Bật khoá mã hoá do khách hàng quản lý

Khoá mã hoá do khách hàng quản lý (CMEK) cho phép bạn kiểm soát các khoá mã hoá dùng để bảo vệ dữ liệu tĩnh trên Google Cloud. Bài viết này giải thích cách thiết lập và quản lý CMEK trong Trung tâm dữ liệu quảng cáo.

Trung tâm dữ liệu quảng cáo mã hoá dữ liệu tĩnh bằng khoá do Google quản lý. Trừ phi bạn có các yêu cầu cụ thể cần sử dụng CMEK, thì phương thức mã hoá mặc định của Google là lựa chọn tốt nhất cho bạn.

Để sử dụng CMEK, bạn phải:

  • Sử dụng Dịch vụ quản lý khoá trên đám mây (KMS).
  • Đã định cấu hình dự án quản trị và cập nhật lên tài khoản dịch vụ mới.

Tìm hiểu thêm về CMEK

Bật CMEK

  1. Trên trang Cloud KMS, hãy tạo khoá đối xứng.
    1. Bạn có thể tạo khoá trong bất kỳ dự án Google Cloud nào.
    2. Hãy đảm bảo rằng bạn tạo khoá trong một vị trí Cloud KMS tương thích. Theo nguyên tắc của Cloud KMS, bạn không nên sử dụng khu vực "toàn cầu" do có thể bị giới hạn về hiệu suất. Nếu bạn không nhớ khu vực của mình, hãy liên hệ với nhóm hỗ trợ của Trung tâm dữ liệu quảng cáo.
      Khu vực ADHVị trí Cloud KMS
      Hoa KỳHoa Kỳ
      EUeurope
      asia-northeast1asia, asia-northeast1
      australia-southeast1australia-southeast1
  2. Trên trang Quản lý danh tính và quyền truy cập (IAM) trên Cloud, hãy cấp cho tài khoản dịch vụ Ads Data Hub vai trò Trình mã hoá/Trình giải mã khoá mã hoá Cloud KMS (roles/cloudkms.cryptoKeyEncrypter). Ngoài ra, bạn có thể cấp quyền trực tiếp cho tài khoản dịch vụ Ads Data Hub đối với khoá trên trang Cloud KMS.
  3. Trong giao diện người dùng của Ads Data Hub:
    1. Chuyển đến thẻ Cài đặt.
    2. Trong phần "Quản lý phương thức mã hoá do khách hàng thực hiện", hãy nhấp vào Chỉnh sửa.
    3. Chuyển nút "Mã hoá do khách hàng quản lý" sang "bật".
    4. Dán mã tài nguyên của khoá. Lưu ý: đây phải là toàn bộ mã nhận dạng tài nguyên cho khoá, chứ không phải một phiên bản cụ thể. Tìm hiểu cách lấy mã tài nguyên Cloud KMS
    5. Nhấp vào Lưu.

Quản lý khoá

Xoay khoá

Việc xoay vòng khoá là một phương pháp bảo mật phổ biến. Hãy xem hướng dẫn về cách xoay khoá trên trang Cloud KMS tại đây.

Ads Data Hub không tự động xoay vòng khoá mã hoá khi khoá Cloud KMS liên kết với tài khoản đó xoay vòng. Các bảng hiện có sẽ tiếp tục sử dụng phiên bản khoá mà các bảng đó được tạo. Các bảng mới sử dụng phiên bản khoá hiện tại.

Thay đổi khoá

Bạn có thể thay đổi sang khoá mới thay vì xoay khoá hiện có. Điều này rất hữu ích khi bạn cần huỷ một khoá hoặc thực hiện những thay đổi đáng kể đối với hoạt động quản lý khoá; chẳng hạn như thay đổi sang một cấp độ bảo vệ khác.

Để chuyển sang khoá mới, hãy làm theo hướng dẫn trong phần Bật CMEK. Cảnh báo: việc sửa đổi hoặc huỷ khoá trước đó trước khi quá trình cập nhật hoàn tất có thể khiến dữ liệu bị mất vĩnh viễn.

Thu hồi quyền, vô hiệu hoá hoặc huỷ khoá

Làm theo hướng dẫn trong tài liệu của Google Cloud để thực hiện các thao tác sau:

  • Huỷ cấp quyền cho tài khoản dịch vụ Ads Data Hub.
    • Thao tác này có hiệu lực ngay lập tức. Bạn sẽ không thể chạy truy vấn trong Ads Data Hub cho đến khi giải quyết xong vấn đề này. Ngoài ra, các bảng và mô hình tạm thời của bạn có thể bị mất dữ liệu không thể khôi phục.
  • Tắt khoá.
    • Thao tác này có thể mất đến 3 giờ để xuất hiện trong Trung tâm dữ liệu quảng cáo. Cho đến lúc đó, bạn có thể tiếp tục chạy truy vấn bằng khoá đã tắt trong Ads Data Hub.
  • Huỷ bỏ khoá.
    • Quan trọng: Vô hiệu hoá CMEK trước khi huỷ khoá. Nếu không, bạn sẽ không thể chạy truy vấn trong Ads Data Hub cho đến khi giải quyết được vấn đề và các bảng tạm thời cũng như mô hình của bạn có thể bị mất dữ liệu không thể khôi phục.

Tắt CMEK

Bạn cần phải tắt CMEK trước khi xoá các khoá đang hoạt động. Nếu không, bạn sẽ mất quyền truy cập vào dữ liệu đã được mã hoá bằng các khoá đã xoá.

Cách tắt CMEK:

  1. Chuyển đến thẻ Cài đặt trong Ads Data Hub.
  2. Trong phần "Quản lý phương thức mã hoá do khách hàng thực hiện", hãy nhấp vào Chỉnh sửa.
  3. Chuyển nút "Mã hoá do khách hàng quản lý" sang "tắt".
  4. Nhấp vào Lưu.