Diese Seite wurde von der Cloud Translation API übersetzt.

CMEK für Cloud Logging konfigurieren

In diesem Dokument wird beschrieben, wie Sie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) für Cloud Logging konfigurieren und verwalten, um die Compliance-Anforderungen Ihrer Organisation zu erfüllen. Sie können CMEK als Standardressourceneinstellung für eine Organisation, einen Ordner oder für beides konfigurieren. Wenn Cloud Logging konfiguriert ist, werden alle neuen Log-Buckets in der Organisation oder im Ordner mit einem vom Kunden verwalteten Schlüssel verschlüsselt.

Sie können Standardeinstellungen für eine Organisation und für Ordner konfigurieren. Wenn Sie neue Ressourcen erstellen, übernehmen diese die Standardeinstellungen der übergeordneten Ressource. Wenn Sie beispielsweise CMEK als Standardressourceneinstellung für eine Organisation konfigurieren, werden alle neuen _Default- und _Required-Log-Buckets, die in Projekten, Ordnern oder Abrechnungskonten in dieser Organisation erstellt werden, mit dem Standardschlüssel verschlüsselt. Wenn Sie außerdem einen benutzerdefinierten Log-Bucket in einem Projekt erstellen, das ein untergeordnetes Element dieser Organisation ist, wird der Standardschlüssel automatisch verwendet, es sei denn, Sie geben beim Erstellen des Log-Buckets einen anderen Schlüssel an.

In dieser Anleitung wird die Google Cloud CLI verwendet.

Übersicht

Cloud Logging verschlüsselt inaktive Kundendaten standardmäßig. Von Logging in Protokoll-Buckets gespeicherte Daten werden mit Schlüsselverschlüsselungsschlüsseln verschlüsselt. Dieser Vorgang wird als Envelope-Verschlüsselung bezeichnet. Der Zugriff auf Ihre Logging-Daten erfordert den Zugriff auf diese Schlüsselverschlüsselungsschlüssel, die Google Cloud für Sie verwaltet, ohne dass Sie etwas tun müssen.

Ihre Organisation kann regulatorische, Compliance- oder erweiterte Verschlüsselungsanforderungen haben, die unsere Standardverschlüsselung inaktiver Daten nicht anspricht. Anstatt die Verschlüsselungsschlüssel, die Ihre Daten schützen, von Google Cloud verwalten zu lassen, können Sie CMEK zur angepassten Steuerung und Verwaltung Ihrer Verschlüsselung konfigurieren.

Weitere Informationen zu CMEK einschließlich der Vorteile und Einschränkungen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel.

Wenn Sie CMEK als Standardressourceneinstellung für das Logging konfigurieren, geschieht Folgendes:

Neue Protokoll-Buckets in der Organisation oder im Ordner werden automatisch mit dem konfigurierten Schlüssel verschlüsselt. Sie können diesen Schlüssel jedoch ändern oder Protokoll-Buckets erstellen und einen anderen Schlüssel angeben. Weitere Informationen finden Sie unter CMEK für Log-Buckets konfigurieren.

Wenn Sie Log Analytics verwenden und mehrere Protokoll-Buckets abfragen, wird der Standardschlüssel möglicherweise zum Verschlüsseln temporärer Daten verwendet. Weitere Informationen finden Sie unter Einschränkungen für Log Analytics.

Hinweise

Führen Sie die folgenden Schritte aus:

Lesen Sie die Einschränkungen, bevor Sie einen Protokoll-Bucket mit aktivierter CMEK-Verschlüsselung erstellen.
In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Konfigurieren Sie das Google Cloud-Projekt, in dem Sie Ihre Schlüssel erstellen möchten:
1. Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Cloud KMS-Administrator (roles/cloudkms.admin) für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Schlüsseln benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
  
  Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
2. Aktivieren Sie die Cloud KMS API.
3. Erstellen Sie einen Schlüsselbund und Schlüssel.
  
