تشفير البيانات باستخدام مفاتيح التشفير التي يديرها العميل

يوضّح هذا المستند كيفية استخدام مفاتيح التشفير المُدارة من قِبل العميل (CMEK) من أجل تشفير البيانات غير النشطة والتحكّم فيها في إحدى الخدمات السحابية من خلال خدمة إدارة المفاتيح في السحابة الإلكترونية. تم دمج مفتاح التشفير الذي يديره العميل (CMEK) مع ميزة تخصيص الرموز البرمجية في Gemini Code Assist. لا يتيح Gemini Code Assist استخدام مفاتيح Cloud EKM.

في هذا المستند، عليك تنفيذ ما يلي:

  • تعرَّف على كيفية إنشاء مفتاح CMEK.
  • منح أذونات لحساب خدمة Gemini Code Assist
  • أنشئ فهرسًا لمستودع الرموز باستخدام مفتاح تشفير يديره العميل (CMEK).
  • إزالة إذن الوصول إلى مستودع مفاتيح CMEK

بشكل تلقائي، يشفّر "Gemini في Google Cloud" محتوى العملاء غير النشط. يتولّى Gemini عملية التشفير نيابةً عنك بدون الحاجة إلى اتّخاذ أي إجراءات إضافية من جانبك. يُسمّى هذا الخيار ترميز Google التلقائي.

بعد إعداد مواردك باستخدام مفاتيح CMEK، ستكون تجربة الوصول إلى موارد Gemini مشابهة لتجربة استخدام التشفير التلقائي من Google. لمزيد من المعلومات عن خيارات التشفير، يُرجى الاطّلاع على مفاتيح التشفير التي يديرها العميل (CMEK).

قبل البدء

  1. في إحدى بيئات التطوير التالية، يمكنك إعداد gcloud CLI:

    في حال استخدام موفِّر هوية خارجي، عليك أولاً تسجيل الدخول إلى gcloud CLI باستخدام هويتك الموحّدة.

  2. في بيئة shell، شغِّل الأمر gcloud components update للتأكّد من أنّك قد حدّثت جميع المكوّنات المثبَّتة من gcloud إلى أحدث إصدار. في هذه الخطوة، يمكنك تثبيت gcloud وإعداده، أو يمكنك استخدام Cloud Shell.

    gcloud components update

إنشاء مفتاح تشفير مُدار من العميل (CMEK) ومنح الأذونات

لإنشاء مفتاح تشفير مُدار من العميل (CMEK) ومنح حساب خدمة Gemini Code Assist أذونات بشأن المفتاح، عليك تنفيذ المهام التالية:

  1. في مشروع Google Cloud الذي تريد إدارة مفاتيحك فيه، اتّبِع الخطوات التالية:

    1. فعِّل واجهة برمجة التطبيقات Cloud Key Management Service API.

    2. أنشئ سلسلة مفاتيح ومفتاحًا باستخدام أحد الخيارات التالية:

  2. امنح دور CryptoKey Encrypter/Decrypter في "إدارة الهوية وإمكانية الوصول" (roles/cloudkms.cryptoKeyEncrypterDecrypter) إلى حساب خدمة Gemini Code Assist. امنح هذا الإذن على المفتاح الذي أنشأته.

    وحدة التحكّم

    1. انتقِل إلى إدارة المفاتيح.

      الانتقال إلى "إدارة المفاتيح"

    2. اختَر المفتاح الذي أنشأته.

    3. امنح إذن الوصول إلى حساب خدمة Gemini Code Assist:

      1. انقر على إضافة مدير.
      2. أضِف حساب خدمة Gemini Code Assist. حساب الخدمة هو service-PROJECT_NUMBER@gcp-sa-cloudaicompanions.، حيث PROJECT_NUMBER هو رقم المشروع لمشروع Google Cloud الذي تم تفعيل Gemini Code Assist فيه.
      3. في اختيار دور، اختَر Cloud KMS > Cloud KMS CryptoKey Encrypter/Decrypter.
      4. انقر على حفظ.

    4. كرِّر الخطوة السابقة لمنح إذن الوصول إلى الحساب الذي سينشئ فهرس مستودع الرموز باستخدام مفتاح تشفير مُدار من العميل (CMEK).

    5. ارجع إلى صفحة إدارة المفاتيح واختَر المفتاح مرة أخرى.

