Diese Seite wurde von der Cloud Translation API übersetzt.

Kundenverwaltete Verschlüsselungsschlüssel verwenden

In Workflows werden inaktive Kundeninhalte standardmäßig verschlüsselt. Die Verschlüsselung wird von Workflows durchgeführt. Sie müssen nichts weiter tun. Diese Option wird Google-Standardverschlüsselung genannt.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Workflows verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutzlevel, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung im Blick behalten, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen und zu verwalten, das die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten enthält, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Workflow-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu den Verschlüsselungsoptionen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

Sie können Ihren Workflow und die zugehörigen inaktiven Daten mit einem Verschlüsselungsschlüssel schützen, auf den nur Sie zugreifen können und den Sie mit Cloud KMS steuern und verwalten können.

Mit CMEK geschützte Inhalte

Beim Bereitstellen eines Workflows können Sie einen Cloud KMS-Schlüssel angeben. Mit diesem Schlüssel werden der Workflow und seine Ausführungen verschlüsselt:

Für einen Workflow ist eine Quelldatei mit einer gültigen Workflowdefinition erforderlich. Diese Quelldatei wird mit dem Schlüssel verschlüsselt.
Bei einer Workflowausführung wird die aktuelle Workflowdefinition (eine bestimmte Workflow-Überarbeitung) ausgeführt. Mit dem Schlüssel, der der Workflow-Version zum Zeitpunkt der Bereitstellung zugewiesen ist, werden der kompilierte Workflow sowie alle gespeicherten Ausführungs-Eingabe-, -Ausgabe- und -Laufzeitdaten verschlüsselt. Dazu gehören Ausführungsargumente, Ergebnisse, Fehler und Ausnahmen, gesendete Eventarc-Ereignisse sowie Rückruf- und HTTP-Anfragen und ‑Antworten.

Hinweise

Führen Sie die folgenden Schritte aus, bevor Sie CMEK in Workflows verwenden:

Aktivieren Sie die APIs.
Console
1. Enable the Cloud KMS and Workflows APIs.
  Enable the APIs
gcloud
1. In the Google Cloud console, activate Cloud Shell.
  
  Activate Cloud Shell
  
  At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
2. Aktualisieren Sie die gcloud-Komponenten:
  gcloud components update
3. Aktivieren Sie die Cloud KMS und Workflows APIs für das Projekt, in dem Ihre Verschlüsselungsschlüssel gespeichert werden.
  gcloud services enable cloudkms.googleapis.com workflows.googleapis.com
Cloud KMS erstellt Cloud-Audit-Logs, wenn Schlüssel aktiviert, deaktiviert oder von Workflow-Ressourcen zum Verschlüsseln und Entschlüsseln von Daten verwendet werden. Achten Sie darauf, dass für die Cloud KMS API in Ihrem Projekt Logging aktiviert ist , und dass Sie festgelegt haben, welche protokollspezifischen Berechtigungen und Rollen für Ihren Anwendungsfall gelten. Weitere Informationen finden Sie unter Audit-Logging-Informationen in Cloud KMS.

Cloud KMS-Schlüsselbund und -Schlüssel erstellen

Sie können einen neuen Schlüsselbund erstellen oder einen vorhandenen verwenden. Im Schlüsselbund können Sie einen neuen Schlüssel hinzufügen oder einen vorhandenen verwenden.

Ressourcen-ID für einen Cloud KMS-Schlüssel abrufen

Die Ressourcen-ID für einen Cloud KMS-Schlüssel ist erforderlich, wenn Sie CMEK für einen Workflow aktivieren. Weitere Informationen finden Sie in diesem Dokument unter CMEK für einen Workflow aktivieren.

Console

Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.
Schlüsselverwaltung aufrufen
Klicken Sie auf den Schlüsselbund, der den Schlüssel enthält.
Klicken Sie für den Schlüssel, dessen Ressourcen-ID Sie abrufen, auf Mehr.
Klicken Sie auf Ressourcenname kopieren.