  Mit Cloud Logging können Sie einen Schlüssel aus einer beliebigen Region verwenden. Wenn Sie jedoch einen Protokoll-Bucket erstellen, muss der Speicherort des Protokoll-Buckets mit dem Speicherort des Schlüssels übereinstimmen. Informationen zu unterstützten Regionen finden Sie hier:
  - Cloud KMS-Standorte
  - Unterstützte Regionen für Logging
  Wenn Sie CMEK mithilfe der Schritte in diesem Dokument als Standardressourceneinstellung für die Protokollierung konfigurieren, werden neue Protokoll-Buckets, die in der Organisation oder im Ordner erstellt werden, automatisch für CMEK konfiguriert. Da der Speicherort eines Log-Buckets mit dem Speicherort des Schlüssels übereinstimmen muss, können Sie nach der Konfiguration von CMEK als Standardressourceneinstellung keine Log-Buckets in der Region global mehr erstellen.
Ihre IAM-Rolle für die Organisation oder den Ordner, deren Standardeinstellungen Sie konfigurieren möchten, muss die folgenden Berechtigungen für die Cloud-Protokollierung enthalten:
- logging.settings.get
- logging.settings.update

CMEK für eine Organisation oder einen Ordner aktivieren

Folgen Sie dieser Anleitung, um CMEK für Ihren Google Cloud-Ordner oder Ihre Google Cloud-Organisation zu aktivieren.

Dienstkonto-ID ermitteln

Führen Sie den folgenden gcloud logging settings describe-Befehl aus, um die Dienstkonto-ID der Organisation oder des Ordners zu ermitteln, für die bzw. den CMEK gelten soll:

ORDNER

 gcloud logging settings describe --folder=FOLDER_ID

Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die folgenden Werte:

FOLDER_ID: Die eindeutige numerische Kennung des Ordners. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.

Organisation

gcloud logging settings describe --organization=ORGANIZATION_ID

Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die folgenden Werte:

ORGANIZATION_ID: Die eindeutige numerische Kennung der Organisation. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.

Mit dem vorherigen Befehl werden Dienstkonten für die Organisation oder den Ordner generiert, falls diese noch nicht vorhanden sind. Außerdem werden die IDs von zwei Dienstkonten zurückgegeben, eine im Feld kmsServiceAccountId und die andere im Feld loggingServiceAccountId. Wenn Sie den CMEK als Standardeinstellung konfigurieren möchten, verwenden Sie den Wert im Feld kmsServiceAccountId.

Im Folgenden wird eine Beispielantwort auf den vorherigen Befehl dargestellt, wenn eine Organisation angegeben ist:

kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
name: organizations/ORGANIZATION_ID/settings

Führen Sie den Bereitstellungsprozess einmal pro Ressource aus. Die wiederholte Ausführung des Befehls describe gibt denselben Wert für das Feld kmsServiceAccountId zurück.

Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie die Cloud Logging API-Methode getSettings aus.

Verschlüsseler-/Entschlüsselerrolle zuweisen

Damit CMEK genutzt werden kann, müssen Sie dem Dienstkonto die Berechtigung geben, Ihren Cloud KMS zu verwenden. Weisen Sie dem Konto hierfür die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler zu:

gcloud

gcloud kms keys add-iam-policy-binding \
--project=KMS_PROJECT_ID \
--member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter \
--location=KMS_KEY_LOCATION \
--keyring=KMS_KEY_RING \
KMS_KEY_NAME

Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die folgenden Werte:

KMS_PROJECT_ID: Die eindeutige alphanumerische Kennung des Google Cloud-Projekts, in dem Cloud KMS ausgeführt wird, erstellt aus dem Google Cloud-Projektnamen und einer zufällig zugewiesenen Nummer. Informationen zum Abrufen dieser Kennung finden Sie unter Projekte identifizieren.
KMS_SERVICE_ACCT_NAME: Der Name des Dienstkontos, der im Feld kmsServiceAccountId der Antwort des Befehls gcloud logging settings describe angezeigt wird.
KMS_KEY_LOCATION: Die Region des Cloud KMS-Schlüssels.
KMS_KEY_RING: Der Name des Cloud KMS-Schlüsselbunds.
KMS_KEY_NAME: Der Name des Cloud KMS-Schlüssels. Er hat das Format projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

Console

Öffnen Sie in der Google Cloud Console den Browser für Cloud Key Management Service-Schlüssel.
Zum Browser für Cloud KMS-Schlüssel
Wählen Sie den Namen des Schlüsselbunds aus, der den Schlüssel enthält.
Klicken Sie das Kästchen für den Schlüssel an.

Der Tab Berechtigungen wird verfügbar.
Geben Sie im Dialogfeld Mitglieder hinzufügen die E-Mail-Adresse des Logging-Dienstkontos an, auf das Sie Zugriff gewähren.
Wählen Sie im Drop-down-Menü Rolle auswählen die Option Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler aus.
Klicken Sie auf Hinzufügen.

