחרים בו.

  7. לוחצים על Save.

gcloud 

gcloud kms keys add-iam-policy-binding KEY_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudtasks.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

מחליפים את מה שכתוב בשדות הבאים:

  • KEY_ID: מזהה המשאב המוגדר במלואו של המפתח. הוראות למציאת המזהה מופיעות במאמר בנושא אחזור המזהה של מפתח Cloud KMS. לא כוללים מספר גרסה של מפתח. יכול להיות שהפקודה הזו תיכשל אם תכללו בה מספר גרסה של מפתח.

  • PROJECT_NUMBER: מספר הפרויקט ב- Google Cloud . אפשר לראות את מספר הפרויקט בדף Welcome במסוף Google Cloud או על ידי הרצת הפקודה הבאה:

    PROJECT=$(gcloud info --format='value(config.project)')
gcloud projects describe ${PROJECT} --format="value(projectNumber)"

כל עוד לסוכן השירות יש את roles/cloudkms.cryptoKeyEncrypterDecrypterהתפקיד, משימה באזור שמופעל בו CMEK יכולה להצפין ולפענח את הנתונים שלה באמצעות מפתח ה-CMEK. אם מבטלים את התפקיד הזה, או אם משביתים או משמידים את מפתח ה-CMEK, אי אפשר לגשת לנתונים האלה. להסבר, ראו איך משביתים את CMEK ב-Cloud Tasks.

הפעלת CMEK ב-Cloud Tasks

אפשר להפעיל את CMEK באמצעות ה-API או ה-CLI של gcloud. ב-Cloud Tasks, ההצפנה באמצעות מפתח משל לקוח (CMEK) מופעלת לפי אזור. היא לא מופעלת במשימות בודדות. כש-CMEK מופעל באזור מסוים ב-Cloud Tasks, כל המשימות באותו אזור מוגנות על ידי CMEK.

gcloud

כדי להפעיל את CMEK באמצעות ה-CLI של Google Cloud, מריצים את הפקודה הבאה:

gcloud tasks cmek-config update --location=LOCATION --kms-key-name=KEY_ID

מחליפים את מה שכתוב בשדות הבאים:

  • LOCATION: האזור של משאב Cloud Tasks
  • KEY_ID: מזהה המשאב המוגדר במלואו של המפתח. הוראות למציאת המזהה מופיעות במאמר בנושא אחזור המזהה של מפתח Cloud KMS. לא כוללים מספר גרסה של מפתח. הכללת מספר גרסת מפתח עלולה לגרום לכשל בפקודה הזו.

REST

כדי להפעיל CMEK, צריך להפעיל את השיטה Update CMEK config. ב-Cloud Tasks API יש את ה-method‏ Update CMEK config ב-API ל-REST וב-API ל-RPC:

כדי לוודא שהמפתח הופעל בהצלחה, פועלים לפי ההוראות שבקטע זיהוי המפתח שנמצא בשימוש.

הפעלה למשימות קיימות

הצפנת CMEK לא מגנה על משימות שנוצרו לפני שהפעלתם את הצפנת CMEK ב-Cloud Tasks. כדי להגן על משימות קיימות באמצעות CMEK:

  1. מפעילים את CMEK (ראו את הקטע בנושא הפעלת CMEK).

  2. להחליף את המשימות הקיימות. יש שתי דרכים עיקריות לעשות את זה. הדרך הכי טובה לעשות את זה תלויה במה שחשוב לכם:

    • ביצוע רציף: כדי להבטיח ביצוע רציף (מסירה לפחות פעם אחת), אפשר קודם ליצור מחדש את המשימה ואז למחוק את המשימה הקיימת אחרי שמוודאים שהמשימה החדשה פועלת כמצופה. התוצאה יכולה להיות ביצועים כפולים, כי יכול להיות שגם המשימה הישנה וגם המשימה החדשה יבוצעו לפני שתמחקו את המשימה הישנה.

