Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) verwenden

Auf dieser Seite wird beschrieben, wie Sie Aufgaben im Zusammenhang mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) für Firestore ausführen. Weitere Informationen zu CMEK und deren Aktivierung finden Sie in der Cloud KMS-Dokumentation.

CMEK-Schlüssel vorbereiten

Bevor Sie eine CMEK-geschützte Firestore-Datenbank erstellen können, müssen Sie die folgenden Schritte ausführen:

  1. Antrag auf Zugriff auf die Firestore-CMEK-Funktion stellen
  2. Erstellen Sie einen Firestore-Dienst-Agent (oder rufen Sie ihn ab).
  3. Erstellen Sie einen CMEK-Schlüssel.
  4. Konfigurieren Sie die IAM-Einstellungen für diesen Schlüssel.

Führen Sie diese Schritte für jedes Projekt aus, das CMEK-geschützte Firestore-Datenbanken enthält. Wenn Sie später einen neuen CMEK-Schlüssel erstellen, müssen Sie die IAM-Einstellungen für diesen Schlüssel konfigurieren.

Zugriff anfordern

Bevor Sie einen Firestore-Dienst-Agent erstellen, füllen Sie dieses Formular aus, um Zugriff auf die CMEK-Funktion zu erhalten.

Firestore-Dienst-Agent erstellen

Zum Erstellen eines CMEK-Schlüssels benötigen Sie einen Firestore-Dienst-Agent. Dies ist ein von Google verwaltetes Dienstkonto, das von Firestore für den Zugriff auf den Schlüssel verwendet wird.

Führen Sie den Befehl services identity create aus, um den Dienst-Agent zu erstellen, den Firestore für den Zugriff auf den CMEK-Schlüssel in Ihrem Namen verwendet. Mit diesem Befehl wird das Dienstkonto erstellt, falls es noch nicht vorhanden ist, und es wird angezeigt.

gcloud beta services identity create \
    --service=firestore.googleapis.com \
    --project FIRESTORE_PROJECT

Ersetzen Sie FIRESTORE_PROJECT durch das Projekt, das Sie für Ihre Firestore-Datenbanken verwenden möchten.

Der Befehl zeigt die Dienst-Agent-ID an, die wie eine E-Mail-Adresse formatiert ist. Zeichnen Sie den Ausgabe-E-Mail-String auf, da Sie ihn in einem späteren Schritt benötigen.

Service identity created:
[email protected]

Schlüssel erstellen

Sie können einen Schlüssel verwenden, der direkt in Cloud KMS erstellt wurde, oder einen extern verwalteten Schlüssel, den Sie mit Cloud External Key Manager zur Verfügung stellen.

Der Speicherort des Cloud KMS-Schlüssels muss mit dem Speicherort der Firestore-Datenbank übereinstimmen, mit der er verwendet wird.

  • Verwenden Sie für regionale Datenbankspeicherorte denselben Speicherortnamen für Schlüsselbund, Schlüssel und Datenbank, da die Speicherortnamen eine Eins-zu-Eins-Zuordnung haben.

    Wenn Sie beispielsweise eine CMEK-geschützte Datenbank in us-west1 erstellen möchten, erstellen Sie einen Schlüsselbund und einen Schlüssel in us-west1.

  • Verwenden Sie für multiregionale Datenbankspeicherorte den Standortnamen des multiregionalen KMS-Standorts:

    • Verwenden Sie den multiregionalen Cloud KMS-Standort us für den multiregionalen Firestore-Standort nam5.
    • Verwenden Sie den multiregionalen Cloud KMS-Standort europe für den multiregionalen Firestore-Standort eur3.

Führen Sie in dem Google Cloud-Projekt, in dem Sie Ihre Schlüssel verwalten möchten, die folgenden Schritte aus:

  1. Aktivieren Sie die Cloud KMS API.

  2. Erstellen Sie einen Schlüsselbund und einen Schlüssel mit einer der folgenden Optionen:

IAM-Einstellungen für den Schlüssel konfigurieren

Console

So weisen Sie Ihrem Dienst-Agent eine Cloud KMS-Rolle zu. Sie können auch eine Berechtigung auf Schlüssel- oder Schlüsselbundebene gewähren, wenn Sie einen niedrigeren Detaillierungsgrad benötigen.

