Kundenverwaltete Verschlüsselungsschlüssel (CMEK, Customer-Managed Encryption Keys)

Gemini Enterprise Agent Platform Workbench verschlüsselt ruhende Kundeninhalte standardmäßig. Die Verschlüsselung wird von Agent Platform Workbench für Sie übernommen. Weitere Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option heißt Google-Standardverschlüsselung.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Agent Platform Workbench verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung verfolgen, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu besitzen und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Agent Platform Workbench-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselung soptionen finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel (CMEK).

Auf dieser Seite werden einige spezifische Vorteile und Einschränkungen der Verwendung von CMEK mit Gemini Enterprise Agent Platform Workbench beschrieben. Außerdem erfahren Sie, wie Sie eine neue Agent Platform Workbench-Instanz für die Verwendung von CMEK konfigurieren.

Weitere Informationen zur Verwendung von CMEK für Gemini Enterprise Agent Platform finden Sie auf der Seite Agent Platform CMEK.

Vorteile von CMEK

Im Allgemeinen sind CMEK am nützlichsten, wenn Sie vollständige Kontrolle über die Schlüssel benötigen, die zum Verschlüsseln Ihrer Daten verwendet werden. Mit CMEKs können Sie Ihre Schlüssel im Cloud Key Management Service verwalten. Sie haben beispielsweise die Möglichkeit, einen Schlüssel zu rotieren oder zu deaktivieren oder einen Rotationsplan mit der Cloud KMS API einzurichten.

Wenn Sie eine Agent Platform Workbench-Instanz ausführen, wird Ihre Instanz auf einer virtuellen Maschine (VM) ausgeführt, die von Gemini Enterprise Agent Platform Workbench verwaltet wird. Wenn Sie CMEK für eine Agent Platform Workbench-Instanz aktivieren, verwendet Agent Platform Workbench den von Ihnen angegebenen Schlüssel statt eines von Google verwalteten Schlüssels, um Daten auf den Bootlaufwerken der VM zu verschlüsseln.

Der CMEK-Schlüssel verschlüsselt keine Metadaten wie den Namen und die Region der Instanz, die mit Ihrer Agent Platform Workbench-Instanz verknüpft sind. Metadaten, die mit Agent Platform Workbench-Instanzen verknüpft sind, werden immer mit dem Standardverschlüsselungsmechanismus von Google verschlüsselt.

Einschränkungen von CMEK

Google empfiehlt, regionale Agent Platform Workbench-Instanzen mit Schlüsseln an deren Standort zu schützen, um die Latenz zu verringern und um Fälle zu vermeiden, bei denen Ressourcen von Diensten abhängen, die über mehrere fehlerhafte Domains verteilt sind.

  • Um regionale Agent Platform Workbench-Instanzen zu verschlüsseln, können Sie Schlüssel am selben Standort oder an einem globalen Speicherort verwenden. Beispiel: Um Daten auf einem Laufwerk in der Zone us-west1-a zu verschlüsseln, nutzen Sie einen Schlüssel in us-west1 oder global.
  • Sie können globale Instanzen mit an einem beliebigen Standort gespeicherten Schlüsseln verschlüsseln.
  • Wenn Sie CMEK für Agent Platform Workbench nicht automatisch konfigurieren, wird CMEK für andere Google Cloud Produkte konfiguriert, die Sie verwenden. Wenn Sie CMEK zum Verschlüsseln von Daten in anderen Google Cloud Produkten verwenden möchten, müssen Sie zusätzliche Konfigurationsschritte ausführen.

CMEK für Ihre Agent Platform Workbench-Instanz konfigurieren

In den folgenden Abschnitten wird gezeigt, wie Sie einen Schlüsselbund und einen Schlüssel in Cloud Key Management Service erstellen, dem Dienstkonto-Verschlüsseler und -Entschlüsseler Berechtigungen für Ihren Schlüssel gewähren und eine Agent Platform Workbench-Instanz erstellen, die CMEK verwendet.

Hinweis

Wir empfehlen die Einrichtung einer Aufgabentrennung. Zum Konfigurieren von CMEK für Agent Platform Workbench können Sie zwei separate Google Cloud Projekte verwenden:

  • Ein Cloud KMS-Projekt: ein Projekt zur Verwaltung Ihres Verschlüsselungsschlüssels
  • Ein Agent Platform Workbench-Projekt: ein Projekt für den Zugriff auf Agent Platform Workbench-Instanzen und zur Interaktion mit anderen Produkten, die Sie für Ihren Anwendungsfall benötigen Google Cloud

Alternativ können Sie ein einzelnes Google Cloud Projekt verwenden. Verwenden Sie dazu dasselbe Projekt für alle folgenden Aufgaben.

Cloud KMS-Projekt einrichten

  1. Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie noch kein Google Cloud-Konto haben, erstellen Sie ein Konto, um zu testen, wie sich unsere Produkte in realen Szenarien schlagen. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Cloud KMS API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Cloud KMS API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

Agent Platform Workbench-Projekt einrichten

  1. Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie noch kein Google Cloud-Konto haben, erstellen Sie ein Konto, um zu testen, wie sich unsere Produkte in realen Szenarien schlagen. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

Google Cloud CLI einrichten

Die gcloud CLI ist für einige Schritte auf dieser Seite erforderlich und für andere optional.

Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl: 

gcloud init

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Schlüsselbund und Schlüssel erstellen

Beachten Sie beim Erstellen von Schlüsselbund und Schlüssel folgende Anforderungen:

  • Für den Standort Ihres Schlüsselbunds wählen Sie entweder global oder den Standort aus, an dem sich Ihre Agent Platform Workbench-Instanz befindet.

  • Achten Sie darauf, Schlüsselbund und Schlüssel in Ihrem Cloud KMS-Projekt zu erstellen.

Informationen zum Erstellen eines Schlüsselbunds und eines Schlüssels finden Sie unter Symmetrische Verschlüsselungsschlüssel erstellen.

Agent Platform Workbench-Berechtigungen erteilen

Wenn Sie CMEK für Ihre Agent Platform Workbench-Instanz verwenden möchten, müssen Sie Ihrer Agent Platform Workbench-Instanz die Berechtigung zum Verschlüsseln und Entschlüsseln von Daten mit Ihrem Schlüssel erteilen. Sie erteilen diese Berechtigung dem Dienst-Agent Ihres Projekts und dem Compute Engine-Dienstkonto.

Verwenden Sie die Google Cloud Console, um die spezifischen Konten für Ihr Agent Platform Workbench-Projekt zu finden, .

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Wählen Sie Von Google bereitgestellte Rollenzuweisungen einschließen aus.

  3. Suchen Sie die Mitglieder mit den folgenden E-Mail-Adressformaten. Notieren Sie sich die E-Mail-Adressen und verwenden Sie sie in den folgenden Schritten.

    • Die E-Mail-Adresse des Dienst-Agents Ihres Projekts sieht so aus:

      service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com

    • Die E-Mail-Adresse des Compute Engine-Dienstkontos sieht so aus:

      service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com

    Ersetzen Sie NOTEBOOKS_PROJECT_NUMBER durch die Projekt nummer für Ihr Agent Platform Workbench-Projekt.

    Wenn Sie diesen Konten die Berechtigung zum Verschlüsseln und Entschlüsseln von Daten mit Ihrem Schlüssel erteilen möchten, können Sie die Google Cloud Console oder die gcloud CLI verwenden.

    Console

    1. Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.

      Schlüsselverwaltung aufrufen

    2. Wählen Sie Ihr Cloud KMS-Projekt aus.

    3. Klicken Sie auf den Namen des Schlüsselbunds, den Sie unter Schlüsselbund und Schlüssel erstellen erstellt haben. Die Seite Schlüsselbunddetails wird geöffnet.

    4. Klicken Sie auf das Kästchen für den Schlüssel, den Sie unter Schlüsselbund und Schlüssel erstellen erstellt haben. Wenn ein Infofeld mit dem Namen Ihres Schlüssels noch nicht geöffnet ist, klicken Sie auf Infofeld ansehen.

    5. Klicken Sie im Infofeld auf Mitglied hinzufügen. Das Dialogfeld Mitglieder zu "KEY_NAME" hinzufügen wird geöffnet. Führen Sie in diesem Dialogfeld folgende Schritte aus:

      1. Geben Sie im Feld Neue Mitglieder die E-Mail-Adresse des Dienst-Agents Ihres Projekts ein:

        service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com

      2. Klicken Sie in der Liste Rolle auswählen auf Cloud KMS und wählen Sie dann die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.

      3. Klicken Sie auf Speichern.

    6. Wiederholen Sie diese Schritte für den Compute Engine-Dienst-Agent:

      service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com

    gcloud

    1. Führen Sie den folgenden Befehl aus, um dem Dienst-Agent Ihres Projekts die Berechtigung zum Verschlüsseln und Entschlüsseln von Daten mit Ihrem Schlüssel zu erteilen:

      gcloud kms keys add-iam-policy-binding KEY_NAME \
  --keyring=KEY_RING_NAME \
  --location=REGION \
  --project=KMS_PROJECT_ID \
  --member=serviceAccount:service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com \
  --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

      Ersetzen Sie Folgendes:

      • KEY_NAME: Den Namen des Schlüssels, den Sie unter Schlüsselbund und Schlüssel erstellen erstellt haben
      • KEY_RING_NAME: Den Schlüsselbund, den Sie unter Schlüsselbund und Schlüssel erstellen erstellt haben
      • REGION: Die Region, in der Sie Ihren Schlüsselbund erstellt haben
      • KMS_PROJECT_ID: Die ID Ihres Cloud KMS-Projekts
      • NOTEBOOKS_PROJECT_NUMBER: die Projektnummer Ihres Agent Platform Workbench-Projekts, die Sie im vorherigen Abschnitt als Teil der E-Mail-Adresse eines Dienstkontos notiert haben.