Organisationsrichtlinien konfigurieren

Logging unterstützt Organisationsrichtlinien, die einen CMEK-Schutz erfordern und einschränken können, welche Cloud KMS-CryptoKeys für den CMEK-Schutz verwendet werden können:

Wenn sich logging.googleapis.com in der Richtlinienliste Deny für die Einschränkung constraints/gcp.restrictNonCmekServices befindet, lehnt die Logging-Funktion das Erstellen neuer benutzerdefinierter Bucket an, die nicht CMEK-geschützt sind. Diese Einschränkung verhindert jedoch nicht, dass Cloud Logging die Protokoll-Buckets _Required und _Default erstellt, die beim Erstellen eines Google Cloud-Projekts erstellt werden.
Wenn constraints/gcp.restrictCmekCryptoKeyProjects erzwungen wird, werden beim Logging CMEK-geschützte Ressourcen erstellt, die durch einen CryptoKey aus einem zulässigen Projekt, Ordner oder einer Organisation geschützt sind.

Weitere Informationen zu CMEK und Organisationsrichtlinien finden Sie unter CMEK-Organisationsrichtlinien.

Wenn eine Organisationsrichtlinie mit einer CMEK-Einschränkung vorhanden ist, müssen diese Einschränkungen mit den Standardeinstellungen für die Protokollierung für eine Organisation oder einen Ordner übereinstimmen. Wenn Sie die Standardeinstellungen ändern möchten, sollten Sie vor dem Aktualisieren die Richtlinien der Organisation prüfen und gegebenenfalls aktualisieren.

So rufen Sie Organisationsrichtlinien auf oder konfigurieren sie:

Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf:
Gehen Sie zu den Organisationsrichtlinien.

Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift IAM & Admin ist.
Wählen Sie Ihre Organisation aus.
Prüfen und aktualisieren Sie gegebenenfalls die für CMEK spezifischen Einschränkungen.

Informationen zum Ändern einer Organisationsrichtlinie finden Sie unter Richtlinien erstellen und bearbeiten.

Cloud Logging mit dem Cloud KMS-Schlüssel konfigurieren

Führen Sie den folgenden gcloud logging settings update-Befehl aus, um CMEK als Standardressourceneinstellung für die Protokollierung zu konfigurieren:

ORDNER

gcloud logging settings update \
    --folder=FOLDER_ID \
    --kms-location=KMS_KEY_LOCATION \
    --kms-key-name=KMS_KEY_NAME \
    --kms-keyring=KMS_KEY_RING \
    --kms-project=KMS_PROJECT_ID

Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die folgenden Werte:

FOLDER_ID: Die eindeutige numerische Kennung des Ordners. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.
KMS_KEY_LOCATION: Die Region des Cloud KMS-Schlüssels.
KMS_KEY_NAME: Der Name des Cloud KMS-Schlüssels. Er hat das Format projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.
KMS_KEY_RING: Der Name des Cloud KMS-Schlüsselbunds.
KMS_PROJECT_ID: Die eindeutige alphanumerische Kennung des Google Cloud-Projekts, in dem Cloud KMS ausgeführt wird, erstellt aus dem Google Cloud-Projektnamen und einer zufällig zugewiesenen Nummer. Informationen zum Abrufen dieser Kennung finden Sie unter Projekte identifizieren.

Mit dem vorherigen Befehl werden die Standardeinstellungen aktualisiert, um Informationen zum Cloud KMS-Schlüssel zu speichern. Der Standardspeicherort für den Ordner muss auf den Wert von KMS_KEY_LOCATION festgelegt sein. Wenn Sie den Standardspeicherort nicht festgelegt haben oder der Wert dieses Speicherorts nicht mit dem Wert von KMS_KEY_LOCATION übereinstimmt, fügen Sie dem vorherigen Befehl Folgendes hinzu:

--storage-location = KMS_KEY_LOCATION

Mit dem Flag --storage-location können Sie den Standardspeicherort für den Ordner festlegen oder aktualisieren.

