Trang này mô tả cách thực hiện các tác vụ liên quan đến khoá mã hoá do khách hàng quản lý (CMEK) cho Cloud Firestore có khả năng tương thích với MongoDB. Để biết thêm thông tin về CMEK nói chung, bao gồm cả thời điểm và lý do nên bật CMEK, hãy xem tài liệu về Cloud KMS.
Chuẩn bị khoá CMEK
Trước khi có thể tạo một Cloud Firestore được bảo vệ bằng CMEK có cơ sở dữ liệu tương thích với MongoDB, bạn phải hoàn tất các bước sau:
- Yêu cầu cấp quyền truy cập vào tính năng khoá mã hoá do khách hàng quản lý (CMEK) tương thích với MongoDB của Cloud Firestore.
- Tạo (hoặc truy xuất) một tác nhân dịch vụ Cloud Firestore có khả năng tương thích với MongoDB.
- Tạo khoá CMEK.
- Định cấu hình chế độ cài đặt IAM cho khoá đó.
Hoàn thành các bước này cho từng dự án sẽ chứa Cloud Firestore được bảo vệ bằng CMEK có cơ sở dữ liệu tương thích với MongoDB. Nếu sau này tạo khoá CMEK mới, bạn phải định cấu hình chế độ cài đặt IAM cho khoá đó.
Yêu cầu quyền truy cập
Trước khi tạo một tác nhân dịch vụ Cloud Firestore tương thích với MongoDB, hãy yêu cầu quyền truy cập vào tính năng CMEK bằng cách điền vào biểu mẫu yêu cầu cấp quyền truy cập.
Tạo một tác nhân dịch vụ Cloud Firestore có khả năng tương thích với MongoDB
Trước khi tạo khoá CMEK, bạn phải có một Cloud Firestore có khả năng tương thích với MongoDB tác nhân dịch vụ. Đây là một loại tài khoản dịch vụ do Google quản lý mà Cloud Firestore có khả năng tương thích với MongoDB dùng để truy cập vào khoá.
Chạy lệnh services identity create để tạo tác nhân dịch vụ mà Cloud Firestore có khả năng tương thích với MongoDB dùng để truy cập vào khoá CMEK thay cho bạn. Lệnh này sẽ tạo tài khoản dịch vụ nếu chưa có, sau đó hiển thị tài khoản đó.
gcloud beta services identity create \
--service=firestore.googleapis.com \
--project FIRESTORE_PROJECT
Thay thế FIRESTORE_PROJECT bằng dự án mà bạn dự định sử dụng cho Cloud Firestore bằng cơ sở dữ liệu tương thích với MongoDB.
Lệnh này hiển thị mã nhận dạng tác nhân dịch vụ, được định dạng giống như địa chỉ email. Ghi lại chuỗi email đầu ra vì bạn sẽ dùng chuỗi này ở một bước sau.
Service identity created:
service-xxx@gcp-sa-firestore.
Tạo khoá
Bạn có thể sử dụng khoá được tạo trực tiếp trong Cloud KMS hoặc khoá do bên ngoài quản lý mà bạn cung cấp bằng Cloud External Key Manager.
Vị trí khoá của Cloud KMS phải giống với vị trí của cơ sở dữ liệu Cloud Firestore có khả năng tương thích với MongoDB mà khoá đó sẽ được dùng.
Đối với vị trí cơ sở dữ liệu theo khu vực, hãy sử dụng cùng một tên vị trí cho khoá, khoá và cơ sở dữ liệu vì tên vị trí có mối liên kết một-một.
Ví dụ: nếu bạn muốn tạo một cơ sở dữ liệu được bảo vệ bằng CMEK trong
us-west1, hãy tạo một khoá và khoá vòng trongus-west1.Đối với vị trí cơ sở dữ liệu theo nhiều khu vực, hãy sử dụng tên vị trí của vị trí theo nhiều khu vực KMS:
Sử dụng vị trí
usnhiều khu vực của Cloud KMS cho vị trínam5nhiều khu vực của Cloud Firestore có khả năng tương thích với MongoDB.Sử dụng vị trí
europenhiều khu vực của Cloud KMS cho vị tríeur3nhiều khu vực của Cloud Firestore có khả năng tương thích với MongoDB.
