เปิดใช้คีย์การเข้ารหัสลับที่จัดการโดยลูกค้า

คีย์การเข้ารหัสที่จัดการโดยลูกค้า (CMEK) ช่วยให้คุณควบคุมคีย์การเข้ารหัสที่ใช้เพื่อปกป้องข้อมูล Google Cloud ที่ไม่มีการเคลื่อนไหวได้ บทความนี้อธิบายวิธีตั้งค่าและจัดการ CMEK ใน Ads Data Hub

ฮับข้อมูลในบริบทโฆษณาจะเข้ารหัสข้อมูลไว้เมื่อไม่มีการเคลื่อนไหวโดยใช้คีย์ที่จัดการโดย Google การเข้ารหัสเริ่มต้นของ Google เป็นตัวเลือกที่ดีที่สุด เว้นแต่คุณจะมีข้อกำหนดเฉพาะที่จำเป็นต้องใช้ CMEK

หากต้องการใช้ CMEK คุณต้องมีคุณสมบัติดังนี้

• ใช้ Cloud Key Management Service (KMS)
• เคยกําหนดค่าโปรเจ็กต์ผู้ดูแลระบบและอัปเดตเป็นบัญชีบริการใหม่แล้ว

ดูข้อมูลเพิ่มเติมเกี่ยวกับ CMEK

เปิดใช้ CMEK

1. ในหน้า Cloud KMS ให้สร้างคีย์แบบสมมาตร
   1. คุณสร้างคีย์ในโปรเจ็กต์ Google Cloud ใดก็ได้
   2. ตรวจสอบว่าคุณสร้างคีย์ภายใต้ตำแหน่ง Cloud KMS ที่เข้ากันได้ ตามหลักเกณฑ์ของ Cloud KMS ไม่แนะนําให้ใช้ภูมิภาค "ทั่วโลก" เนื่องจากอาจมีข้อจํากัดด้านประสิทธิภาพ หากจำภูมิภาคไม่ได้ โปรดติดต่อทีมสนับสนุนของ Ads Data Hub

      ภูมิภาค ADH	ตำแหน่งที่ตั้งของ Cloud KMS
      สหรัฐอเมริกา	สหรัฐอเมริกา
      สหภาพยุโรป	ยุโรป
      asia-northeast1	เอเชีย, asia-northeast1
      australia-southeast1	australia-southeast1

2. ในหน้าการจัดการการเข้าถึงและการระบุตัวตนในระบบคลาวด์ (IAM) ให้มอบสิทธิ์บัญชีบริการ Ads Data Hub บทบาทผู้เข้ารหัส/ผู้ถอดรหัส CryptoKey ของ Cloud KMS (roles/cloudkms.cryptoKeyEncrypter) หรือให้สิทธิ์บัญชีบริการ Ads Data Hub เข้าถึงคีย์โดยตรงในหน้า Cloud KMS
3. ใน UI ของ Ads Data Hub
   1. ไปที่แท็บการตั้งค่า
   2. ในส่วน "การเข้ารหัสที่ลูกค้าจัดการ" ให้คลิกแก้ไข
   3. สลับ "การเข้ารหัสที่จัดการโดยลูกค้า" เป็น "เปิด"
   4. วางรหัสทรัพยากรของคีย์ หมายเหตุ: ต้องเป็นรหัสทรัพยากรทั้งหมดของคีย์ ไม่ใช่เวอร์ชันที่เฉพาะเจาะจง ดูวิธีรับรหัสทรัพยากร Cloud KMS
   5. คลิกบันทึก

จัดการคีย์

หมุนเวียนคีย์

การเปลี่ยนคีย์เป็นแนวทางปฏิบัติด้านความปลอดภัยทั่วไป ดูวิธีการหมุนเวียนคีย์ในหน้า Cloud KMS ได้ที่นี่

Ads Data Hub จะไม่หมุนเวียนคีย์การเข้ารหัสโดยอัตโนมัติเมื่อคีย์ Cloud KMS ที่เชื่อมโยงกับบัญชีหมุนเวียน ตารางที่มีอยู่จะใช้เวอร์ชันคีย์ที่ใช้สร้างต่อไป ตารางใหม่จะใช้คีย์เวอร์ชันปัจจุบัน

เปลี่ยนคีย์

คุณเปลี่ยนเป็นกุญแจใหม่แทนการหมุนกุญแจที่มีอยู่ได้ ซึ่งจะมีประโยชน์เมื่อคุณต้องการทำลายคีย์หรือทําการเปลี่ยนแปลงที่สําคัญในการจัดการคีย์ เช่น การเปลี่ยนเป็นระดับการปกป้องที่ต่างกัน

หากต้องการเปลี่ยนไปใช้คีย์ใหม่ ให้ทําตามวิธีการในส่วนเปิดใช้ CMEK ข้อควรระวัง: การแก้ไขหรือทำลายคีย์ก่อนหน้าก่อนที่การอัปเดตจะเสร็จสมบูรณ์อาจส่งผลให้ข้อมูลสูญหายอย่างถาวร

เพิกถอนสิทธิ์ ปิดใช้ หรือทำลายคีย์

ทําตามวิธีการในเอกสารประกอบของ Google Cloud สําหรับการดําเนินการต่อไปนี้

• เพิกถอนสิทธิ์ของบัญชีบริการ Ads Data Hub
  • การดำเนินการนี้จะมีผลทันที คุณจะเรียกใช้การค้นหาใน Ads Data Hub ไม่ได้จนกว่าจะแก้ไขปัญหา และตารางและโมเดลชั่วคราวอาจสูญเสียข้อมูลที่กู้คืนไม่ได้
• ปิดใช้กุญแจ
  • การดําเนินการนี้อาจใช้เวลาถึง 3 ชั่วโมงจึงจะปรากฏใน Ads Data Hub ในระหว่างนี้ คุณจะเรียกใช้การค้นหาโดยใช้คีย์ที่ปิดใช้ใน Ads Data Hub ได้
• ทำลายกุญแจ
  • สำคัญ: ปิดใช้ CMEK ก่อนทำลายคีย์ หากไม่ดำเนินการดังกล่าว คุณจะเรียกใช้การค้นหาใน Ads Data Hub ไม่ได้จนกว่าจะแก้ไขปัญหา และตารางและโมเดลชั่วคราวอาจสูญเสียข้อมูลที่กู้คืนไม่ได้

ปิดใช้ CMEK

คุณต้องปิดใช้ CMEK ก่อนลบคีย์ที่ใช้งานอยู่ มิฉะนั้น คุณจะเสียสิทธิ์เข้าถึงข้อมูลที่เข้ารหัสโดยใช้คีย์ที่ลบไปแล้ว

วิธีปิดใช้ CMEK

1. ไปที่แท็บการตั้งค่าใน Ads Data Hub
2. ในส่วน "การเข้ารหัสที่ลูกค้าจัดการ" ให้คลิกแก้ไข
3. สลับ "การเข้ารหัสที่จัดการโดยลูกค้า" เป็น "ปิด"
4. คลิกบันทึก