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    Zur Seite "IAM"

  2. Klicken Sie auf Hinzufügen.

  3. Geben Sie die wie eine E-Mail-Adresse formatierte ID für den Firestore-Dienst-Agent ein.

  4. Wählen Sie die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.

  5. Klicken Sie auf Speichern.

gcloud

Weisen Sie Ihrem Dienst-Agent die Rolle cloudkms.cryptoKeyEncrypterDecrypter zu:

gcloud kms keys add-iam-policy-binding KMS_KEY \
--keyring KMS_KEYRING\
--location KMS_LOCATION \
--member serviceAccount:SERVICE_AGENT_EMAIL \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter \
--project KMS_PROJECT

Ersetzen Sie Folgendes:

  • KMS_KEY durch den Namen, den Sie dem Schlüssel zugewiesen haben
  • KMS_KEYRING durch den KMS-Schlüsselbund, der den Schlüssel enthält
  • KMS_LOCATION durch die Region, die den Schlüsselbund enthält
  • SERVICE_AGENT_EMAIL mit der wie eine E-Mail-Adresse formatierten Kennzeichnung für den Kundenservicemitarbeiter, dem Sie Zugriff gewähren
  • KMS_PROJECT durch das Projekt, das den Schlüssel enthält

Im Terminal sollte eine Antwort wie die folgende angezeigt werden:

Updated IAM policy for key KMS_KEY.
bindings:
- members:
- serviceAccount:
service-{project-number}@gcp-sa-firestore.iam.gserviceaccount.com
role: roles/cloudkms.cryptoKeyEncrypterDecrypter

CMEK-fähige Datenbank erstellen

Nachdem Ihre CMEK-Schlüssel erstellt und konfiguriert wurden, können Sie eine CMEK-geschützte Datenbank erstellen. Vorhandene Firestore-Datenbanken, die durch die Standardverschlüsselung von Google geschützt werden, können nicht für die Verwendung von CMEK konvertiert werden.

Sie können einen Verschlüsselungstyp und einen Schlüssel nur auswählen, wenn Sie eine CMEK-kompatible Datenbank erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Datenbanken auf.

    Zur Seite „Datenbanken“

  2. Klicken Sie auf Datenbank erstellen.

  3. Wählen Sie den Datenbankmodus aus. Klicken Sie auf Weiter.

  4. Geben Sie auf der Seite Datenbank konfigurieren eine Datenbank-ID ein.

  5. Wählen Sie einen Standort aus.

  6. Klicken Sie auf Verschlüsselungsoptionen anzeigen und wählen Sie dann Cloud KMS-Schlüssel aus.

  7. Wählen Sie den Ressourcennamen für den CMEK-Schlüssel aus, den Sie für die Datenbank verwenden möchten, oder geben Sie ihn ein.

  8. Die Liste der Schlüssel ist auf das aktuelle Google Cloud-Projekt und den von Ihnen ausgewählten Speicherort der Datenbank beschränkt. Wenn Sie einen Schlüssel aus einem anderen Google Cloud-Projekt verwenden möchten, klicken Sie auf Projekt wechseln oder Schlüssel manuell eingeben.

  9. Wenn Sie aufgefordert werden, dem Firestore-Dienstkonto die Schlüsselberechtigung zu erteilen, klicken Sie auf Erteilen. Damit Sie eine CMEK-Datenbank erstellen können, muss Ihrem Firestore-Dienstkonto die Rolle cloudkms.cryptoKeyEncrypterDecrypter zugewiesen sein.

  10. Wählen Sie Sicherheitsregeln für mobile und Web-Clients aus.

  11. Klicken Sie auf Datenbank erstellen.

Nachdem die Datenbank erstellt wurde, können Sie in den Datenbankdetails prüfen, ob CMEK aktiviert ist:

  • Wenn Ihre Datenbank durch CMEK geschützt ist, wird im Feld Verschlüsselungstyp Vom Kunden verwaltet angezeigt. Im Feld Verschlüsselungsschlüssel sind der entsprechende Cloud KMS und die Schlüsselversion aufgeführt, die zum Schutz dieser Datenbank verwendet wird.
  • Wenn Ihre Datenbank nicht durch CMEK geschützt ist, wird im Feld Verschlüsselungstyp Von Google verwaltet angezeigt.

gcloud

Bevor Sie eine CMEK-kompatible Datenbank mit der Google Cloud CLI erstellen, installieren Sie die neueste Version und autorisieren Sie die gcloud CLI. Weitere Informationen finden Sie unter gcloud CLI installieren.