Die Ressourcen-ID für den Schlüssel wird in die Zwischenablage kopiert. Das Format sieht in etwa so aus:
```
projects/PROJECT_NAME/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
```
Ein Schlüssel hat null oder mehr Schlüsselversionen. Die Ressourcen-ID einer Schlüsselversion besteht aus der Schlüssel-ID, einem Schrägstrich (/) und der Versions-ID. So listen Sie alle Versionen eines Schlüssels auf:
1. Klicken Sie auf den Namen des Schlüssels.
2. Klicken Sie für eine bestimmte Version auf Mehr.
3. Klicken Sie auf Ressourcenname kopieren.

gcloud

Alle Schlüssel eines bestimmten Schlüsselbunds auflisten:
```
gcloud kms keys list --keyring RING_NAME --location LOCATION
```
Ersetzen Sie Folgendes:
- RING_NAME: der Name des Schlüsselbunds
- LOCATION: Region des Schlüsselbunds
Die Ausgabe enthält die Ressourcen-ID für jeden Schlüssel. Beispiel:
```
NAME: projects/PROJECT_NAME/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
```
Ein Schlüssel hat null oder mehr Schlüsselversionen. Die Ressourcen-ID einer Schlüsselversion besteht aus der Schlüssel-ID, einem Schrägstrich (/) und der Versions-ID. So listen Sie alle Versionen eines Schlüssels auf:
```
gcloud kms keys versions list --location LOCATION --keyring RING_NAME --key KEY_NAME
```
Die Ausgabe enthält die Ressourcen-ID für jede Schlüsselversion. Beispiel:
```
NAME: projects/PROJECT_NAME/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME/2
```

Dem Workflows-Dienst-Agent Zugriff auf den Schlüssel gewähren

Sie müssen dem Workflows-Dienst-Agent die IAM-Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler zuweisen, damit er auf den Cloud KMS-Schlüssel zugreifen kann:

Console

Wenn Sie CMEK für einen Workflow über die Console aktivieren, werden Sie aufgefordert, dem Dienstkonto die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler zu gewähren. Weitere Informationen finden Sie in diesem Dokument unter CMEK für einen Workflow aktivieren.

gcloud

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring RING_NAME \
    --location LOCATION \
    --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-workflows.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter

Dabei gilt:

KEY_NAME: Der Name des Schlüssels. Beispiel: my-key.
RING_NAME: Der Name des Schlüsselbunds. Beispiel: my-keyring
LOCATION: Der Speicherort des Schlüssels. Beispiel: us-central1
PROJECT_NUMBER: Ihre Google Cloud-Projektnummer. Sie finden Ihre Projektnummer auf der Willkommensseite der Google Cloud Console oder durch Ausführen des folgenden Befehls:
```
export PROJECT=$(gcloud info --format='value(config.project)')
gcloud projects describe ${PROJECT} --format="value(projectNumber)"
```

Solange der Dienst-Agent die Rolle roles/cloudkms.cryptoKeyEncrypterDecrypter hat, kann ein Workflow in Ihrem Projekt seine Daten mit dem CMEK-Schlüssel verschlüsseln und entschlüsseln. Wenn Sie diese Rolle widerrufen oder den CMEK-Schlüssel deaktivieren oder löschen, kann nicht auf diese Daten zugegriffen werden. Siehe Cloud KMS deaktivieren in diesem Dokument.

CMEK für einen Workflow aktivieren

Wenn Sie einen Workflow erstellen oder ihn später aktualisieren, können Sie den Cloud KMS-Schlüssel angeben, der vom Workflow für die Datenverschlüsselung verwendet werden soll.

Console

Öffnen Sie in der Google Cloud Console die Seite Workflows.
Zur Seite "Workflows"
Klicken Sie auf den Namen des Workflows, den Sie aktualisieren möchten.

Die Seite Workflow-Details wird angezeigt.
Klicken Sie auf Bearbeiten.
Wählen Sie Cloud KMS-Schlüssel aus.
Wählen Sie einen Schlüsseltyp aus.

