Zákazníkem spravované šifrovací klíče (CMEK) vám dávají kontrolu nad šifrovacími klíči, pomocí nichž jsou chráněna vaše neaktivní data uložená v Google Cloudu. Tento článek popisuje, jak tyto klíče ve službě Ads Data Hub nastavit a spravovat.
Služba Ads Data Hub šifruje neaktivní uložená data pomocí klíčů spravovaných společností Google. Pokud nemáte specifické požadavky, které vyžadují použití šifrovacích klíčů spravovaných zákazníkem, je pro vás výchozí šifrování prováděné Googlem nejlepší volbou.
Abyste mohli používat zákazníkem spravované klíče, musíte:
- používat službu Cloud Key Management Service (KMS),
- mít nakonfigurován administrátorský projekt a používat nový servisní účet.
Další informace o klíčích CMEK
Povolení CMEK
- Na stránce služby Cloud Key Management Service vytvořte symetrický klíč.
- Můžete jej vytvořit v jakémkoli projektu v Google Cloudu.
- Dbejte na to, abyste klíč vytvořili v umístění kompatibilním s Cloud Key Management Service. V souladu s pokyny pro Cloud Key Management Service není doporučeno používat region „globální“, protože to může omezovat výkon. Pokud si svůj region nepamatujete, kontaktujte podporu služby Ads Data Hub.
Region ADH Umístění Cloud KMS US US EU europe asia-northeast1 asia, asia-northeast1 australia-southeast1 australia-southeast1
- Na stránce Správa identit a přístupů ve službě Cloud (IAM) udělte servisnímu účtu Ads Data Hub roli pro šifrování a dešifrování klíče Cloud KMS CryptoKey (
roles/cloudkms.cryptoKeyEncrypter). Alternativně dejte servisnímu účtu Ads Data Hub přímo oprávnění ke klíči na stránce Cloud Key Management Service. - V uživatelském rozhraní Ads Data Hub:
- Přejděte na kartu Nastavení.
- V části Šifrování spravované zákazníkem klikněte na Upravit.
- Přepněte Šifrování spravované zákazníkem na Zapnuto.
- Vložte ID prostředku klíče. Poznámka: Musí jít o celé ID prostředku klíče, ne jen určitou verzi. Přečtěte si, jak zjistit ID prostředku Cloud Key Management Service.
- Klikněte na Uložit.
Správa klíčů
Rotace klíče
Rotace klíčů je běžný bezpečnostní postup. Pokyny ohledně rotace klíčů najdete na stránce Cloud Key Management Service zde.
Ads Data Hub neprovádí automatickou rotaci šifrovacího klíče, když dojde k rotaci klíče Cloud Key Management Service přiřazeného k danému účtu. Stávající tabulky nadále používají verzi klíče, se kterou byly vytvořeny. Nové tabulky používají aktuální verzi klíče.
Změna klíčů
Namísto rotace existujícího klíče můžete přejít na nový klíč. To je užitečné, když potřebujete určitý klíč zničit nebo provést výrazné změny ve správě klíčů, například přejít na jinou úroveň ochrany.
Když chcete přejít na nový klíč, postupujte podle pokynů v části Povolení klíče CMEK. Upozornění: změna nebo zničení předchozího klíče ještě před dokončením updatu může vést k trvalé ztrátě dat.
Odebrání oprávnění, deaktivování nebo zničení klíče
Pokud potřebujete provést níže uvedené akce, postupujte podle instrukcí v dokumentaci k platformě Google Cloud.
- Odebrání oprávnění servisnímu účtu služby Ads Data Hub
- Tato akce se projeví okamžitě. Dokud problém nevyřešíte, nebudete moci ve službě Ads Data Hub spouštět dotazy a ve vašich dočasných tabulkách a modelech může dojít k nenapravitelné ztrátě dat.
- Deaktivování klíče
- Může trvat až tři hodiny, než se tato akce ve službě Ads Data Hub projeví. Do té doby v ní stále můžete pomocí deaktivovaného klíče spouštět dotazy.
- Zničení klíče
- Důležité: Než zničíte svůj klíč, vypněte funkci CMEK. Pokud to neuděláte, nebudete moci ve službě Ads Data Hub až do vyřešení problému spouštět dotazy a ve vašich dočasných tabulkách a modelech může dojít k nenapravitelné ztrátě dat.
Vypnutí CMEK
Před smazáním aktivních klíčů je důležité vypnout funkci CMEK. Jinak přijdete o přístup k datům, která byla pomocí smazaných klíčů odstraněna.
Postup vypnutí funkce CMEK
- Ve službě Ads Data Hub přejděte na kartu Nastavení.
- V části Šifrování spravované zákazníkem klikněte na Upravit.
- Přepněte Šifrování spravované zákazníkem na Vypnuto.
- Klikněte na Uložit.