Organisation

gcloud logging settings update \
    --organization=ORGANIZATION_ID \
    --kms-location=KMS_KEY_LOCATION \
    --kms-key-name=KMS_KEY_NAME \
    --kms-keyring=KMS_KEY_RING \
    --kms-project=KMS_PROJECT_ID

Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die folgenden Werte:

ORGANIZATION_ID: Die eindeutige numerische Kennung der Organisation. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.
KMS_KEY_LOCATION: Die Region des Cloud KMS-Schlüssels.
KMS_KEY_NAME: Der Name des Cloud KMS-Schlüssels. Er hat das Format projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.
KMS_KEY_RING: Der Name des Cloud KMS-Schlüsselbunds.
KMS_PROJECT_ID: Die eindeutige alphanumerische Kennung des Google Cloud-Projekts, in dem Cloud KMS ausgeführt wird, erstellt aus dem Google Cloud-Projektnamen und einer zufällig zugewiesenen Nummer. Informationen zum Abrufen dieser Kennung finden Sie unter Projekte identifizieren.

Mit dem vorherigen Befehl werden die Standardeinstellungen aktualisiert, um Informationen zum Cloud KMS-Schlüssel zu speichern. Der Standardspeicherort für die Organisation muss auf den Wert der KMS_KEY_LOCATION festgelegt sein. Wenn Sie den Standardspeicherort nicht festgelegt haben oder der Wert dieses Speicherorts nicht mit dem Wert von KMS_KEY_LOCATION übereinstimmt, fügen Sie dem vorherigen Befehl Folgendes hinzu:

--storage-location = KMS_KEY_LOCATION

Mit dem Flag --storage-location können Sie den Standardspeicherort für die Organisation festlegen oder aktualisieren.

Nachdem der Schlüssel angewendet wurde, werden neue Protokoll-Buckets in der Organisation oder im Ordner so konfiguriert, dass ihre ruhenden Daten mit diesem Schlüssel verschlüsselt werden. Sie können auch Schlüssel für einzelne Protokoll-Buckets ändern. In der Region global können keine Log-Buckets erstellt werden, da Sie einen Schlüssel verwenden müssen, dessen Region mit dem regionalen Geltungsbereich Ihrer Daten übereinstimmt.

Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie die Cloud Logging API-Methode updateSettings aus.

Schlüsselaktivierung prüfen

Führen Sie folgenden Befehl aus, um zu prüfen, ob CMEK für eine Organisation oder einen Ordner erfolgreich aktiviert wurde:gcloud logging settings describe

ORDNER

gcloud logging settings describe --folder=FOLDER_ID

Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die folgenden Werte:

FOLDER_ID: Die eindeutige numerische Kennung des Ordners. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.

Organisation

gcloud logging settings describe --organization=ORGANIZATION_ID

Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die folgenden Werte:

ORGANIZATION_ID: Die eindeutige numerische Kennung der Organisation. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.

Wenn der vorherige Befehl den Namen des Cloud KMS-Schlüssels zurückgibt und das Feld kmsKeyName ausgefüllt ist, ist CMEK für die Organisation oder den Ordner aktiviert:

kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com

Logs an unterstützte Ziele weiterleiten

Cloud Logging-Log-Buckets können so konfiguriert werden, dass Daten mit CMEK verschlüsselt werden. Wenn Sie CMEK als Standardeinstellung für eine Organisation oder einen Ordner konfigurieren, werden neue Log-Buckets in der Organisation oder im Ordner automatisch mit CMEK verschlüsselt. Sie können den Schlüssel dieser Log-Buckets ändern und Log-Buckets erstellen, für die ein anderer KMS-Schlüssel als der in den Standardeinstellungen angegebene verwendet wird.

Informationen zu CMEK für Log-Buckets, einschließlich Informationen zum Ändern von Schlüsseln und Einschränkungen, wenn Sie CMEK für einen Log-Bucket aktivieren, finden Sie unter CMEK für Log-Buckets konfigurieren.

Cloud Storage unterstützt CMEK für die Weiterleitung von Logs. Eine Anleitung zum Konfigurieren von CMEK für Cloud Storage finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden.

Wenn beim Weiterleiten von Logdaten an Cloud Storage Daten verloren gehen, weil keine Schlüssel verfügbar sind, können Sie Logs rückwirkend im Bulk in Cloud Storage kopieren, wenn diese Logs auch in einem Log-Bucket gespeichert sind. Weitere Informationen finden Sie unter Logeinträge kopieren.

BigQuery verschlüsselt inaktive Kundeninhalte standardmäßig. Weitere Informationen finden Sie unter Daten mit Cloud Key Management Service-Schlüsseln schützen.

Pub/Sub verschlüsselt standardmäßig inaktive Kundendaten. Weitere Informationen finden Sie unter Nachrichtenverschlüsselung konfigurieren.