Sie können Ihre Schlüssel manuell verwalten oder Autokey verwenden, mit dem Sie Schlüsselringe und Schlüssel bei Bedarf generieren können. Wenn die Autokey-Option deaktiviert ist, wurde sie noch nicht in den aktuellen Ressourcentyp eingebunden.
Wählen Sie in der Liste Cloud KMS-Schlüssel auswählen einen Cloud KMS-Schlüssel aus oder filtern Sie nach einem Cloud KMS-Schlüssel.
Optional: Sie können den Ressourcennamen des Schlüssels manuell in die Liste Wählen Sie einen vom Kunden verwalteten Schlüssel aus eingeben. Klicken Sie dazu auf Schlüssel manuell eingeben und geben Sie den Namen der Schlüsselressource im angegebenen Format ein.
Wenn Sie dazu aufgefordert werden, weisen Sie dem Workflows-Dienstkonto die Rolle cloudkms.cyptoKeyEncrypterDecrypter mit der Rolle workflows.serviceAgent zu.
Klicken Sie auf Weiter.
Klicken Sie auf Bereitstellen, um die Änderungen zu speichern und den aktualisierten Workflow bereitzustellen.

gcloud

gcloud workflows deploy WORKFLOW_NAME \
    --source=SOURCE_FILE \
    --kms-key=KEY \
    --location LOCATION \
    --service-account=SERVICE_ACCOUNT

Ersetzen Sie Folgendes:

WORKFLOW_NAME: Der Name Ihres Workflows.
SOURCE_FILE: Ihre Workflow-Quelldatei mit der Dateiendung yaml für eine YAML-Datei oder der Dateiendung json für eine JSON-Datei, z. B. myWorkflow.yaml.
KEY: die Ressourcen-ID des Schlüssels im Format projects/PROJECT_NAME/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME. Sie können die Schlüssel-ID abrufen.

Wichtig :Auch wenn Sie das Flag --kms-key bei nachfolgenden Bereitstellungen des Workflows weglassen, wird jeder zuvor bereitgestellte Cloud KMS-Schlüssel angewendet, bis der Schlüssel deaktiviert wird. Weitere Informationen finden Sie in diesem Dokument unter CMEK für einen Workflow deaktivieren.
LOCATION: Der Speicherort des Workflows
SERVICE_ACCOUNT: Das Dienstkonto, das Ihr Workflow für den Zugriff auf andere Google Cloud-Dienste verwendet, z. B. SERVICE_ACCOUNT_NAME@PROJECT_NAME.iam.gserviceaccount.com. Es wird dringend empfohlen, ein Dienstkonto mit den geringsten Berechtigungen zu verwenden, die für den Zugriff auf die benötigten Ressourcen erforderlich sind. Wenn Sie dieses Feld leer lassen, wird das Standarddienstkonto verwendet. Weitere Informationen finden Sie unter Workflowberechtigungen für den Zugriff auf Google Cloud-Ressourcen gewähren.

Wichtige Hinweise:

Workflow-Überarbeitungen und -Ausführungen werden mit dem Schlüssel verschlüsselt, der bei der Bereitstellung angegeben wurde. Ressourcen, die zuvor mit einem früheren Schlüssel verschlüsselt wurden, bleiben mit diesem früheren Schlüssel verschlüsselt. Wenn ein Workflow später bearbeitet und ein neuer Schlüssel angegeben wird, wird diese Version des Workflows mit dem neuen Schlüssel verschlüsselt und alle nachfolgenden Ausführungen verwenden den neuen Schlüssel.
Bisher nicht mit CMEK verschlüsselte Workflow-Überarbeitungen und -Ausführungen bleiben unverschlüsselt.
Wenn Sie CMEK für eine Workflow-Version deaktivieren, werden alle nachfolgenden Ausführungen ohne CMEK-Verschlüsselung erstellt. Weitere Informationen finden Sie in diesem Dokument unter CMEK für einen Workflow deaktivieren. Vorhandene Workflow-Überarbeitungen und ‑Ausführungen bleiben mit den Schlüsseln verschlüsselt, mit denen sie zuvor verschlüsselt wurden.