Trong dự án Google Cloud mà bạn muốn quản lý các khoá, hãy hoàn tất các bước sau:
Tạo một bộ khoá và một khoá bằng một trong các lựa chọn sau:
- Tạo bộ khoá và khoá ngay trong Cloud KMS.
- Sử dụng khoá do bên ngoài quản lý. Tạo khoá bên ngoài rồi tạo khoá Cloud EKM để cung cấp khoá thông qua Cloud KMS.
Định cấu hình chế độ cài đặt IAM cho khoá
Bảng điều khiển
Để cấp vai trò Cloud KMS cho tác nhân dịch vụ, hãy làm như sau. Bạn cũng có thể cấp quyền ở cấp khoá hoặc khoá-vòng nếu muốn có độ chi tiết thấp hơn.
Trong bảng điều khiển Google Cloud, hãy chuyển đến trang IAM.
Nhấp vào Thêm.
Nhập mã nhận dạng có định dạng email cho tác nhân dịch vụ Cloud Firestore có khả năng tương thích với MongoDB.
Chọn vai trò Tiện ích mã hoá/Tiện ích giải mã Cloud KMS CryptoKey.
Nhấp vào Lưu.
gcloud
Cấp vai trò cloudkms.cryptoKeyEncrypterDecrypter cho nhân viên hỗ trợ:
gcloud kms keys add-iam-policy-binding KMS_KEY \
--keyring KMS_KEYRING\
--location KMS_LOCATION \
--member serviceAccount:SERVICE_AGENT_EMAIL \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter \
--project KMS_PROJECT
Thay thế nội dung sau:
KMS_KEYcó tên mà bạn đã chỉ định cho khoáKMS_KEYRINGcó bộ khoá KMS chứa khoáKMS_LOCATIONcó khu vực chứa bộ khoáSERVICE_AGENT_EMAILcó giá trị nhận dạng theo định dạng email cho nhân viên dịch vụ mà bạn đang cấp quyền truy cậpKMS_PROJECTvới dự án chứa khoá
Thiết bị đầu cuối sẽ hiển thị một phản hồi tương tự như sau:
Updated IAM policy for key KMS_KEY.
bindings:
- members:
- serviceAccount:
service-{project-number}@gcp-sa-firestore.
role: roles/cloudkms.cryptoKeyEncrypterDecrypter
Tạo cơ sở dữ liệu có bật CMEK
Sau khi tạo và định cấu hình khoá CMEK, bạn có thể tạo một cơ sở dữ liệu được bảo vệ bằng CMEK. Bạn không thể chuyển đổi cơ sở dữ liệu Cloud Firestore hiện có có khả năng tương thích với MongoDB được bảo vệ bằng phương thức mã hoá mặc định của Google để sử dụng CMEK.
Bạn chỉ có thể chọn loại và khoá mã hoá khi tạo một cơ sở dữ liệu có bật CMEK.
Bảng điều khiển
Trong bảng điều khiển Google Cloud, hãy chuyển đến trang Cơ sở dữ liệu.
Nhấp vào Tạo cơ sở dữ liệu Firestore.
Nhập mã nhận dạng cơ sở dữ liệu.
Chọn phiên bản Enterprise.
Chọn vị trí cho cơ sở dữ liệu của bạn.
Nhấp vào Hiện các lựa chọn mã hoá, rồi chọn Khoá Cloud KMS.
Chọn hoặc nhập tên tài nguyên cho khoá CMEK mà bạn muốn dùng cho cơ sở dữ liệu.
Danh sách khoá chỉ giới hạn trong dự án Google Cloud hiện tại và vị trí cơ sở dữ liệu mà bạn đã chọn. Để sử dụng khoá từ một dự án Google Cloud khác, hãy nhấp vào Switch Project (Chuyển dự án) hoặc Enter Key Manually (Nhập khoá theo cách thủ công).