    • מניעת כפילויות: כדי למנוע הפעלות כפולות (שליחה "לכל היותר פעם אחת"), אפשר קודם למחוק את המשימה הישנה ואז ליצור אותה מחדש. כתוצאה מכך, יכול להיות שביצועים יאבדו בגלל הזמן שחלף בין מחיקת המשימה הישנה ליצירת המשימה החדשה.

זיהוי המפתח שבשימוש

כדי לזהות את מפתח ה-CMEK שנמצא בשימוש במשאבי Cloud Tasks, מריצים את פקודת ה-CLI של gcloud הבאה:

gcloud tasks cmek-config describe --location=LOCATION

מחליפים את LOCATION באזור של משאבי Cloud Tasks.

אם לא מופיע פלט, סימן שלא הוגדר CMEK למיקום שצוין.

החלה של מדיניות הארגון ל-CMEK

‫Cloud Tasks משולב עם שתי מגבלות של מדיניות הארגון כדי לוודא שנעשה שימוש ב-CMEK בכל הארגון:

  • התג constraints/gcp.restrictNonCmekServices משמש לדרישה של הגנה באמצעות CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects משמש להגבלת המפתחות ב-Cloud KMS שמשמשים להגנה באמצעות CMEK.

השילוב הזה מאפשר לכם לציין את דרישות התאימות להצפנה הבאות למשאבי Cloud Tasks בארגון שלכם:

שיקולים בהחלת מדיניות הארגון

לפני שמחילים מדיניות ארגונית של CMEK, חשוב להביא בחשבון את הנקודות הבאות.

הכנה לעיכוב בהפצה

אחרי שמגדירים או מעדכנים מדיניות ארגונית, יכולות לחלוף עד 15 דקות עד שהמדיניות החדשה תיכנס לתוקף.

כולל משאבים קיימים

משאבים קיימים לא כפופים למדיניות ארגון שנוצרה לאחרונה. לדוגמה, מדיניות ארגונית לא חלה רטרואקטיבית על משימות קיימות. עדיין אפשר לגשת למשאבים האלה בלי CMEK, ואם רלוונטי, הם עדיין מוצפנים באמצעות מפתחות קיימים. אם רוצים להחיל את המדיניות על משימות קיימות, צריך להפעיל את CMEK למשימות קיימות.

אימות ההרשאות הנדרשות להגדרת מדיניות הארגון

יכול להיות שיהיה קשה לקבל את ההרשאה להגדיר או לעדכן את מדיניות הארגון לצורך בדיקות. צריך לקבל את התפקיד 'אדמין מדיניות ארגונית', שאפשר לתת רק ברמת הארגון (ולא ברמת הפרויקט או התיקייה).

למרות שצריך לתת את התפקיד ברמת הארגון, עדיין אפשר לציין מדיניות שתחול רק על פרויקט או תיקייה ספציפיים.

דרישה להשתמש במפתחות CMEK לכל המשאבים החדשים ב-Cloud Tasks

אפשר להשתמש באילוץ constraints/gcp.restrictNonCmekServices כדי לדרוש שימוש במפתחות CMEK להגנה על כל המשאבים החדשים של Cloud Tasks בארגון.

אם המדיניות הזו מוגדרת, כל בקשה ליצירת משאב ללא מפתח Cloud KMS שצוין תיכשל.

אחרי שמגדירים את המדיניות הזו, היא חלה רק על משאבים חדשים בפרויקט. כל המשאבים הקיימים שלא הוחלו עליהם מפתחות Cloud KMS ממשיכים להתקיים וניתן לגשת אליהם ללא בעיה.

המסוף

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. משתמשים בFilter כדי לחפש את האילוץ הבא:

    constraints/gcp.restrictNonCmekServices

  3. בעמודה Name (שם), לוחצים על Restrict which services may create resources without CMEK (הגבלת השירותים שיכולים ליצור משאבים ללא CMEK).

  4. לוחצים על ניהול המדיניות.

