The Data Manager API is in closed beta. To express interest in joining the closed beta, fill out this form.

Эта страница переведена с помощью Cloud Translation API.

Шифрование пользовательских данных

Вот как отправить зашифрованные данные:

Настройте интерфейс командной строки Google Cloud

Установите и инициализируйте интерфейс командной строки Google Cloud.
Чтобы выбрать или создать новый проект Google Cloud и включить службу управления ключами Cloud , нажмите Включить Cloud KMS .
Совет: мы рекомендуем использовать отдельный проект для ресурсов Cloud KMS, который не содержит других ресурсов Google Cloud.
Включить облачный KMS
Чтобы настроить проект в вашей среде, используйте команду gcloud config set . Чтобы проверить, настроен ли проект в вашей среде, выполните gcloud config list .
Если project не установлен или вы хотите использовать другой проект для своего ключа, выполните gcloud config set :
```
gcloud config set project PROJECT_ID
```

Создать ключ

Более подробную информацию см. в обзоре Cloud Key Management Service .

Создайте связку ключей.
```
gcloud kms keyrings create KEY_RING_NAME \
    --location KEY_RING_LOCATION
```
Более подробную информацию см. в разделе Создание брелока .
Создайте ключ в связке ключей. Параметр ROTATION_PERIOD указывает интервал ротации ключа, а параметр NEXT_ROTATION_TIME — дату и время первой ротации.
Например, чтобы ротировать ключ каждые 30 дней и выполнять первую ротацию через 1 неделю, установите ROTATION_PERIOD на 30d и NEXT_ROTATION_TIME на $(date --utc --date="next week" --iso-8601=seconds) .
```
gcloud kms keys create KEY_NAME \
    --keyring KEY_RING_NAME \
    --location KEY_RING_LOCATION \
    --purpose "encryption" \
    --rotation-period ROTATION_PERIOD \
    --next-rotation-time "NEXT_ROTATION_TIME"
```
Более подробную информацию см. в разделе Создание ключа .

Создайте поставщика пула удостоверений рабочей нагрузки

В этом разделе представлен краткий обзор Workload Identity Federation. Подробнее см. в разделе Workload Identity Federation .

Создайте пул идентификаторов рабочей нагрузки (WIP). location пула должно быть global .
```
gcloud iam workload-identity-pools create WIP_ID \
   --location=global \
   --display-name="WIP_DISPLAY_NAME" \
   --description="WIP_DESCRIPTION"
```
Дополнительную информацию см. в разделе Управление пулами удостоверений рабочей нагрузки и поставщиками .

Создайте поставщика пула удостоверений рабочей нагрузки. Аргумент --attribute-condition проверяет, является ли вызывающая сторона конфиденциальной учётной записью службы сопоставления.

gcloud iam workload-identity-pools providers create-oidc PROVIDER_ID \
   --location=global \
   --workload-identity-pool=WIP_ID \
   --display-name="PROVIDER_DISPLAY_NAME" \
   --description="PROVIDER_DESCRIPTION" \
   --attribute-mapping="google.subject=assertion.sub,google.groups=[\"PROVIDER_ID\"]" \
   --attribute-condition="assertion.swname == 'CONFIDENTIAL_SPACE' &&
     'STABLE' in assertion.submods.confidential_space.support_attributes &&
     ['cfm-services@admcloud-cfm-services.iam.gserviceaccount.com'].exists(
         a, a in assertion.google_service_accounts) &&
     'ECDSA_P256_SHA256:6b1f357b59e9407fb017ca0e3e783b2bd5acbfea6c83dd82971a4150df5b25f9'
     in assertion.submods.container.image_signatures.map(sig, sig.signature_algorithm+':'+sig.key_id)" \
   --issuer-uri="https://confidentialcomputing.googleapis.com" \
   --allowed-audiences="https://sts.googleapis.com"

Предоставьте роль расшифровщика ключей поставщику WIP.

# Grants the role to the WIP provider.
gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING_NAME \
    --location KEY_RING_LOCATION \
    --member "principalSet://iam.googleapis.com/projects/PROJECT_ID/locations/global/workloadIdentityPools/WIP_ID/group/PROVIDER_ID" \
    --role "roles/cloudkms.cryptoKeyDecrypter"

Шифровать данные

Для шифрования в API диспетчера данных требуется ключ шифрования данных (DEK). DEK — это симметричный ключ, используемый для шифрования данных. Ваш DEK шифруется с помощью ключа Google Cloud KMS. Вы отправляете зашифрованный DEK вместе с запросом.

Чтобы подготовить данные в запросе к шифрованию, следуйте тем же правилам форматирования и хеширования, которые вы используете для незашифрованных данных.

Не шифруйте нехешированные значения. Например, region_code или postal_code в AddressInfo .

После того как данные для каждого поля отформатированы и хешированы, зашифруйте хешированное значение, выполнив следующие шаги:

Закодируйте байты хеша с помощью кодировки Base64.
Зашифруйте хэш в кодировке Base64, используя ваш DEK.
Закодируйте выходные данные процесса шифрования с помощью шестнадцатеричного кодирования или кодирования Base64.
Используйте закодированное значение для поля.
Установите параметры encryption_info и encoding в запросе.

Чтобы завершить последний шаг, измените IngestAudienceMembersRequest , указав, что вы зашифровали свои данные:

Установите поле encryption_info .
Установите поле encoding в соответствии с кодировкой, используемой для кодирования зашифрованных значений поля.

Вот фрагмент запроса с установленными полями шифрования и кодирования:

{
  ...
  "encryptionInfo": {
    "gcpWrappedKeyInfo": {
      "kekUri": "gcp-kms://projects/PROJECT_ID/locations/KEY_RING_LOCATION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME",
      "wipProvider": "projects/PROJECT_ID/locations/global/workloadIdentityPools/WIP_ID/providers/PROVIDER_ID",
      "keyType": "XCHACHA20_POLY1305",
      "encryptedDek": "ENCRYPTED_DEK"
    }
  },
  "encoding": "ENCODING"
}

Чтобы использовать библиотеку и утилиты API Data Manager для создания и отправки запроса, см. пример кода IngestAudienceMembersWithEncryption для Java или пример кода ingest_audience_members_with_encryption для Python.