gcloud firestore databases create --location=FIRESTORE_DATABASE_LOCATION \
      --database=DATABASE_ID \
      --kms-key-name=KMS_KEY_NAME \
      --project=FIRESTORE_PROJECT

Ersetzen Sie Folgendes:

  • FIRESTORE_DATABASE_LOCATION mit dem Firestore-Speicherort für die Datenbank
  • DATABASE_ID durch eine ID für die Datenbank

  • KMS_KEY_NAME durch den Namen, den Sie dem Schlüssel zugewiesen haben. Verwenden Sie den vollständigen Ressourcennamen für den Schlüssel im folgenden Format:

    projects/KMS_PROJECT/locations/KMS_LOCATION/keyRings/KMS_KEYRING_ID/cryptoKeys/KMS_KEY_ID

  • FIRESTORE_PROJECT durch das Projekt, das für Ihre Firestore-Datenbank verwendet werden soll

REST API

HTTP-Anfrage:

POST https://firestore.googleapis.com/v1/projects/{FIRESOTRE_PROJECT}/databases

Konfigurieren Sie im Anfragetext CMEK im Feld cmek_config.kms_key_name.

Die vollständige Ressourcen-ID eines Cloud KMS-Schlüssels. Es ist nur ein Schlüssel am selben Speicherort wie diese Datenbank zulässig.

Dieser Wert sollte die Cloud KMS-Schlüsselressourcen-ID im Format projects/{KMS_PROJECT}/locations/{KMS_LOCATION}/keyRings/{KMS_KEYRING_ID}/cryptoKeys/{KMS_KEY_ID} sein.

Weitere Informationen zu anderen Feldern finden Sie auf der Seite database create.

Beispielanfrage:

curl -X POST 'https://firestore.googleapis.com/v1/projects/FIRESTORE_PROJECT/databases?databaseId={DATABASE_ID}' \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-type: application/json" \
-d '{
  "type":"FIRESTORE_NATIVE",
  "locationId":"{FIRESTORE_DATABASE_LOCATION}",
  "cmekConfig": {
    "kmsKeyName":"projects/KMS_PROJECT/locations/KMS_LOCATION/keyRings/KMS_KEYRING_ID/cryptoKeys/KMS_KEY_ID"
  }
}'

Firebase CLI

Verwenden Sie das Feld KMS-Schlüsselname, um eine CMEK-fähige Datenbank zu erstellen. Wenn Sie den Parameter --kms-key-name nicht angeben, wird in Firestore standardmäßig eine Datenbank ohne CMEK erstellt.

firebase firestore:databases:create DATABASE_ID
--location LOCATION
--kms-key-name projects/KMS_PROJECT/locations/KMS_LOCATION/keyRings/KMS_KEYRING_ID/cryptoKeys/KMS_KEY_ID
--project FIRESTORE_PROJECT

Ersetzen Sie Folgendes:

  • DATABASE_ID durch die ID Ihrer Datenbank
  • LOCATION durch den Speicherort Ihrer Datenbank
  • KMS_PROJECT durch das Projekt, das Ihren CMEK-Schlüssel enthält
  • KMS_LOCATION durch den Speicherort, an dem sich Ihr CMEK-Schlüssel und Ihr Schlüsselbund befinden
  • KMS_KEYRING_ID durch die ID Ihres CMEK-Schlüsselbunds
  • FIRESTORE_PROJECT durch das Projekt, das für Ihre Firestore-Datenbank verwendet werden soll

Prüfen Sie mit der Firebase CLI, ob Ihre Firestore-Datenbank geschützt ist:

firebase firestore:databases:get DATABASE_ID --project FIRESTORE_PROJECT

Die folgenden CMEK-Informationen werden in der Antwortnachricht angezeigt:

  • Das Feld KMS-Schlüsselname enthält den vollständigen Namen der Schlüsselressource, die zum Verschlüsseln Ihrer Firestore-CMEK-Datenbank verwendet wird.
  • Im Feld Aktive Schlüsselversionen finden Sie eine Liste aller Schlüsselversionen, die derzeit von dieser CMEK-Datenbank verwendet werden. Während der Schlüsselrotation können mehrere aktive Schlüsselversionen vorhanden sein.