Cloud KMS-Schlüssel verwalten

In folgenden Abschnitten wird erläutert, wie Sie Ihren Cloud KMS-Schlüssel ändern, den Zugriff auf ihn widerrufen oder ihn deaktivieren können.

Cloud KMS-Schlüssel ändern

Wenn Sie den mit einer Organisation oder einem Ordner verknüpften Cloud KMS-Schlüssel ändern möchten, erstellen Sie einen Schlüssel und führen Sie dann den Befehl gcloud logging settings update aus. Geben Sie dabei Informationen zum neuen Cloud KMS-Schlüssel an:

ORDNER

gcloud logging settings update \
    --folder=FOLDER_ID
    --kms-key-name=NEW_KMS_KEY_NAME
    --kms-location=NEW_KMS_KEY_LOCATION \
    --kms-keyring=NEW_KMS_KEY_RING \
    --kms-project=NEW_KMS_PROJECT_ID

Der Standardspeicherort für den Ordner muss auf den Wert von KMS_KEY_LOCATION festgelegt sein. Wenn Sie den Standardspeicherort nicht festgelegt haben oder der Wert dieses Speicherorts nicht mit dem Wert von KMS_KEY_LOCATION übereinstimmt, fügen Sie dem vorherigen Befehl Folgendes hinzu:

--storage-location = NEW_KMS_KEY_LOCATION

Organisation

gcloud logging settings update \
    --organization=ORGANIZATION_ID
    --kms-key-name=NEW_KMS_KEY_NAME
    --kms-location=NEW_KMS_KEY_LOCATION \
    --kms-keyring=NEW_KMS_KEY_RING \
    --kms-project=NEW_KMS_PROJECT_ID

Der Standardspeicherort für die Organisation muss auf den Wert der KMS_KEY_LOCATION festgelegt sein. Wenn Sie den Standardspeicherort nicht festgelegt haben oder der Wert dieses Speicherorts nicht mit dem Wert von KMS_KEY_LOCATION übereinstimmt, fügen Sie dem vorherigen Befehl Folgendes hinzu:

--storage-location = NEW_KMS_KEY_LOCATION

Zugriff auf Cloud KMS-Schlüssel widerrufen

Sie können den Zugriff von Logging auf den Cloud KMS-Schlüssel widerrufen, indem Sie die IAM-Berechtigung des konfigurierten Dienstkontos für diesen Schlüssel entfernen.

Wenn Sie Logging den Zugriff auf einen Schlüssel entziehen, kann es bis zu einer Stunde dauern, bis die Änderung wirksam wird.

Wenn Sie den Zugriff von Logging auf den Cloud KMS-Schlüssel widerrufen möchten, führen Sie den folgenden Google Cloud CLI-Befehl aus:

gcloud kms keys remove-iam-policy-binding \
    --project=KMS_PROJECT_ID \
    --member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --location=KMS_KEY_LOCATION \
    --keyring=KMS_KEY_RING \
    KMS_KEY_NAME

Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die folgenden Werte:

KMS_PROJECT_ID: Die eindeutige alphanumerische Kennung des Google Cloud-Projekts, in dem Cloud KMS ausgeführt wird, erstellt aus dem Google Cloud-Projektnamen und einer zufällig zugewiesenen Nummer. Informationen zum Abrufen dieser Kennung finden Sie unter Projekte identifizieren.
KMS_SERVICE_ACCT_NAME: Der Name des Dienstkontos, der im Feld kmsServiceAccountId der Antwort des Befehls gcloud logging settings describe angezeigt wird.
KMS_KEY_LOCATION: Die Region des Cloud KMS-Schlüssels.
KMS_KEY_RING: Der Name des Cloud KMS-Schlüsselbunds.
KMS_KEY_NAME: Der Name des Cloud KMS-Schlüssels. Er hat das Format projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

CMEK deaktivieren

Wenn Sie CMEK für eine Organisation oder einen Ordner deaktivieren, wird die Erzwingung der CMEK-Richtlinie nur für zukünftige Vorgänge entfernt. Alle zuvor angewendeten Konfigurationen bleiben intakt.

Führen Sie den folgenden Google Cloud CLI-Befehl aus, um CMEK für eine Ressource zu deaktivieren, für die CMEK als Standardressourceneinstellung konfiguriert ist:

ORDNER

gcloud logging settings update --folder=FOLDER_ID --clear-kms-key

Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die folgenden Werte:

FOLDER_ID: Die eindeutige numerische Kennung des Ordners. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.