Nếu bạn được nhắc cấp quyền khoá cho tài khoản dịch vụ Cloud Firestore có khả năng tương thích với MongoDB, hãy nhấp vào Cấp. Để tạo cơ sở dữ liệu CMEK, bạn phải cấp vai trò
cloudkms.cryptoKeyEncrypterDecryptercho tài khoản dịch vụ Cloud Firestore có khả năng tương thích với MongoDB.Chọn các quy tắc bảo mật cho ứng dụng di động và ứng dụng web.
Nhấp vào Tạo cơ sở dữ liệu.
Sau khi tạo cơ sở dữ liệu, bạn có thể xác minh rằng cơ sở dữ liệu đã bật CMEK bằng cách xem Thông tin chi tiết về cơ sở dữ liệu:
- Nếu cơ sở dữ liệu của bạn được bảo vệ bằng CMEK, thì trường Loại mã hoá sẽ hiển thị là Do khách hàng quản lý và trường Khoá mã hoá sẽ liệt kê Cloud KMS tương ứng và phiên bản khoá được dùng để bảo vệ cơ sở dữ liệu này.
- Nếu cơ sở dữ liệu của bạn không được bảo vệ bằng CMEK, trường Loại mã hoá sẽ hiển thị là Do Google quản lý.
gcloud
Trước khi tạo cơ sở dữ liệu có hỗ trợ CMEK bằng Google Cloud CLI, hãy cài đặt phiên bản mới nhất và uỷ quyền cho gcloud CLI. Để biết thêm thông tin, hãy xem phần Cài đặt gcloud CLI.
gcloud firestore databases create \
--location=FIRESTORE_DATABASE_LOCATION \
--database=DATABASE_ID \
--edition=enterprise \
--kms-key-name=KMS_KEY_NAME \
--project=FIRESTORE_PROJECT
Thay thế nội dung sau:
FIRESTORE_DATABASE_LOCATIONcó vị trí cho cơ sở dữ liệuDATABASE_IDcó mã nhận dạng cho cơ sở dữ liệuKMS_KEY_NAMEbằng tên bạn đã chỉ định cho khoá. Sử dụng tên tài nguyên đầy đủ cho khoá theo định dạng sau:projects/KMS_PROJECT/locations/KMS_LOCATION/keyRings/KMS_KEYRING_ID/cryptoKeys/KMS_KEY_IDFIRESTORE_PROJECTvới dự án sẽ dùng cho Cloud Firestore có cơ sở dữ liệu tương thích với MongoDB
Truy cập vào cơ sở dữ liệu được bảo vệ bằng CMEK
Tất cả các thao tác đọc, ghi và truy vấn được gửi đến một cơ sở dữ liệu được bảo vệ bằng CMEK đều phải hoạt động giống như với một cơ sở dữ liệu được mã hoá mặc định của Google. Ví dụ: bạn không cần cung cấp khoá cho từng yêu cầu.
Khôi phục cơ sở dữ liệu được bảo vệ bằng CMEK
Trước khi khôi phục cơ sở dữ liệu được bảo vệ bằng CMEK từ bản sao lưu, hãy làm như sau:
- Quyết định xem bạn có muốn khôi phục cơ sở dữ liệu về chế độ mã hoá CMEK, về chế độ mã hoá mặc định của Google (không phải CMEK) hay về chế độ mã hoá giống như bản sao lưu hay không.
Chuẩn bị khoá (phiên bản chính) và phiên bản khoá mà bạn đã dùng để mã hoá bản sao lưu. Bật cả khoá và phiên bản khoá.
gcloud
Khôi phục cơ sở dữ liệu được bảo vệ bằng CMEK về trạng thái mã hoá CMEK
Để khôi phục về chế độ mã hoá CMEK, hãy chạy lệnh gcloud firestore databases restore bằng các cờ encryption-type và kms-key-name không bắt buộc để định cấu hình loại mã hoá cho cơ sở dữ liệu được khôi phục. Nếu bạn không chỉ định loại mã hoá, thì cơ sở dữ liệu được khôi phục sẽ sử dụng cùng một cấu hình mã hoá như bản sao lưu.
