Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הפעלת מפתחות הצפנה בניהול הלקוח לצורך הערכות

למרות ש- Google Cloud מצפין נתונים במנוחה כברירת מחדל באמצעות Google-owned and Google-managed encryption keys, אתם יכולים להצפין את נתוני ההערכה של כלי לניהול עומס העבודה באמצעות מפתחות הצפנה בניהול הלקוח (CMEK). בעזרת CMEK תוכלו לנהל את רוטציית המפתחות, את הגישה ואת רמות ההגנה, כדי לעמוד בדרישות ספציפיות של אבטחה ותאימות.

במסמך הזה מוסבר איך להגדיר CMEK כשיוצרים או מעדכנים הערכות של סוגי כללים מותאמים אישית, וכשצופים בתוצאות ההערכה של כלי לניהול עומס העבודה.

סקירה כללית

כברירת מחדל, כלי לניהול עומס העבודה מצפין את התוכן של הלקוחות במנוחה. ‫כלי לניהול עומס העבודה מטפל בהצפנה בשבילכם בלי שתצטרכו לבצע פעולות נוספות. האפשרות הזו נקראת הצפנת ברירת המחדל של Google.

אם אתם רוצים לשלוט במפתחות ההצפנה, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud KMS עם שירותים שמשולבים עם CMEK, כולל כלי לניהול עומס העבודה. שימוש במפתחות Cloud KMS מאפשר לכם לשלוט ברמת ההגנה, במיקום, בלוח הזמנים של הרוטציה, בשימוש ובהרשאות הגישה, ובגבולות הקריפטוגרפיים. בנוסף, באמצעות Cloud KMS תוכלו לצפות ביומני ביקורת ולשלוט במחזורי החיים של המפתחות. במקום ש-Google תהיה הבעלים של מפתחות ההצפנה של המפתחות (KEK) הסימטריים שמגנים על הנתונים שלכם ותנהל אותם, אתם שולטים במפתחות האלה ומנהלים אותם ב-Cloud KMS.

אחרי שמגדירים את המשאבים באמצעות CMEK, הגישה למשאבים של כלי לניהול עומס העבודה דומה לגישה באמצעות ההצפנה שמוגדרת כברירת מחדל ב-Google. מידע נוסף על אפשרויות ההצפנה זמין במאמר מפתחות הצפנה בניהול הלקוח (CMEK).

מגבלות

ההגבלות הבאות חלות על הצפנות CMEK בכלי לניהול עומס העבודה:

הצפנה באמצעות CMEK זמינה רק להערכות של סוג כלל מותאם אישית בכלי לניהול עומס העבודה. תכונות אחרות של כלי לניהול עומס העבודה, כמו הערכות או פריסות של SAP, משתמשות בהצפנה שמוגדרת כברירת מחדל ב-Google, כי לא מעורב בהן תוכן של לקוחות במצב מנוחה.
כלי לניהול עומס העבודה מחיל מפתחות CMEK על האחסון שבבעלות כלי לניהול עומס העבודה בלבד.

לפני שמתחילים

כדי להשתמש ב-CMEK, צריך ליצור מפתח Cloud Key Management Service ולהעניק את ההרשאות הנדרשות.

יצירה של אוסף מפתחות ומפתח

בוחרים פרויקט ופועלים לפי המדריך ליצירת מפתחות סימטריים ב-Cloud KMS כדי ליצור אוסף מפתחות ומפתח. המיקום של מחזיק המפתחות צריך להיות זהה למיקום של הבדיקה.

שימו לב: כלי לניהול עומס העבודה תומך במפתח מנוהל חיצוני. מידע נוסף זמין במאמר בנושא Cloud External Key Manager.
נותנים הרשאות.

כדי לספק גישה למפתח Cloud KMS, צריך להעניק את התפקיד roles/cloudkms.cryptoKeyEncrypterDecrypter לסוכן השירות של כלי לניהול עומס העבודה. סוכן השירות הוא service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com, כאשר PROJECT_ID הוא מזהה הפרויקט שבו נוצרה ההערכה.

איך CMEK פועל בהערכות של סוג כלל מותאם אישית

בקטע הזה מוסבר איך CMEK פועל בהערכות של סוגי כללים בהתאמה אישית.