Terraform

Verwenden Sie die Ressource google_firestore_database, um eine CMEK-kompatible Datenbank zu erstellen. Weitere Informationen und Beispiele finden Sie unter google_firestore_database.

resource "google_firestore_database" "database" {
  project     = "FIRESTORE_PROJECT"
  name        = "DATABASE_ID"
  location_id = "FIRESTORE_DATABASE_LOCATION"
  type        = "DATABASE_TYPE"

  cmek_config {
    kms_key_name = "KMS_KEY_NAME"
  }

}

Ersetzen Sie Folgendes:

  • FIRESTORE_PROJECT durch das Projekt, das für Ihre Firestore-Datenbank verwendet werden soll
  • DATABASE_ID durch eine ID für die Datenbank
  • FIRESTORE_DATABASE_LOCATION mit dem Firestore-Speicherort für die Datenbank
  • DATABASE_TYPE mit entweder FIRESTORE_NATIVE für den nativen Modus oder DATASTORE_MODE für den Datastore-Modus.

  • KMS_KEY_NAME durch den Namen, den Sie dem Schlüssel zugewiesen haben. Verwenden Sie den vollständigen Ressourcennamen für den Schlüssel im folgenden Format:

    projects/KMS_PROJECT/locations/KMS_LOCATION/keyRings/KMS_KEYRING_ID/cryptoKeys/KMS_KEY_ID

Auf eine CMEK-geschützte Datenbank zugreifen

Alle Lese-, Schreib- und Abfragevorgänge, die an eine CMEK-geschützte Datenbank gesendet werden, sollten genauso funktionieren wie bei einer standardmäßig verschlüsselten Google-Datenbank. Sie müssen beispielsweise nicht für jede Anfrage einen Schlüssel angeben.

CMEK-geschützte Datenbank wiederherstellen

Bevor Sie eine CMEK-geschützte Datenbank aus einer Sicherung wiederherstellen:

  • Legen Sie fest, ob Sie die Datenbank mit CMEK-Verschlüsselung, mit der Standardverschlüsselung von Google (keine CMEK-Verschlüsselung) oder mit derselben Verschlüsselung wie die Sicherung wiederherstellen möchten.

  • Bereiten Sie den Schlüssel (primäre Version) und die Schlüsselversion vor, mit der Sie die Sicherung verschlüsselt haben. Aktivieren Sie sowohl den Schlüssel als auch die Schlüsselversion.

gcloud

CMEK-geschützte Datenbank mit CMEK-Verschlüsselung wiederherstellen

Wenn Sie die CMEK-Verschlüsselung wiederherstellen möchten, führen Sie den Befehl gcloud firestore databases restore mit den optionalen Flags encryption-type und kms-key-name aus, um den Verschlüsselungstyp für die wiederhergestellte Datenbank zu konfigurieren. Wenn Sie den Verschlüsselungstyp nicht angeben, verwendet die wiederhergestellte Datenbank dieselbe Verschlüsselungskonfiguration wie die Sicherung.

  gcloud firestore databases restore
  --encryption-type=customer-managed-encryption
  --kms-key-name=KMS_KEY_NAME

Ersetzen Sie KMS_KEY_NAME durch den Namen, den Sie dem Schlüssel zugewiesen haben. Verwenden Sie den vollständigen Ressourcennamen für den Schlüssel im folgenden Format:

projects/KMS_PROJECT/locations/KMS_LOCATION/keyRings/KMS_KEYRING_ID/cryptoKeys/KMS_KEY_ID

CMEK-geschützte Datenbank mit Standardverschlüsselung wiederherstellen

Wenn Sie die Standardverschlüsselung von Google (keine CMEK-Verschlüsselung) wiederherstellen möchten, legen Sie das Flag encryption-type so fest:

  gcloud firestore databases restore
  --encryption-type=google-default-encryption

CMEK-geschützte Datenbank mit demselben Verschlüsselungstyp wie die Sicherung wiederherstellen

Wenn Sie die Daten mit demselben Verschlüsselungstyp wie die Sicherung wiederherstellen möchten, legen Sie das Flag encryption-type so fest:

  gcloud firestore databases restore --encryption-type=use-source-encryption

Firebase CLI

CMEK-geschützte Datenbank mit CMEK-Verschlüsselung wiederherstellen

Wenn Sie die CMEK-Verschlüsselung wiederherstellen möchten, verwenden Sie die optionalen Flags encryption-type und kms-key-name. Wenn Sie den Verschlüsselungstyp nicht angeben, verwendet die wiederhergestellte Datenbank dieselbe Verschlüsselungskonfiguration wie die Sicherung.