gcloud firestore databases restore \
--encryption-type=customer-managed-encryption \
--kms-key-name=KMS_KEY_NAME
Thay thế KMS_KEY_NAME bằng tên mà bạn đã chỉ định cho khoá. Sử dụng tên tài nguyên đầy đủ cho khoá theo định dạng sau:
projects/KMS_PROJECT/locations/KMS_LOCATION/keyRings/KMS_KEYRING_ID/cryptoKeys/KMS_KEY_ID
Khôi phục cơ sở dữ liệu được bảo vệ bằng CMEK về chế độ mã hoá mặc định
Để khôi phục về chế độ mã hoá mặc định của Google (không phải CMEK), hãy đặt cờ encryption-type theo cách sau:
gcloud firestore databases restore \
--encryption-type=google-default-encryption
Khôi phục cơ sở dữ liệu được bảo vệ bằng CMEK về cùng loại mã hoá như bản sao lưu
Để khôi phục về cùng loại mã hoá với bản sao lưu, hãy đặt cờ encryption-type theo cách sau:
gcloud firestore databases restore --encryption-type=use-source-encryption
Giao diện dòng lệnh (CLI) của Firebase
Khôi phục cơ sở dữ liệu được bảo vệ bằng CMEK về trạng thái mã hoá CMEK
Để khôi phục về chế độ mã hoá CMEK, hãy sử dụng cờ encryption-type và kms-key-name (không bắt buộc). Nếu bạn không chỉ định loại mã hoá, thì cơ sở dữ liệu được khôi phục sẽ sử dụng cùng một cấu hình mã hoá như bản sao lưu.
firebase firestore:databases:restore \
--database DATABASE_ID \
--backup 'projects/FIRESTORE_PROJECT/locations/FIRESTORE_LOCATION/backups/BACKUP_ID' \
--encryption-type CUSTOMER_MANAGED_ENCRYPTION \
--kms-key-name projects/KMS_PROJECT/locations/KMS_LOCATION/keyRings/KMS_KEYRING_ID/cryptoKeys/KMS_KEY_ID \
--project FIRESTORE_PROJECT
Thay thế nội dung sau:
DATABASE_IDbằng mã nhận dạng cơ sở dữ liệu của bạnFIRESTORE_PROJECTvới dự án sẽ dùng cho Cloud Firestore có cơ sở dữ liệu tương thích với MongoDBFIRESTORE_LOCATIONbằng vị trí của Cloud Firestore có cơ sở dữ liệu tương thích với MongoDBBACKUP_IDbằng mã nhận dạng của bản sao lưuKMS_PROJECTvới dự án chứa khoá CMEK của bạnKMS_LOCATIONcó vị trí chứa khoá và bộ khoá CMEK của bạnKMS_KEYRING_IDbằng mã nhận dạng của khoá CMEK
Xác nhận rằng cơ sở dữ liệu Cloud Firestore đã khôi phục có khả năng tương thích với MongoDB được mã hoá bằng CMEK:
firebase firestore:databases:get DATABASE_ID --project FIRESTORE_PROJECT
Khôi phục cơ sở dữ liệu được bảo vệ bằng CMEK về chế độ mã hoá mặc định
Để khôi phục về chế độ mã hoá mặc định của Google (không phải CMEK), hãy đặt cờ encryption-type theo cách sau:
firebase firestore:databases:restore \
--database DATABASE_ID \
--backup 'projects/FIRESTORE_PROJECT/locations/FIRESTORE_LOCATION/backups/BACKUP_ID' \
--encryption-type GOOGLE_DEFAULT_ENCRYPTION \
--project FIRESTORE_PROJECT
Thay thế nội dung sau:
DATABASE_IDbằng mã nhận dạng cơ sở dữ liệu của bạnFIRESTORE_PROJECTvới dự án sẽ dùng cho Cloud Firestore có cơ sở dữ liệu tương thích với MongoDBFIRESTORE_LOCATIONbằng vị trí của Cloud Firestore có cơ sở dữ liệu tương thích với MongoDBBACKUP_IDbằng mã nhận dạng của bản sao lưu
Khôi phục cơ sở dữ liệu được bảo vệ bằng CMEK về cùng loại mã hoá như bản sao lưu
Để khôi phục về cùng loại mã hoá với bản sao lưu, hãy đặt cờ encryption-type theo cách sau:
firebase firestore:databases:restore \
--database DATABASE_ID \
--backup 'projects/FIRESTORE_PROJECT/locations/FIRESTORE_LOCATION/backups/BACKUP_ID' \