    6. انقر على إظهار لوحة المعلومات. يجب أن تظهر لك الأدوار في عمود الدور/العضو.

    gcloud

    1. لمنح إذن الوصول إلى حساب خدمة Gemini Code Assist، استخدِم الأمر kms keys add-iam-policy-binding في بيئة shell:

      gcloud kms keys add-iam-policy-binding KEY_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --keyring=KEYRING_NAME \
    --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudaicompanion." \
    --role="roles/cloudkms.cryptoKeyEncrypterDecrypter"

      غيِّر القيم في السلسلة على الشكل التالي:

      • KEY_NAME: اسم المفتاح
      • PROJECT_ID: رقم تعريف المشروع الذي يحتوي على المفتاح
      • LOCATION: الموقع الجغرافي للمفتاح
      • استبدِل KEYRING_NAME باسم سلسلة المفاتيح.
      • PROJECT_NUMBER: رقم المشروع لمشروع Google Cloud الذي تم تفعيل Gemini Code Assist فيه.

    2. كرِّر الخطوة السابقة لمنح إذن الوصول إلى الحساب الذي سينشئ فهرس مستودع الرموز باستخدام مفتاح تشفير مُدار من العميل (CMEK).

    لمزيد من المعلومات حول هذا الأمر، يُرجى الاطّلاع على gcloud kms keys add-iam-policy-binding المستندات.

يمكنك الآن إنشاء فهرس لمستودع الرموز باستخدام مفتاح مُدار من العميل باستخدام واجهة برمجة التطبيقات، وتحديد المفتاح الذي تريد استخدامه للتشفير.

إنشاء فهرس لمستودع الرموز باستخدام مفتاح تشفير يديره العميل

لإنشاء مستودع جديد يتضمّن حماية باستخدام مفتاح التشفير المُدارة من العميل (CMEK)، اتّبِع أحد الإجراءَين التاليَين:

gcloud

استخدِم الأمر gemini code-repository-indexes create:

gcloud gemini code-repository-indexes create CODE_REPOSITORY_INDEX_NAME \
    --location=LOCATION \
    --kms-key="projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/KEYRING_NAME/cryptoKeys/KEY_NAME"

غيِّر القيم في السلسلة على الشكل التالي:

  • CODE_REPOSITORY_INDEX_NAME: اسم فهرس مستودع الرموز الجديد الذي ستنشئه
  • LOCATION: الموقع الجغرافي للمفتاح
  • KEY_PROJECT_ID: رقم تعريف المشروع الرئيسي.
  • استبدِل KEYRING_NAME باسم سلسلة المفاتيح.
  • KEY_NAME: اسم المفتاح

واجهة برمجة التطبيقات

  1. أنشئ ملف JSON يحتوي على المعلومات التالية:

      {
    "kmsKey": "projects/KEY_PROJECT_ID/locations/KEY_LOCATION/keyRings/KEYRING_NAME/cryptoKeys/KEY_NAME"
  }

    غيِّر القيم في السلسلة على الشكل التالي:

    • KEY_PROJECT_ID: رقم تعريف المشروع الرئيسي
    • استبدِل KEY_LOCATION بموقع المفتاح
    • استبدِل KEYRING_NAME باسم سلسلة المفاتيح.
    • KEY_NAME: اسم المفتاح

  2. استخدِم أمر cURL لاستدعاء الطريقة projects.locations.codeRepositoryIndexes.create:

    curl -X POST --data-binary @JSON_FILE_NAME \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://cloudaicompanion.googleapis.com/v1/projects/PROJECT_ID/locations/KEY_LOCATION/codeRepositoryIndexes?codeRepositoryIndexId=CODE_REPOSITORY_INDEX_NAME"

    غيِّر القيم في السلسلة على الشكل التالي:

    • استبدِل JSON_FILE_NAME بمسار ملف JSON الذي أنشأته في الخطوة السابقة.
    • استبدِل PROJECT_ID برقم تعريف المشروع الذي تريد إنشاء المستودع فيه.
    • KEY_LOCATION: الموقع الجغرافي الذي سيتم فيه إنشاء المستودع، ويجب أن يتطابق مع الموقع الجغرافي الذي يتوفّر فيه مفتاح CMEK.
    • استبدِل CODE_REPOSITORY_INDEX_NAME باسم فهرس مستودع الرموز الجديد الذي ستنشئه. على سبيل المثال، zg-btf-0001.

يعرض الردّ مجموعة من إدخالات السجلّ.

إزالة إذن الوصول إلى مستودع مفاتيح CMEK

هناك عدة طرق لإزالة إذن الوصول إلى مستودع مشفّر باستخدام مفتاح CMEK:

ننصحك بإبطال الأذونات من حساب خدمة Gemini Code Assist قبل إيقاف مفتاح أو إتلافه. تكون التغييرات في الأذونات متسقة في غضون ثوانٍ، ما يتيح لك ملاحظة تأثيرات إيقاف مفتاح أو إتلافه.