firebase firestore:databases:restore \
--database DATABASE_ID \
--backup 'projects/FIRESTORE_PROJECT/locations/FIRESTORE_LOCATION/backups/BACKUP_ID' \
--encryption-type CUSTOMER_MANAGED_ENCRYPTION \
--kms-key-name projects/KMS_PROJECT/locations/KMS_LOCATION/keyRings/KMS_KEYRING_ID/cryptoKeys/KMS_KEY_ID \
--project FIRESTORE_PROJECT

Ersetzen Sie Folgendes:

  • DATABASE_ID durch die ID Ihrer Datenbank
  • FIRESTORE_PROJECT durch das Projekt, das für Ihre Firestore-Datenbank verwendet werden soll
  • FIRESTORE_LOCATION durch den Speicherort Ihrer Firestore-Datenbank
  • BACKUP_ID durch die ID Ihrer Sicherung
  • KMS_PROJECT durch das Projekt, das Ihren CMEK-Schlüssel enthält
  • KMS_LOCATION durch den Speicherort, an dem sich Ihr CMEK-Schlüssel und Ihr Schlüsselbund befinden
  • KMS_KEYRING_ID durch die ID Ihres CMEK-Schlüsselbunds

Prüfen Sie, ob Ihre wiederhergestellte Firestore-Datenbank mit CMEK verschlüsselt ist:

firebase firestore:databases:get DATABASE_ID --project FIRESTORE_PROJECT

CMEK-geschützte Datenbank mit Standardverschlüsselung wiederherstellen

Wenn Sie die Standardverschlüsselung von Google (keine CMEK-Verschlüsselung) wiederherstellen möchten, legen Sie das Flag encryption-type so fest:

firebase firestore:databases:restore \
--database DATABASE_ID \
--backup 'projects/FIRESTORE_PROJECT/locations/FIRESTORE_LOCATION/backups/BACKUP_ID' \
--encryption-type GOOGLE_DEFAULT_ENCRYPTION \
--project FIRESTORE_PROJECT

Ersetzen Sie Folgendes:

  • DATABASE_ID durch die ID Ihrer Datenbank
  • FIRESTORE_PROJECT durch das Projekt, das für Ihre Firestore-Datenbank verwendet werden soll
  • FIRESTORE_LOCATION durch den Speicherort Ihrer Firestore-Datenbank
  • BACKUP_ID durch die ID Ihrer Sicherung

CMEK-geschützte Datenbank mit demselben Verschlüsselungstyp wie die Sicherung wiederherstellen

Wenn Sie die Daten mit demselben Verschlüsselungstyp wie die Sicherung wiederherstellen möchten, legen Sie das Flag encryption-type so fest:

firebase firestore:databases:restore \
--database DATABASE_IDD \
--backup 'projects/FIRESTORE_PROJECT/locations/FIRESTORE_LOCATION/backups/BACKUP_ID' \
--encryption-type USE_SOURCE_ENCRYPTION

Ersetzen Sie Folgendes:

  • DATABASE_ID durch die ID Ihrer Datenbank
  • FIRESTORE_PROJECT durch das Projekt, das für Ihre Firestore-Datenbank verwendet werden soll
  • FIRESTORE_LOCATION durch den Speicherort Ihrer Firestore-Datenbank
  • BACKUP_ID durch die ID Ihrer Sicherung

Verwendeten Schlüssel anzeigen

gcloud

Mit dem gcloud CLI-Befehl databases describe können Sie die CMEK-Konfiguration der Datenbank prüfen:

gcloud firestore databases describe --database=DATABASE_ID --project=FIRESTORE_PROJECT

Im Feld cmekConfig der Antwort sollten CMEK-Informationen ähnlich den folgenden angezeigt werden:

cmekConfig:
    activeKeyVersion:
    - projects/PROJECT_ID/locations/us/keyRings/KEYRING_NAME/cryptoKeys/KEY_NAME/cryptoKeyVersions/1
    kmsKeyName: projects/PROJECT_ID/locations/us/keyRings/KEYRING_NAME/cryptoKeys/KEY_NAME
  locationId: nam5
  name: projects/PROJECT_ID/databases/DATABASE_ID