--encryption-type USE_SOURCE_ENCRYPTION
Thay thế nội dung sau:
DATABASE_IDbằng mã nhận dạng cơ sở dữ liệu của bạnFIRESTORE_PROJECTvới dự án sẽ dùng cho Cloud Firestore có cơ sở dữ liệu tương thích với MongoDBFIRESTORE_LOCATIONbằng vị trí của Cloud Firestore có cơ sở dữ liệu tương thích với MongoDBBACKUP_IDbằng mã nhận dạng của bản sao lưu
Sao chép cơ sở dữ liệu được bảo vệ bằng CMEK
Trước khi bạn sao chép một cơ sở dữ liệu được bảo vệ bằng CMEK:
- Quyết định xem bạn có muốn sao chép cơ sở dữ liệu sang chế độ mã hoá CMEK, sang chế độ mã hoá mặc định của Google (không phải CMEK) hay sang chế độ mã hoá giống như cơ sở dữ liệu nguồn hay không.
Chuẩn bị khoá (phiên bản chính) và phiên bản khoá mà bạn đã dùng để mã hoá cơ sở dữ liệu nguồn. Bật cả khoá và phiên bản khoá.
gcloud
Sao chép cơ sở dữ liệu được bảo vệ bằng CMEK sang chế độ mã hoá CMEK
Để sao chép sang chế độ mã hoá CMEK, hãy chạy lệnh gcloud alpha firestore databases clone bằng các cờ encryption-type và kms-key-name không bắt buộc để định cấu hình loại mã hoá cho cơ sở dữ liệu được sao chép. Nếu bạn không chỉ định loại mã hoá, cơ sở dữ liệu được sao chép sẽ sử dụng cùng một cấu hình mã hoá như cơ sở dữ liệu nguồn.
gcloud alpha firestore databases clone \
--encryption-type=customer-managed-encryption \
--kms-key-name=KMS_KEY_NAME
Thay thế KMS_KEY_NAME bằng tên mà bạn đã chỉ định cho khoá. Sử dụng tên tài nguyên đầy đủ cho khoá theo định dạng sau:
projects/KMS_PROJECT/locations/KMS_LOCATION/keyRings/KMS_KEYRING_ID/cryptoKeys/KMS_KEY_ID
Sao chép cơ sở dữ liệu được bảo vệ bằng CMEK sang chế độ mã hoá mặc định
Để sao chép vào chế độ mã hoá mặc định của Google (không phải CMEK), hãy đặt cờ encryption-type theo cách sau:
gcloud alpha firestore databases clone \
--encryption-type=google-default-encryption
Sao chép một cơ sở dữ liệu được bảo vệ bằng CMEK sang cùng loại mã hoá với cơ sở dữ liệu nguồn
Để sao chép sang cùng một loại mã hoá như cơ sở dữ liệu nguồn, hãy đặt cờ encryption-type theo cách sau:
gcloud alpha firestore databases clone \
--encryption-type=use-source-encryption
Xem khoá đang được sử dụng
gcloud
Bạn có thể dùng lệnh databases describe gcloud CLI để xác nhận cấu hình CMEK của cơ sở dữ liệu:
gcloud firestore databases describe \
--database=DATABASE_ID \
--project=FIRESTORE_PROJECT
Bạn sẽ thấy thông tin về CMEK trong trường cmekConfig trong phản hồi, tương tự như sau:
cmekConfig:
activeKeyVersion:
- projects/PROJECT_ID/locations/us/keyRings/KEYRING_NAME/cryptoKeys/KEY_NAME/cryptoKeyVersions/1
kmsKeyName: projects/PROJECT_ID/locations/us/keyRings/KEYRING_NAME/cryptoKeys/KEY_NAME
locationId: nam5
name: projects/PROJECT_ID/databases/DATABASE_ID
Phản hồi bao gồm những thông tin sau:
kmsKeyName: tên tài nguyên đầy đủ của khoá dùng để mã hoá cơ sở dữ liệu được bảo vệ bằng CMEK.activeKeyVersion: danh sách tất cả các phiên bản khoá mà cơ sở dữ liệu được bảo vệ bằng CMEK đang sử dụng. Trong quá trình xoay vòng khoá, bạn có thể có nhiều phiên bản khoá đang hoạt động. Cả phiên bản khoá cũ và phiên bản khoá mới đều cần có trong quá trình thay khoá. Đừng tắt phiên bản khoá cũ cho đến khi phiên bản này không còn xuất hiện trong trườngactiveKeyVersionnữa.