  5. בדף עריכת מדיניות, בקטע מקור המדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.

  6. בקטע כללים, לוחצים על הוספת כלל.

  7. ברשימה ערכי מדיניות, בוחרים באפשרות בהתאמה אישית.

  8. ברשימה Policy type (סוג המדיניות), בוחרים באפשרות Deny (דחייה).

  9. בשדה ערכים מותאמים אישית, מזינים את הערכים הבאים:

    is:cloudtasks.googleapis.com

  10. לוחצים על סיום ואז על הגדרת מדיניות.

gcloud

  1. יוצרים קובץ זמני /tmp/policy.yaml לאחסון המדיניות:

      name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
  spec:
    rules:
    - values:
        deniedValues:
        - is:cloudtasks.googleapis.com

    מחליפים את PROJECT_ID במזהה הפרויקט שבו רוצים להחיל את האילוץ הזה.

  2. מריצים את הפקודה org-policies set-policy:

    gcloud org-policies set-policy /tmp/policy.yaml

כדי לוודא שהמדיניות הוחלה בהצלחה, אפשר לנסות ליצור תור בפרויקט. התהליך ייכשל אם לא תציינו מפתח Cloud KMS.

הגבלת מפתחות Cloud KMS לפרויקט Cloud Tasks

אתם יכולים להשתמש באילוץ constraints/gcp.restrictCmekCryptoKeyProjects כדי להגביל את מפתחות Cloud KMS שבהם אתם יכולים להשתמש כדי להגן על משאב בפרויקט Cloud Tasks.

לדוגמה, אפשר לציין כלל שדומה לכלל הבא: "עבור כל משאבי Cloud Tasks ב-projects/my-company-data-project, מפתחות Cloud KMS שמשמשים בפרויקט הזה חייבים להגיע מ-projects/my-company-central-keys או מ-projects/team-specific-keys".

המסוף

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. משתמשים בFilter כדי לחפש את האילוץ הבא:

    constraints/gcp.restrictCmekCryptoKeyProjects

  3. בעמודה 'שם', לוחצים על הגבלת הפרויקטים שיכולים לספק מפתחות הצפנה של KMS ל-CMEK.

  4. לוחצים על ניהול המדיניות.

  5. בדף עריכת מדיניות, בקטע מקור המדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.

  6. בקטע כללים, לוחצים על הוספת כלל.

  7. ברשימה ערכי מדיניות, בוחרים באפשרות בהתאמה אישית.

  8. ברשימה סוג המדיניות, בוחרים באפשרות הרשאה.

  9. בשדה ערכים מותאמים אישית, מזינים את הערכים הבאים:

    under:projects/KMS_PROJECT_ID

    מחליפים את הערך KMS_PROJECT_ID במזהה הפרויקט שבו נמצאים מפתחות Cloud KMS שרוצים להשתמש בהם.

    לדוגמה, under:projects/my-kms-project.

  10. לוחצים על סיום ואז על הגדרת מדיניות.

gcloud

  1. יוצרים קובץ זמני /tmp/policy.yaml לאחסון המדיניות:

      name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
  spec:
    rules:
    - values:
        allowedValues:
        - under:projects/KMS_PROJECT_ID

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: מזהה הפרויקט שבו רוצים להחיל את האילוץ הזה.
    • KMS_PROJECT_ID: המזהה של הפרויקט שבו נמצאים מפתחות Cloud KMS שרוצים להשתמש בהם.

  2. מריצים את הפקודה org-policies set-policy:

    gcloud org-policies set-policy /tmp/policy.yaml

כדי לוודא שהמדיניות הוחלה בהצלחה, אפשר לנסות ליצור תור באמצעות מפתח Cloud KMS מפרויקט אחר. התהליך ייכשל.