Die Antwort enthält die folgenden Informationen:

  • kmsKeyName: Der vollständige Ressourcenname des Schlüssels, mit dem Ihre CMEK-geschützte Datenbank verschlüsselt wird.
  • activeKeyVersion: Eine Liste aller Schlüsselversionen, die derzeit von der CMEK-geschützten Datenbank verwendet werden. Während der Schlüsselrotation können mehrere aktive Schlüsselversionen vorhanden sein. Sowohl die alte als auch die neue Schlüsselversion müssen während der Schlüsselrotation verfügbar sein. Deaktivieren Sie die alte Schlüsselversion erst, wenn sie nicht mehr im Feld activeKeyVersion angezeigt wird.

REST API

HTTP-Anfrage:

GET https://firestore.googleapis.com/v1/{name=projects/FIRESTORE_PROJECT/databases/DATABASE_ID}

Konfigurieren Sie im Anfragetext CMEK im Feld cmek_config.kms_key_name. Die vollständige Ressourcen-ID eines Cloud KMS-Schlüssels. Es ist nur ein Schlüssel am selben Speicherort wie diese Datenbank zulässig.

Dieser Wert sollte die Cloud KMS-Schlüsselressourcen-ID im Format projects/{KMS_PROJECT}/locations/{KMS_LOCATION}/keyRings/{KMS_KEYRING_ID}/cryptoKeys/{KMS_KEY_ID} sein.

Weitere Informationen zu anderen Feldern finden Sie auf der Seite database create.

Beispiel für Anfrage und Antwort:

curl 'https://firestore.googleapis.com/v1/projects/FIRESTORE_PROJECT/databases/{DATABASE_ID}' \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-type: application/json"

----------------------------------------- Response --------------------------------------------
{
  "name": "projects/FIRESTORE_PROJECT/databases/{DATABASE_ID}",
  "locationId": "{FIRESTORE_DATABASE_LOCATION}",
  "type": "FIRESTORE_NATIVE",
  "cmekConfig": {
    "kmsKeyName": "projects/{KMS_PROJECT}/locations/{KMS_LOCATION}/keyRings/{KMS_KEYRING_ID}/cryptoKeys/{KMS_KEY_ID}",
    "activeKeyVersion": [
      "projects/{KMS_PROJECT}/locations/{KMS_LOCATION}/keyRings/{KMS_KEYRING_ID}/cryptoKeys/{KMS_KEY_ID}/cryptoKeyVersions/1"
    ]
  },
  ……
}

Schlüssel deaktivieren

So deaktivieren Sie einen Schlüssel, der mit einer Datenbank verknüpft ist:

  1. Verwendete Schlüsselversionen für eine Datenbank ansehen
  2. Diese Schlüsselversionen deaktivieren
  3. Warten Sie, bis die Änderung wirksam wird, und prüfen Sie, ob auf die Daten nicht mehr zugegriffen werden kann. Änderungen werden normalerweise innerhalb weniger Minuten wirksam, es kann jedoch auch bis zu 3 Stunden dauern.

Wenn ein von einer Datenbank verwendeter Schlüssel deaktiviert ist, erhalten Sie in der Fehlermeldung eine FAILED_PRECONDITION-Ausnahme mit zusätzlichen Details, z. B.:

{
  "error": {
    "code": 400,
    "message": "The customer-managed encryption key required by the requested resource is not accessible. Error reason:  generic::permission_denied: Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource 'projects/FIRESTORE_PROJECT/locations/{KMS_LOCATION}/keyRings/{KMS_KEYRING_ID}/cryptoKeys/{KMS_KEY_ID}' (or it may not exist).",
    "status": "FAILED_PRECONDITION",
    "details": [
      {
        "@type": "type.googleapis.com/google.rpc.DebugInfo",
        "detail": "The customer-managed encryption key required by the requested resource is not accessible. Error reason:  generic::permission_denied: Permission 'cloudkms.cryptoKeyVersions.useToEncrypt' denied on resource 'projects/FIRESTORE_PROJECT/locations/{KMS_LOCATION}/keyRings/{KMS_KEYRING_ID}/cryptoKeys/{KMS_KEY_ID}' (or it may not exist)"
      }
    ]
  }
}

Schlüssel aktivieren

So aktivieren Sie einen mit einer Datenbank verknüpften Schlüssel wieder:

  1. Verwendete Schlüsselversionen für eine Datenbank ansehen
  2. Diese Schlüsselversionen aktivieren
  3. Warten Sie, bis die Änderung wirksam wird, und prüfen Sie, ob auf die Daten nicht mehr zugegriffen werden kann. Änderungen werden normalerweise innerhalb weniger Minuten wirksam, es kann jedoch auch bis zu 3 Stunden dauern.