Organisation

gcloud logging settings update --organization=ORGANIZATION_ID --clear-kms-key

Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die folgenden Werte:

ORGANIZATION_ID: Die eindeutige numerische Kennung der Organisation. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.

Informationen zum Löschen eines Schlüssels finden Sie unter Schlüsselversionen löschen und wiederherstellen.

Hinweise zur Cloud KMS-Schlüsselrotation

Wenn der mit der Google Cloud-Organisation oder dem Google Cloud-Ordner verknüpfte Cloud KMS-Schlüssel rotiert wird, rotiert Cloud Logging den Verschlüsselungsschlüssel für temporäre Wiederherstellungsdateien nicht automatisch mit. Bereits vorhandene Wiederherstellungsdateien verwenden weiterhin die Schlüsselversion, mit der sie erstellt wurden. Neue Wiederherstellungsdateien verwenden die aktuelle Primärschlüsselversion.

Beschränkungen

Die folgenden Einschränkungen sind bekannt, wenn Sie CMEK als Standardressourceneinstellung für die Protokollierung konfigurieren.

Nichtverfügbarkeit der Datei zur Notfallwiederherstellung

Ein Cloud KMS-Schlüssel gilt als für Logging verfügbar und zugänglich, wenn die beiden folgenden Bedingungen zutreffen:

Der Schlüssel ist aktiviert.
Das Dienstkonto, das im Feld kmsServiceAccountId der Antwort des Befehls gcloud logging settings describe aufgeführt ist, hat Berechtigungen zum Verschlüsseln und Entschlüsseln des Schlüssels.

Wenn Logging keinen Zugriff mehr auf den Cloud KMS-Schlüssel hat, kann Logging keine temporären Dateien zur Notfallwiederherstellung schreiben. Für Nutzer funktionieren Abfragen dann nicht mehr. Die Abfrageleistung kann auch nach Wiederherstellung des Schlüsselzugriffs beeinträchtigt bleiben.

Die Weiterleitung von Logs nach Cloud Storage kann ebenfalls beeinträchtigt sein, da die Logging-Funktion die für das Routing erforderlichen temporären Dateien nicht schreiben kann. Wenn beim Verschlüsseln oder Entschlüsseln von Daten ein Fehler auftritt, wird eine Benachrichtigung an das Google Cloud-Projekt gesendet, das den Cloud KMS-Schlüssel enthält.

Verfügbarkeit der Clientbibliothek

Logging-Clientbibliotheken bieten keine Methoden zum Konfigurieren von CMEK.

Beeinträchtigung aufgrund der Nichtverfügbarkeit eines Cloud EKM-Schlüssels

Wenn Sie einen Cloud EKM-Schlüssel verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihres extern verwalteten Schlüssels im Partnersystem für die externe Schlüsselverwaltung.

Wenn CMEK als Standardressourceneinstellung für eine Organisation oder einen Ordner konfiguriert ist und ein extern verwalteter Schlüssel nicht verfügbar ist, versucht Cloud Logging kontinuierlich, auf den Schlüssel zuzugreifen. Außerdem werden die eingehenden Logdaten bis zu einer Stunde lang in Cloud Logging zwischengespeichert. Kann Cloud Logging nach einer Stunde immer noch nicht auf den extern verwalteten Schlüssel zugreifen, beginnt Cloud Logging mit dem Löschen der Daten.

Wenn CMEK auf einen Log-Bucket angewendet wird und ein extern verwalteter Schlüssel nicht verfügbar ist, werden in Cloud Logging weiterhin Protokolle in Log-Buckets gespeichert, Nutzer können jedoch nicht auf diese Daten zugreifen.

Weitere Informationen und mögliche Alternativen bei der Verwendung externer Schlüssel finden Sie in der Dokumentation zum Cloud External Key Manager.

Einschränkungen für Log-Buckets

Informationen zu den Einschränkungen bei der Verwendung von CMEK mit Protokoll-Buckets finden Sie unter Einschränkungen.

Kontingente

Ausführliche Informationen zu den Nutzungslimits für Logging finden Sie unter Kontingente und Limits.

Konfigurationsfehler beheben

Informationen zur Fehlerbehebung bei CMEK-Konfigurationsfehlern finden Sie unter Fehlerbehebung bei CMEK- und Standardeinstellungsfehlern.