הפעלת מפתחות הצפנה בניהול הלקוח

מפתחות הצפנה בניהול הלקוח (CMEK) מאפשרים לכם לשלוט במפתחות ההצפנה שמשמשים להגנה על נתוני Google Cloud באחסון. במאמר הזה מוסבר איך להגדיר ולנהל CMEK ב-Ads Data Hub.

מערכת Ads Data Hub מצפינה נתונים במנוחה באמצעות מפתחות שמנוהלים על ידי Google. הצפנת ברירת המחדל של Google היא האפשרות הטובה ביותר, אלא אם יש לכם דרישות ספציפיות שמחייבות את השימוש ב-CMEK.

כדי להשתמש ב-CMEK, צריך:

  • שימוש ב-Cloud Key Management Service (KMS).
  • הגדרתם בעבר פרויקט אדמין ועדכנתם לחשבון השירות החדש.

מידע נוסף על CMEK

הפעלת CMEK

  1. בדף Cloud KMS, יוצרים מפתח סימטרי.
    1. אפשר ליצור את המפתח בכל פרויקט ב-Google Cloud.
    2. עליכם לוודא שאתם יוצרים את המפתח במיקום תואם ב-Cloud KMS. לפי ההנחיות של Cloud KMS, לא מומלץ להשתמש באזור ה"גלובלי" בגלל מגבלות ביצועים פוטנציאליות. אם אתם לא זוכרים את האזור שלכם, תוכלו לפנות לתמיכה של Ads Data Hub.
      אזור ADHמיקומים ב-Cloud KMS
      ארצות הבריתארצות הברית
      האיחוד האירופיeurope
      אסיה-צפון-מזרח 1אסיה, אסיה-northeast1
      australia-southeast1australia-southeast1
  2. בדף Cloud Identity and Access Management (IAM), מקצים לחשבון השירות של Ads Data Hub את התפקיד Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypter). לחלופין, ניתן להעניק הרשאה לחשבון השירות של Ads Data Hub ישירות למפתח בדף Cloud KMS.
  3. בממשק המשתמש של Ads Data Hub:
    1. עוברים לכרטיסייה הגדרות.
    2. בקטע 'הצפנה בניהול הלקוח', לוחצים על עריכה.
    3. מעבירים את המתג 'הצפנה בניהול הלקוח' למצב 'מופעל'.
    4. מדביקים את המזהה של משאב המפתח. הערה: המזהה צריך להיות מזהה המשאב המלא של המפתח, ולא גרסה ספציפית. איך מקבלים מזהה משאב ב-Cloud KMS
    5. לוחצים על שמירה.

ניהול המפתחות

סיבוב של מפתח

רוטציית מפתחות היא נוהג אבטחה מקובל. כאן מפורטות הוראות לרוטציית מפתחות בדף Cloud KMS.

מערכת Ads Data Hub לא מבצעת רוטציה אוטומטית של מפתח ההצפנה כשמתבצעת רוטציה של מפתח Cloud KMS שמשויך לחשבון. בטבלאות הקיימות ממשיכים להשתמש בגרסת המפתח שבאמצעותה הן נוצרו. בטבלאות החדשות נעשה שימוש בגרסת המפתח הנוכחית.

שינוי המקשים

אפשר להחליף למפתח חדש במקום לסובב מפתח קיים. זו אפשרות שימושית כשרוצים להרוס מפתח או לבצע שינויים משמעותיים בניהול המפתחות, כמו מעבר לרמת הגנה אחרת.

כדי לעבור למפתח חדש, צריך לפעול לפי ההוראות בקטע הפעלת CMEK. זהירות: שינוי או השמדה של המפתח הקודם לפני השלמת העדכון עלולים לגרום לאובדן נתונים באופן סופי.

ביטול הרשאות, השבתה או השמדה של מפתח

תוכלו להיעזר בהוראות במסמכי התיעוד של Google Cloud כדי לבצע את הפעולות הבאות:

  • ביטול ההרשאות של חשבון השירות ב-Ads Data Hub.
    • הפעולה הזו נכנסת לתוקף באופן מיידי. לא תוכלו להריץ שאילתות ב-Ads Data Hub עד לפתרון הבעיה, וייתכן שטבלאות הזמן והמודלים הזמניים שלך ייפגמו ולא ניתן יהיה לשחזר אותם.
  • השבתה של מפתח.
    • ייתכן שיחלפו עד 3 שעות לפני שהפעולה הזו תופיע ב-Ads Data Hub. עד אז, אפשר להמשיך להריץ שאילתות באמצעות המפתח שהושבת ב-Ads Data Hub.
  • להשמיד מפתח.
    • חשוב: צריך להשבית את CMEK לפני השמדת המפתח. אם לא תעשו זאת, לא תוכלו להריץ שאילתות ב-Ads Data Hub עד לפתרון הבעיה, ויכול להיות שלא ניתן יהיה לשחזר את הנתונים בטבלאות ובמודלים הזמניים שלכם.

השבתת CMEK

חשוב להשבית את CMEK לפני שמוחקים מפתחות פעילים. אחרת, תאבד הגישה לנתונים שהוצפנו באמצעות המפתחות שנמחקו.

כדי להשבית את CMEK:

  1. עוברים לכרטיסייה הגדרות ב-Ads Data Hub.
  2. בקטע 'הצפנה בניהול הלקוח', לוחצים על עריכה.
  3. מעבירים את המתג 'הצפנה בניהול הלקוח' למצב 'מושבת'.
  4. לוחצים על שמירה.