השבתה של CMEK ב-Cloud Tasks

אפשר להשבית את CMEK באמצעות ה-API או ה-CLI של gcloud. ב-Cloud Tasks, ההצפנה באמצעות מפתח שנוהל על ידי הלקוח מושבתת לפי אזור. המשימות הבודדות לא משביתות אותו. כש-CMEK מושבת באזור מסוים ב-Cloud Tasks, המשימות באזור הזה לא מוגנות על ידי CMEK.

השבתת CMEK משפיעה על משימות שנוצרו בעתיד, ולא על משימות שנוצרו בעבר:

  • משימות חדשות: לא מוגנות על ידי CMEK

  • משימות קיימות: משימות שנוצרו בזמן שההצפנה באמצעות CMEK הייתה מופעלת יישארו מוצפנות וימשיכו לפעול כל עוד המפתח של Cloud KMS פעיל.

gcloud

כדי להשבית את ה-CMEK באמצעות Google Cloud CLI, משתמשים בפקודה הבאה:

gcloud tasks cmek-config update --location=LOCATION --clear-kms-key

מחליפים את מה שכתוב בשדות הבאים:

  • LOCATION: האזור של משאב Cloud Tasks.

REST

כדי להשבית את CMEK, קוראים לשיטה Update CMEK config ומנקים את מפתח Cloud KMS על ידי החלפתו במחרוזת ריקה. ב-Cloud Tasks API יש את ה-method‏ Update CMEK config ב-API ל-REST וב-API ל-RPC:

הסרה של Cloud KMS

אם רוצים לבטל את הגישה לנתונים של המשימות, אפשר להסיר את Cloud KMS. יש שלוש דרכים לעשות זאת:

  • משביתים את מפתח ההצפנה בניהול הלקוח. השבתה של מפתח CMEK משעה את הגישה לכל הנתונים שמוגנים על ידי גרסת המפתח הזו בזמן שהמפתח מושבת. אי אפשר לגשת למשימות או ליצור משימות באמצעות מפתח מושבת. ניסיון להפעיל משימה שמוגנת באמצעות CMEK בזמן שהמפתח מושבת יוביל לשגיאת UNKNOWN ב-Cloud Logging. אם רוצים, אפשר להפעיל מחדש את המפתח מאוחר יותר. כשמשביתים מפתח הצפנה בניהול הלקוח, יכול להיות שיעברו עד 5 דקות עד שהשינוי יחול.

  • משמידים את מפתח ההצפנה בניהול הלקוח. השמדה של מפתח CMEK משביתה באופן סופי את הגישה לכל הנתונים שמוגנים על ידי גרסת המפתח הזו. אי אפשר לגשת למשימות או ליצור משימות באמצעות מפתח שהושמד. אם משימה נוצרה בזמן שה-CMEK היה מופעל, והמפתח הושמד מאוחר יותר, המשימה מוצפנת באמצעות המפתח שלכם אבל אי אפשר להריץ אותה. אם המשימה מנסה להתבצע, נרשמת שגיאת UNKNOWN ב-Cloud Logging. כשמשמידים מפתח הצפנה בניהול הלקוח, יכול להיות שיעברו עד 5 דקות עד שהשינוי יחול.

  • מבטלים את התפקיד cloudkms.cryptoKeyEncrypterDecrypterב-IAM מסוכן השירות של Cloud Tasks. ההגדרה הזו משפיעה על כל המשימות בפרויקטGoogle Cloud שתומכות בהצפנה באמצעות CMEK. אי אפשר ליצור משימות חדשות עם שילובי CMEK או להציג משאבים מוצפנים באמצעות CMEK.

אף אחת מהפעולות האלה לא מבטיחה ביטול מיידי של הגישה, אבל שינויים ב-IAM בדרך כלל נכנסים לתוקף מהר יותר. מידע נוסף זמין במאמרים עקביות של משאבי Cloud KMS והפצת שינויים בהרשאות גישה.

תמחור

השילוב הזה לא כרוך בעלויות נוספות מעבר לפעולות המרכזיות, שמחויבות בפרויקט Google Cloud . למידע על המחירים העדכניים, אפשר לעיין במחירון של Cloud KMS.