Cloud KMS-Integration prüfen

Sie können die CMEK-Integration prüfen, indem Sie die Metadaten für einen Workflow anzeigen.

Console

Öffnen Sie in der Google Cloud Console die Seite Workflows.
Zur Seite "Workflows"
Klicken Sie auf den Namen des Workflows, den Sie überprüfen möchten.

Die Seite Workflow-Details wird angezeigt.
Klicken Sie auf den Tab Details.

Der Wert Verschlüsselung enthält die Ressourcen-ID des Cloud KMS-Schlüssels, mit dem der Workflow und seine Ausführung gesichert werden.

gcloud

gcloud workflows describe WORKFLOW_NAME \
    --location=LOCATION

Die Ausgabe sollte in etwa so aussehen:

createTime: '2022-08-10T19:57:58.233177709Z'
cryptoKeyName: projects/PROJECT_NAME/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
name: projects/PROJECT_NAME/locations/LOCATION/workflows/WORKFLOW_NAME
revisionCreateTime: '2022-11-18T19:44:04.933633237Z'
revisionId: 000009-8be
serviceAccount: projects/PROJECT_NAME/serviceAccounts/SA_NAME@PROJECT_NAME.iam.gserviceaccount.com
sourceContents:
[...]
state: ACTIVE
updateTime: '2022-11-18T19:44:05.171793128Z'

Der Wert cryptokeyName ist die Ressourcen-ID des Cloud KMS-Schlüssels, mit dem der Workflow und seine Ausführung gesichert werden.

CMEK für einen Workflow deaktivieren

Sie können CMEK für einen Workflow deaktivieren, sodass der zugehörige Cloud KMS-Schlüssel nicht mehr verwendet wird.

Console

Öffnen Sie in der Google Cloud Console die Seite Workflows.
Zur Seite "Workflows"
Klicken Sie auf den Namen des Workflows, den Sie aktualisieren möchten.

Die Seite Workflow-Details wird angezeigt.
Klicken Sie auf Bearbeiten.
Wenn Sie das Optionsfeld Cloud KMS-Schlüssel deaktivieren möchten, wählen Sie Von Google verwalteter Verschlüsselungsschlüssel aus.
Klicken Sie auf Weiter.
Klicken Sie auf Bereitstellen, um die Änderungen zu speichern und den aktualisierten Workflow bereitzustellen.

gcloud

gcloud workflows deploy WORKFLOW_NAME \
    --source=SOURCE_FILE \
    --clear-kms-key \
    --service-account=SERVICE_ACCOUNT

Dadurch wird CMEK für die aktuelle Workflowversion deaktiviert und alle nachfolgenden Ausführungen werden ohne CMEK-Verschlüsselung erstellt. Vorhandene Workflow-Überarbeitungen und -Ausführungen bleiben mit den Schlüsseln verschlüsselt, mit denen sie zuvor verschlüsselt wurden.

Cloud KMS deaktivieren

Wenn Sie den Datenzugriff auf Ihren Workflow oder Ihre Workflowausführungen widerrufen möchten, können Sie Cloud KMS auf folgende Arten deaktivieren:

Deaktivieren oder löschen Sie die Primärschlüsselversion Ihres kundenverwalteten Verschlüsselungsschlüssels. Durch das Deaktivieren einer CMEK-Schlüsselversion wird der Zugriff auf alle Daten gesperrt, die durch diese Schlüsselversion geschützt sind. Das Löschen einer Schlüsselversion ist das permanente Gegenstück dieser Aktion. Beide betreffen nur die Workflows und Workflowausführungen, die mit dem jeweiligen Schlüssel verknüpft sind. Sie können keine neuen Ausführungen erstellen oder die mit dem deaktivierten oder gelöschten Schlüssel verknüpften Ressourcen aufrufen. Alle aktiven Ausführungen schlagen mit einer entsprechenden Fehlermeldung fehl.
Entziehen Sie dem Workflows-Dienst-Agent die IAM-Rolle cloudkms.cryptoKeyEncrypterDecrypter. Dies betrifft alle Workflows im Google Cloud-Projekt, die die Verschlüsselung mit CMEK unterstützen. Sie können keine neuen CMEK-integrierten Workflows und Ausführungen erstellen und keine CMEK-verschlüsselten Ressourcen aufrufen. Alle aktiven Ausführungen schlagen mit einer entsprechenden Fehlermeldung fehl.

Obwohl keiner der Vorgänge eine sofortige Zugriffssperre garantiert, werden IAM-Änderungen im Allgemeinen schneller übernommen. Weitere Informationen finden Sie unter Konsistenz von Cloud KMS-Ressourcen und Weitergabe von Zugriffsänderungen.

Fehlerbehebung

Bei der Verwendung von Cloud KMS mit Workflows können Fehler auftreten. In der folgenden Tabelle werden verschiedene Probleme und deren Behebung beschrieben.

Problem	Beschreibung
Die Berechtigung `cloudkms.cryptoKeyVersions.useToEncrypt` wurde verweigert	Entweder ist der angegebene Cloud KMS-Schlüssel nicht vorhanden oder die Berechtigung ist nicht ordnungsgemäß konfiguriert. Lösung: Prüfen Sie, ob der Cloud KMS-Schlüssel vorhanden ist. Listen Sie die Schlüssel für einen bestimmten Schlüsselbund auf und prüfen Sie deren Verwendung. Prüfen Sie, ob der Workflows-Dienst-Agent Zugriff auf den Schlüssel hat und ihm die Rolle `cloudkms.cryptoKeyEncrypterDecrypter` zugewiesen wurde.
Schlüsselversion ist nicht aktiviert	Die bereitgestellte Cloud KMS-Schlüsselversion wurde deaktiviert. Lösung: Aktivieren Sie die Cloud KMS-Schlüsselversion wieder.
Die Region des Schlüsselbunds stimmt nicht mit der zu schützenden Ressource überein	Die bereitgestellte KMS-Schlüsselbundregion unterscheidet sich von der Region des Workflows. Lösung: Verwenden Sie einen Cloud KMS-Schlüsselbund und einen geschützten Workflow aus derselben Region. Sie können sich in verschiedenen Projekten befinden. Weitere Informationen finden Sie unter Cloud KMS-Standorte und Standorte für Workflows.
Cloud KMS-Kontingent überschritten	Ihr Kontingentlimit für Cloud KMS-Anfragen wurde erreicht. Lösung: Begrenzen Sie die Anzahl der Cloud KMS-Aufrufe oder erhöhen Sie das Kontingentlimit. Weitere Informationen finden Sie unter Cloud KMS-Kontingente.

Umgang mit einem nicht verfügbaren Schlüsselstatus

Wenn Cloud KMS aus irgendeinem Grund nicht verfügbar ist, kann der Status Ihres Schlüssels möglicherweise nicht aus Cloud KMS abgerufen werden.

Wenn der Schlüsselstatus nicht verfügbar ist, gibt der Workflow oder seine Ausführung einen state: UNAVAILABLE-Wert und zugehörige Details im Feld stateError zurück.

Wenn der Schlüsselstatus während der Ausführung eines Workflows nicht verfügbar ist (z. B. wenn eine Berechtigung während eines Rückrufs widerrufen wird), tritt ein Laufzeitfehler auf. Es wird der Wert state: FAILED zurückgegeben und im Feld error werden entsprechende Details angezeigt.

Preise

Durch diese Einbindung entstehen keine zusätzlichen Kosten über die Schlüsselvorgänge hinaus, die Ihrem Google Cloud-Projekt in Rechnung gestellt werden. Aktuelle Preisinformationen finden Sie unter Cloud KMS-Preise.