API REST
Yêu cầu HTTP:
GET https://firestore.googleapis.com/v1/{name=projects/FIRESTORE_PROJECT/databases/DATABASE_ID}
Trong nội dung yêu cầu, hãy định cấu hình CMEK trong trường cmek_config.kms_key_name.
Đặt thành mã nhận dạng tài nguyên đầy đủ của một khoá Cloud KMS. Chỉ được phép dùng khoá ở cùng vị trí với cơ sở dữ liệu này.
Giá trị này phải là mã tài nguyên khoá Cloud KMS ở định dạng projects/{KMS_PROJECT}/locations/{KMS_LOCATION}/keyRings/{KMS_KEYRING_ID}/cryptoKeys/{KMS_KEY_ID}.
Để biết thêm thông tin chi tiết về các trường khác, hãy xem trang database create.
Ví dụ về yêu cầu:
curl 'https://firestore.googleapis.com/v1/projects/FIRESTORE_PROJECT/databases/{DATABASE_ID}' \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-type: application/json"
Ví dụ về phản hồi:
{
"name": "projects/FIRESTORE_PROJECT/databases/{DATABASE_ID}",
"locationId": "{FIRESTORE_DATABASE_LOCATION}",
"type": "FIRESTORE_NATIVE",
"cmekConfig": {
"kmsKeyName": "projects/{KMS_PROJECT}/locations/{KMS_LOCATION}/keyRings/{KMS_KEYRING_ID}/cryptoKeys/{KMS_KEY_ID}",
"activeKeyVersion": [
"projects/{KMS_PROJECT}/locations/{KMS_LOCATION}/keyRings/{KMS_KEYRING_ID}/cryptoKeys/{KMS_KEY_ID}/cryptoKeyVersions/1"
]
},
...
}
Tắt một khoá
Để vô hiệu hoá một khoá được liên kết với cơ sở dữ liệu, hãy hoàn tất các bước sau:
- Xem các phiên bản khoá đang được dùng cho một cơ sở dữ liệu
- Tắt các phiên bản khoá đó
- Đợi thay đổi có hiệu lực và kiểm tra xem bạn có còn truy cập được vào dữ liệu hay không. Các thay đổi thường có hiệu lực trong vòng vài phút, nhưng cũng có thể mất đến 3 giờ.
Khi một khoá do cơ sở dữ liệu sử dụng bị vô hiệu hoá, bạn sẽ nhận được một ngoại lệ INVALID_ARGUMENT kèm theo thông tin chi tiết trong thông báo lỗi, ví dụ:
{
"error": {
"code": 400,
"message": "Failed: (InvalidArgument) The customer-managed encryption key required by the requested resource is not accessible. Error reason: projects/{FIRESTORE_PROJECT}/locations/{KMS_LOCATION}/keyRings/{KMS_KEYRING_ID}/cryptoKeys/{KMS_KEY_ID}/cryptoKeyVersions/1 is not enabled, current state is: DISABLED.",
"status": "INVALID_ARGUMENT",
"details": [
{
"@type": "type.googleapis.com/google.rpc.DebugInfo",
"detail": "Failed: (InvalidArgument) The customer-managed encryption key required by the requested resource is not accessible. Error reason: projects/{FIRESTORE_PROJECT}/locations/{KMS_LOCATION}/keyRings/{KMS_KEYRING_ID}/cryptoKeys/{KMS_KEY_ID}/cryptoKeyVersions/1 is not enabled, current state is: DISABLED."