הקצאת הרשאות למפתחות KMS

אתם יכולים לספק מפתח Cloud KMS במהלך תהליך היצירה או העדכון של הערכה של סוג כלל מותאם אישית. ההוראה הזו היא אופציונלית. אם לא מציינים מפתח Cloud KMS, ‏ כלי לניהול עומס העבודה משתמש בהצפנת ברירת המחדל של Google. מפתח Cloud KMS שצוין חייב להיות קיים, ולחשבון השירות של כלי לניהול עומס העבודה צריך להיות מוקצה התפקיד Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) כדי להשתמש במפתח Cloud KMS. ‫כלי לניהול עומס העבודה מאמת את מפתח Cloud KMS במהלך יצירה או עדכון של ההערכה, ומחזיר שגיאות.

הצפנת נתונים

כשמריצים הערכה עם מפתח Cloud KMS שהוקצה, כלי לניהול עומס העבודה משתמש במפתח Cloud KMS שסופק כדי להצפין את האחסון שבבעלות כלי לניהול עומס העבודה:

קטגוריה של Cloud Storage זמנית שמשמשת את פעולת ההערכה. קטגוריה של Cloud Storage הזמנית נוצרת בתחילת ההערכה ונמחקת בסוף ההערכה.
מערכי נתונים ב-BigQuery שבהם מאוחסנים תוצאות ההערכה.

כלי לניהול עומס העבודה לא משתמש במפתחות האלה כדי להצפין נתונים בקטגוריות של Cloud Storage שבהן מאוחסנים כללים מותאמים אישית, או במערכי נתונים חיצוניים של BigQuery שבהם נשמרים תוצאות ההערכה.

גישה לנתונים

כלי לניהול עומס העבודה מצפין את תוצאות ההערכה באמצעות הגרסה הראשית של מפתח Cloud KMS שסופק בזמן הפעלת ההערכה. תוכלו לגשת לתוצאות של הערכה ולראות אותן אם גרסת המפתח הספציפית הזו ב-Cloud KMS נשארת מופעלת.

רוטציית מפתחות KMS לא משפיעה על הגישה לתוצאות ההערכה. כשמבצעים רוטציה למפתח, נוצרת גרסה חדשה והגרסאות הקודמות נשארות.

תוצאות ההערכה לא מוצפנות מחדש כשמתבצעת רוטציה של המפתח.

הגדרת CMEK להערכות של סוגי כללים בהתאמה אישית

כדי להשתמש ב-CMEK להערכות של סוגי כללים בהתאמה אישית, קודם צריך ליצור מפתח ב-Cloud KMS, ואז להעניק למפתח את ההרשאות הנדרשות כמו שמתואר בקטע לפני שמתחילים. אחרי שתעשו את זה, תוכלו להשתמש במפתח כדי ליצור או לעדכן הערכות, להריץ הערכות ולצפות בתוצאות ההערכות.

יצירת הערכה עם CMEK

אפשר ליצור הערכות מותאמות אישית של סוגי כללים באמצעות CMEK באותו אופן שמתואר בדף יצירת ההערכה. אפשר להפעיל CMEK אחרי שבוחרים את האזורים.

ברשימה הצפנה (אופציונלי), בוחרים באפשרות מפתח הצפנה בניהול הלקוח (CMEK).
בוחרים מפתח Cloud KMS.

עדכון הערכה באמצעות CMEK

אפשר לעדכן הערכה כדי להשתמש במפתחות CMEK.

בדף העריכה של ההערכה, בוחרים באפשרות Customer-managed encryption key (CMEK) (מפתח הצפנה בניהול הלקוח) ברשימה Encryption (Optional) (הצפנה (אופציונלי))
בוחרים מפתח Cloud KMS.

צפייה בתוצאות ההערכה באמצעות CMEK

אפשר לראות את תוצאות ההערכה באותו אופן שמתואר בדף הצגת תוצאות ההערכה. לא נדרשת פעולה נוספת.

מכסות Cloud KMS וכלי לניהול עומס העבודה

כשמשתמשים ב-CMEK בכלי לניהול עומס העבודה, הפרויקטים יכולים לנצל את מכסות הבקשות הקריפטוגרפיות של Cloud KMS. לדוגמה, הערכות של כלי לניהול עומס העבודה שמוצפנות באמצעות CMEK יכולות לנצל את המכסות האלה. פעולות הצפנה ופענוח באמצעות מפתחות CMEK משפיעות על מכסות Cloud KMS רק אם משתמשים במפתחות חומרה (Cloud HSM) או במפתחות חיצוניים (Cloud EKM). מידע נוסף זמין במאמר בנושא מכסות ב-Cloud KMS.

למפתחות חיצוניים, מכסת ברירת המחדל היא 100 QPS לכל פרויקט מפתח לפעולות קריפטוגרפיות. במקרה הצורך, אפשר לבקש מכסת EKM גבוהה יותר.