Audit-Logs für einen Cloud KMS-Schlüssel aufrufen

Bevor Sie Audit-Logs für den Cloud KMS-Datenzugriff aktivieren, sollten Sie mit Cloud-Audit-Logs vertraut sein.

Audit-Logs für Cloud KMS-Datenzugriff zeigen an, wenn Firestore oder andere Produkte, die für die Verwendung Ihres CMEK-Schlüssels konfiguriert wurden, Aufrufe zum Verschlüsseln oder Entschlüsseln an Cloud KMS senden. Firestore gibt nicht bei jeder Datenanforderung einen Aufruf zum Verschlüsseln oder Entschlüsseln aus, sondern verwendet einen Poller, der den Schlüssel regelmäßig prüft. Die Abfrageergebnisse werden in den Audit-Logs angezeigt.

Sie können die Audit-Logs in der Google Cloud Console einrichten und mit ihnen interagieren:

  1. Achten Sie darauf, dass für die Cloud KMS API in Ihrem Projekt Logging aktiviert ist.

  2. Rufen Sie in der Google Cloud Console Cloud Logging auf.

    Zu Cloud Logging

  3. Beschränken Sie die Logeinträge auf Ihren Cloud KMS-Schlüssel, indem Sie dem Query Builder die folgenden Zeilen hinzufügen:

    resource.type="cloudkms_cryptokey"
resource.labels.key_ring_id = KMS_KEYRING
resource.labels.crypto_key_id = KMS_KEY
resource.labels.location=KMS_LOCATION

    Ersetzen Sie Folgendes:

    • KMS_KEY durch den Namen des CMEK-Schlüssels
    • KMS_KEYRING durch den KMS-Schlüsselbund, der den Schlüssel enthält
    • KMS_LOCATION durch den Standort des Schlüssels und des Schlüsselbunds

    Das Log enthält einige Logeinträge etwa alle fünf Minuten pro Datenbank. Die Logeinträge sehen in etwa so aus:

    Info 2021-03-20 08:02:24.869 EDT Cloudkms.googleapis.com Decrypt projects/cloud-kms-project/locations/us-central1/keyRings/firestore-keys/cryptoKeys/my-cmek-key service-123456789123@gcp-sa-firestore.iam.gserviceaccount.com
audit_log, method: "Decrypt", principal_email: "[email protected]"

Info 2021-03-20 08:02:24.913 EDT Cloudkms.googleapis.com Encrypt projects/cloud-kms-project/locations/us-central1/keyRings/firestore-keys/cryptoKeys/my-cmek-key service-123456789123@gcp-sa-firestore.iam.gserviceaccount.com
audit_log, method: "Encrypt", principal_email: "[email protected]"

Weitere Informationen zum Auswerten von Audit-Logs finden Sie unter Audit-Logs verstehen.

CMEK-Organisationsrichtlinie konfigurieren

Wenn Sie Anforderungen für die Verschlüsselungscompliance für Firestore-Datenbanken in Ihrer Organisation angeben möchten, verwenden Sie eine CMEK-Einschränkung für Organisationsrichtlinien.

CMEK-Schutz erzwingen

Konfigurieren Sie constraints/gcp.restrictNonCmekServices so, dass für die Erstellung von Firestore-Datenbanken CMEK erforderlich ist. Legen Sie die Einschränkung auf deny fest und fügen Sie firestore.googleapis.com der Sperrliste hinzu, z. B.:

 gcloud resource-manager org-policies deny gcp.restrictNonCmekServices  is:firestore.googleapis.com --project=FIRESTORE_PROJECT

Ersetzen Sie FIRESTORE_PROJECT durch das Projekt, das Sie einschränken möchten.

Weitere Informationen zum Konfigurieren von Organisationsrichtlinien finden Sie unter Richtlinien erstellen und bearbeiten.