    2. Führen Sie den folgenden Befehl aus, um dem Compute Engine-Dienstkonto die Berechtigung zum Verschlüsseln und Entschlüsseln von Daten mit Ihrem Schlüssel zu erteilen:

      gcloud kms keys add-iam-policy-binding KEY_NAME \
  --keyring=KEY_RING_NAME \
  --location=REGION \
  --project=KMS_PROJECT_ID \
  --member=serviceAccount:service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \
  --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Agent Platform Workbench-Instanz mit CMEK erstellen

Nachdem Sie Ihrer Agent Platform Workbench-Instanz die Berechtigung zum Verschlüsseln und Entschlüsseln von Daten mit Ihrem Schlüssel gewährt haben, können Sie eine Agent Platform Workbench-Instanz erstellen, die Daten mit diesem Schlüssel verschlüsselt.

Im folgenden Beispiel wird gezeigt, wie Sie mit der Google Cloud Console Daten mit Ihrem Schlüssel verschlüsseln und entschlüsseln.

Um eine Agent Platform Workbench-Instanz mit einem kundenverwalteten Verschlüsselungsschlüssel zu erstellen, können Sie die Google Cloud Console oder die gcloud CLI verwenden:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Instanzen auf.

    Zur Seite „VM-Instanzen“

  2. Klicken Sie auf  NEU ERSTELLEN.

  3. Klicken Sie im Dialogfeld Neue Instanz auf Erweiterte Optionen.

  4. Geben Sie im Dialogfeld Instanz erstellen im Abschnitt Details die folgenden Informationen für Ihre neue Instanz ein:

    • Instanzname: Ein Name für die neue Instanz.
    • Region: Die Region ein, in der sich Ihr Schlüssel und Ihr Schlüsselbund befinden
    • Zone: Eine Zone in der von Ihnen ausgewählten Region

  5. Wählen Sie im Abschnitt Laufwerke unter Verschlüsselung die Option Kundenverwalteter Verschlüsselungsschlüssel (CMEK) aus.

  6. Klicken Sie auf Vom Kunden verwalteten Schlüssel auswählen.

    • Falls sich der kundenverwaltete Schlüssel in der Liste befindet, wählen Sie ihn aus.

    • Wenn der kundenverwaltete Schlüssel, den Sie verwenden möchten, nicht in der Liste steht, geben Sie die Ressourcen-ID für Ihren nutzerverwalteten Schlüssel ein. Die Ressourcen-ID Ihres vom Kunden verwalteten Schlüssels sieht so aus:

      projects/NOTEBOOKS_PROJECT_NUMBER/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME

      Ersetzen Sie Folgendes:

      • NOTEBOOKS_PROJECT_NUMBER: Die ID Ihres Agent Platform Workbench-Projekts
      • REGION: Die Region, in der Sie den Schlüsselbund erstellt haben und in der Sie Ihre Agent Platform Workbench-Instanz erstellen möchten
      • KEY_RING_NAME: Den Schlüsselbund, den Sie unter Schlüsselbund und Schlüssel erstellen erstellt haben
      • KEY_NAME: Den Namen des Schlüssels, den Sie unter Schlüsselbund und Schlüssel erstellen erstellt haben

  7. Schließen Sie den Rest des Dialogfelds zur Instanzerstellung ab und klicken Sie dann auf Erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um mit der gcloud CLI eine Agent Platform Workbench-Instanz mit einem kundenverwalteten Verschlüsselungsschlüssel zu erstellen. In diesem Beispiel wird davon ausgegangen, dass Sie eine Agent Platform Workbench-Instanz mit dem Maschinentyp n1-standard-1 und einem nichtflüchtigen Standard-Bootlaufwerk mit 100 GB erstellen möchten.

gcloud notebooks instances create notebook-vm-cmek \
    --location=REGION \
    --vm-image-family=IMAGE_FAMILY \
    --vm-image-project=cloud-notebooks-managed \
    --machine-type="n1-standard-1" \
    --boot-disk-type="PD_STANDARD" \
    --boot-disk-size=100 \
    --kms-key=KEY_NAME \
    --kms-project=KMS_PROJECT_ID \
    --kms-location=REGION \
    --kms-keyring=KEY_RING_NAME \
    --disk-encryption=CMEK \
    --metadata='proxy-mode=project_editors'

Ersetzen Sie Folgendes:

  • REGION: Die Region, in der Sie den Schlüsselbund erstellt haben und in der Sie Ihre Agent Platform Workbench-Instanz erstellen möchten
  • IMAGE_FAMILY: Die Imagefamilie, mit der Sie Ihre Agent Platform Workbench-Instanz erstellen möchten
  • KEY_NAME: Den Namen des Schlüssels, den Sie unter Schlüsselbund und Schlüssel erstellen erstellt haben
  • KMS_PROJECT_ID: Die ID Ihres Cloud KMS-Projekts
  • KEY_RING_NAME: Den Schlüsselbund, den Sie unter Schlüsselbund und Schlüssel erstellen erstellt haben

Nächste Schritte