默认情况下,Cloud Workstations 使用 Google 拥有和 Google 管理的密钥 加密工作站资源(例如虚拟机和永久性磁盘) 静态数据 如果您对保护数据的密钥有特定的合规性或监管要求,则可以使用 Cloud Key Management Service (Cloud KMS) 来使用客户管理的加密密钥 (CMEK)。
如需大致了解 CMEK(包括其启用时间和原因),请参阅 Cloud KMS 文档。
准备工作
创建项目
在 Google Cloud 控制台的项目选择器页面上,选择或创建 二 Google Cloud 项目:
密钥项目包含您的 Cloud KMS 资源,包括密钥环和对称加密密钥。
工作站项目包含使用 CMEK 密钥加密的工作站。
您可以将同一项目用于密钥项目和工作站项目, 但根据最佳做法,我们建议您使用两个项目 职责分离。
确保您的 Cloud 项目已启用结算功能。了解如何 检查是否已在 Chrome 设备上 项目。
在每个项目中启用所需的 API。
在密钥项目中,确保您已启用 Cloud KMS API。
在工作站项目中,确保您已启用 Cloud KMS 和 Cloud Workstations API。
确保您已安装并初始化
gcloudCLI。 如需初始化gcloudCLI,请运行以下命令:gcloud init
所需的角色
虽然您可以向同一人授予 Cloud KMS 管理员角色和 Cloud Workstations 管理员角色,但我们建议您在分配角色时遵循最小权限原则。最佳实践是将这些角色授予两个不同的用户,并让他们协调工作,而不是让 Cloud KMS 用户同时也是 Cloud Workstations 管理员。如需了解详情,请参阅 安全性最佳实践 和 安全地使用 IAM
如需获取设置 CMEK 所需的权限, 请让管理员授予您 以下 IAM 角色:
-
如果您是 Cloud KMS 管理员,请让您的管理员为您授予以下角色,以便您创建和管理 Cloud KMS 资源:密钥项目的 Cloud KMS Admin (
roles/cloudkms.admin)。 -
如果您是 Cloud Workstations Admin,请让您的管理员为您授予以下角色,以便您创建和更新工作站:workstations 项目的 Cloud Workstations Admin (
roles/workstations.admin)。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
创建密钥环和加密密钥
在密钥项目中,创建一个密钥并保存该密钥的资源 ID:
创建或选择 密钥环。
您可以在服务之间共享密钥环,但根据最佳做法, 建议您为每个受保护的资源使用不同的密钥。请参阅 职责分离。
创建 对称加密密钥。
请确保您在同一区域中创建 CMEK 密钥和工作站配置。
获取密钥的资源 ID,并将其保存以备后续步骤使用。
检查工作站配置
如果您在 Google Cloud 控制台中没有可用的工作站配置,请让您的 Cloud Workstations Admin 为您创建工作站配置,或者确保您在项目中拥有 Cloud Workstations Admin IAM 角色,以便您自行创建这些资源。
使用客户管理的加密密钥
如需在工作站配置中使用 CMEK,请通过 Google Cloud 控制台或 gcloud CLI 开启 CMEK。
控制台
向您的 Compute Engine 服务账号和 Compute Engine 服务代理授予 Cloud KMS CryptoKey Encrypter/Decrypter 角色和 Cloud KMS 查看器角色:
在 Google Cloud 控制台中,进入密钥管理页面。
点击包含密钥的密钥环的名称。
选中要使用的密钥对应的复选框。
权限标签页会显示为一个窗格。
在添加成员对话框中,指定 您授予访问权限的 Compute Engine 服务账号和 Compute Engine 服务代理。
在选择角色下拉菜单中,选择 Cloud KMS CryptoKey Encrypter/Decrypter。
点击添加其他角色。
在选择角色下拉列表中,选择 Cloud KMS Viewer。
点击保存。
如需通过 Google Cloud 控制台启用 CMEK,请执行以下操作:
gcloud
以下示例会授予提供访问权限的 IAM 角色 添加到 Cloud KMS 密钥,然后通过在 Google Cloud 控制台中指定该密钥来启用 CMEK 工作站配置:
为工作站项目的 KMS 服务账号和 Compute Engine 服务代理授予 Cloud KMS CryptoKey Encrypter/Decrypter 角色 (
roles/cloudkms.cryptoKeyEncrypterDecrypter) 对 CMEK 密钥的访问权限。这样,Compute Engine 服务 使用指定的 CMEK 密钥加密您项目中的资源。gcloud kms keys add-iam-policy-binding KEY_NAME \ --location LOCATION \ --keyring KEY_RING \ --member serviceAccount:WORKSTATIONS_PROJECT_NUMBER[email protected] \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter \ --project KMS_PROJECT_ID gcloud kms keys add-iam-policy-binding KEY_NAME \ --location LOCATION \ --keyring KEY_RING \ --member serviceAccount:service-WORKSTATIONS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter \ --project KMS_PROJECT_ID替换以下内容:
KEY_NAME:密钥的名称。LOCATION:您创建密钥环的区域名称。KEY_RING:密钥环的名称。WORKSTATIONS_PROJECT_NUMBER:自动 生成的唯一数字标识符,作为第一部分包含在内 你当前使用的 Compute Engine 默认服务账号 工作站项目。KMS_PROJECT_ID:项目 ID,一个唯一的字符串,用于区分您的 Cloud KMS 项目与 Google Cloud 中的所有其他项目。
如需了解所有标志和可能值,请使用
--help标志运行命令。检索工作站的工作站管理服务账号 请使用以下命令:
gcloud beta services identity create --service=workstations.googleapis.com \ --project=WORKSTATIONS_PROJECT_ID将
WORKSTATIONS_PROJECT_ID替换为您的工作站项目 ID。为您的项目的工作站管理服务账号授予 Cloud KMS Viewer 角色 (
roles/cloudkms.viewer) 对 CMEK 密钥的访问权限。这样,工作站服务就能检测密钥轮替 并根据需要在项目中重新加密资源。gcloud kms keys add-iam-policy-binding KEY_NAME \ --location LOCATION \ --keyring KEY_RING \ --member WORKSTATIONS_MANAGEMENT_SERVICE_ACCOUNT \ --role roles/cloudkms.viewer \ --project KMS_PROJECT_ID替换以下内容:
KEY_NAME:密钥的名称。LOCATION:您创建密钥环的区域名称。KEY_RING:密钥环的名称。WORKSTATIONS_MANAGEMENT_SERVICE_ACCOUNT: 从上述步骤获得的工作站管理服务账号。KMS_PROJECT_ID:项目 ID,一个唯一的字符串,用于区分您的 Cloud KMS 密钥项目与 Google Cloud 中的所有其他项目。
如需了解所有标志和可能值,请使用
--help标志运行命令。可选:如果您尚未创建工作站集群,请使用 集群创建
gcloudCLI 命令。gcloud workstations clusters create \ WORKSTATIONS_CLUSTER_NAME --region=LOCATION \ --project=WORKSTATIONS_PROJECT_NUMBER替换以下内容:
WORKSTATIONS_CLUSTER_NAME:工作站集群的名称。LOCATION:工作站集群的区域名称。WORKSTATIONS_PROJECT_NUMBER:自动生成的唯一数字标识符,作为工作站项目的 Compute Engine 默认服务账号的第一个部分包含在内
假设您已创建集群,请使用
encryption_key设置创建工作站配置。如需创建机器类型为
e2-standard-2、空闲超时为3600s且使用 CMEK 加密工作站资源的工作站配置,请运行以下gcloudCLI 命令:gcloud workstations configs create WORKSTATIONS_CONFIG_NAME \ --cluster=WORKSTATIONS_CLUSTER_NAME \ --region=LOCATION \ --machine-type="e2-standard-2" \ --idle-timeout=3600 \ --kms-key="projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME" \ --kms-key-service-account="WORKSTATIONS_PROJECT_NUMBER[email protected]" \ --project=WORKSTATIONS_PROJECT_NUMBER替换以下内容:
WORKSTATIONS_CONFIG_NAME: 工作站配置。WORKSTATIONS_CLUSTER_NAME:您的工作站集群的名称。LOCATION:集群所在的区域名称。KMS_PROJECT_ID:项目 ID,一个唯一的字符串,用于区分您的项目与 Google Cloud 中的所有其他项目。KEY_RING:密钥环的名称。KEY_NAME:密钥的名称。WORKSTATIONS_PROJECT_NUMBER:自动 生成的唯一数字标识符,作为第一部分包含在内 你当前使用的 Compute Engine 默认服务账号 工作站项目
创建工作站配置后,Cloud KMS 会使用指定的 Cloud KMS 密钥加密项目中的永久性磁盘。
轮替客户管理的加密密钥
当您向工作站管理服务账号授予 CMEK 密钥的 Cloud KMS 查看器角色 (roles/cloudkms.viewer) 后,工作站服务便可检测密钥轮替,并使用新的主密钥版本重新加密您的主磁盘。
停止工作站后需要重新加密。每次您停止加密工作站时,工作站服务都会检查密钥是否已轮替。如果密钥已轮替,工作站服务会创建工作站主磁盘的快照,然后删除该磁盘。下次启动工作站时,工作站服务将使用新的主密钥版本通过快照创建新磁盘。
Cloud KMS 配额和 Cloud Workstations
在 Cloud Workstations 中使用 CMEK 时, 您的项目可以使用 Cloud KMS 加密请求 配额。例如,由 CMEK 加密的代码库可以为每次上传或下载消耗这些配额。仅当您使用硬件 (Cloud HSM) 或外部 (Cloud EKM) 密钥时,使用 CMEK 密钥执行的加密和解密操作才会影响 Cloud KMS 配额。如需了解详情,请参阅 Cloud KMS 配额。
外部密钥
您可以通过 Cloud External Key Manager (Cloud EKM) 使用您管理的外部密钥加密 Google Cloud 中的数据。
当您使用 Cloud EKM 密钥时,Google 无法控制外部管理的密钥的可用性。如果密钥不可用,您的工作站将无法启动。
如需了解使用外部密钥的更多注意事项,请参阅 Cloud External Key Manager。