Nachdem die Richtlinie in Kraft getreten ist, erhalten Sie eine FAILED_PRECONDITION-Ausnahme und eine Fehlermeldung, wenn Sie versuchen, im betroffenen Projekt eine Datenbank ohne CMEK zu erstellen. Eine Ausnahme sieht beispielsweise so aus:

{
  "error": {
    "code": 400,
    "message": "Constraint 'constraints/gcp.restrictNonCmekServices' violated for 'projects/FIRESTORE_PROJECT' attempting to perform the operation 'google.firestore.admin.v1.FirestoreAdmin.CreateDatabase' with violated value 'firestore.googleapis.com'. See https://cloud.google.com/resource-manager/docs/organization-policy/org-policy-constraints for more information.",
    "status": "FAILED_PRECONDITION",
    "details": [
      {
        "@type": "type.googleapis.com/google.rpc.PreconditionFailure",
        "violations": [
          {
            "type": "constraints/gcp.restrictNonCmekServices",
            "subject": "orgpolicy:projects/FIRESTORE_PROJECT",
            "description": "Constraint 'constraints/gcp.restrictNonCmekServices' violated for 'projects/FIRESTORE_PROJECT' attempting to perform the operation 'google.firestore.admin.v1.FirestoreAdmin.CreateDatabase' with violated value 'firestore.googleapis.com'. See https://cloud.google.com/resource-manager/docs/organization-policy/org-policy-constraints for more information."
          }
        ]

Verwendung von Schlüsseln für CMEK einschränken

Wenn Sie einschränken möchten, welche Cloud KMS-Schlüssel für den CMEK-Schutz verwendet werden, konfigurieren Sie die Einschränkung constraints/gcp.restrictCmekCryptoKeyProjects.

Als Listeneinschränkung sind Indikatoren für die Ressourcenhierarchie zulässig (z. B. projects/PROJECT_ID, under:folders/FOLDER_ID und under:organizations/ORGANIZATION_ID). Verwenden Sie diese Einschränkung, indem Sie eine Liste mit Indikatoren für die Ressourcenhierarchie konfigurieren und die Einschränkung auf Zulassen festlegen. Durch diese Konfiguration werden die unterstützten Dienste eingeschränkt, sodass CMEK-Schlüssel nur aus den aufgeführten Projekten, Ordnern und Organisationen ausgewählt werden können. Anfragen zum Erstellen von CMEK-geschützten Ressourcen in konfigurierten Diensten sind ohne einen Firestore-Schlüssel einer der zulässigen Ressourcen nicht erfolgreich.

Im folgenden Beispiel sind für CMEK-geschützte Datenbanken im angegebenen Projekt nur Schlüssel aus der ALLOWED_KEY_PROJECT_ID zulässig:

gcloud resource-manager org-policies allow gcp.restrictCmekCryptoKeyProjects \
under:projects/ALLOWED_KEY_PROJECT_ID \
--project=FIRESTORE_PROJECT

Nachdem die Richtlinie in Kraft getreten ist, erhalten Sie eine FAILED_PRECONDITION-Ausnahme und eine Fehlermeldung, wenn Sie gegen die Einschränkung verstoßen. Eine Ausnahme sieht so aus:

{
  "error": {
    "code": 400,
    "message": "Constraint 'constraints/gcp.restrictCmekCryptoKeyProjects' violated for 'projects/FIRESTORE_PROJECT' attempting to perform the operation 'google.firestore.admin.v1.FirestoreAdmin.CreateDatabase' with violated value 'projects/{NOT_ALLOWED_KEY_PROJECT}'. See https://cloud.google.com/resource-manager/docs/organization-policy/org-policy-constraints for more information.",
    "status": "FAILED_PRECONDITION",
    "details": [
      {
        "@type": "type.googleapis.com/google.rpc.PreconditionFailure",
        "violations": [
          {
            "type": "constraints/gcp.restrictCmekCryptoKeyProjects",
            "subject": "orgpolicy:projects/FIRESTORE_PROJECT",
            "description": "Constraint 'constraints/gcp.restrictCmekCryptoKeyProjects' violated for 'projects/FIRESTORE_PROJECT' attempting to perform the operation 'google.firestore.admin.v1.FirestoreAdmin.CreateDatabase' with violated value 'projects/{NOT_ALLOWED_KEY_PROJECT}'. See https://cloud.google.com/resource-manager/docs/organization-policy/org-policy-constraints for more information."
          }
        ]
      }
    ]
  }
}

Nächste Schritte