}
]
}
}
Bật một khoá
Để bật lại một khoá được liên kết với cơ sở dữ liệu, hãy hoàn tất các bước sau:
- Xem các phiên bản khoá đang được dùng cho một cơ sở dữ liệu
- Bật các phiên bản khoá đó
- Đợi thay đổi có hiệu lực và kiểm tra xem bạn có còn truy cập được vào dữ liệu hay không. Các thay đổi thường có hiệu lực trong vòng vài phút, nhưng cũng có thể mất đến 3 giờ.
Xem nhật ký kiểm tra cho khoá Cloud KMS
Trước khi bật nhật ký kiểm tra Quyền truy cập vào dữ liệu của Cloud KMS, bạn nên tìm hiểu về Nhật ký kiểm tra trên đám mây.
Nhật ký kiểm tra quyền truy cập dữ liệu Cloud KMS cho biết thời điểm Cloud Firestore có khả năng tương thích với MongoDB hoặc bất kỳ sản phẩm nào khác được định cấu hình để sử dụng khoá CMEK của bạn thực hiện các lệnh gọi mã hoá hoặc giải mã đến Cloud KMS. Cloud Firestore có khả năng tương thích với MongoDB không đưa ra lệnh gọi mã hoá hoặc giải mã trên mọi yêu cầu dữ liệu, mà thay vào đó duy trì một trình thăm dò định kỳ kiểm tra khoá. Kết quả thăm dò ý kiến sẽ xuất hiện trong nhật ký kiểm tra.
Bạn có thể thiết lập và tương tác với nhật ký kiểm tra trong Bảng điều khiển Google Cloud:
Đảm bảo rằng bạn đã bật tính năng ghi nhật ký cho API Cloud KMS trong dự án của mình.
Chuyển đến Cloud Logging trong bảng điều khiển Google Cloud.
Giới hạn các mục nhập nhật ký cho khoá Cloud KMS của bạn bằng cách thêm các dòng sau vào Trình tạo truy vấn:
resource.type="cloudkms_cryptokey" resource.labels.key_ring_id = KMS_KEYRING resource.labels.crypto_key_id = KMS_KEY resource.labels.location=KMS_LOCATIONThay thế nội dung sau:
KMS_KEYcó tên khoá CMEKKMS_KEYRINGcó bộ khoá KMS chứa khoáKMS_LOCATIONcùng với vị trí của khoá và bộ khoá
Nhật ký cho thấy một vài mục nhập nhật ký khoảng 5 phút một lần cho mỗi cơ sở dữ liệu. Các mục nhật ký sẽ có dạng như những ví dụ sau:
Info 2021-03-20 08:02:24.869 EDT Cloudkms.googleapis.com Decrypt projects/cloud-kms-project/locations/us-central1/keyRings/firestore-keys/cryptoKeys/my-cmek-key service-123456789123@gcp-sa-firestore. audit_log, method: "Decrypt", principal_email: "service-1234567891011@gcp-sa-firestore." Info 2021-03-20 08:02:24.913 EDT Cloudkms.googleapis.com Encrypt projects/cloud-kms-project/locations/us-central1/keyRings/firestore-keys/cryptoKeys/my-cmek-key service-123456789123@gcp-sa-firestore. audit_log, method: "Encrypt", principal_email: "service-123456789123@gcp-sa-firestore."
Hãy xem phần Tìm hiểu về nhật ký kiểm tra để biết thông tin chi tiết về cách diễn giải nhật ký kiểm tra.
Định cấu hình chính sách tổ chức CMEK
Để chỉ định các yêu cầu tuân thủ về việc mã hoá cho Cloud Firestore bằng cơ sở dữ liệu tương thích với MongoDB trong tổ chức của bạn, hãy sử dụng giới hạn chính sách tổ chức CMEK.
Yêu cầu bảo vệ bằng CMEK
Định cấu hình constraints/gcp.restrictNonCmekServices để yêu cầu CMEK tạo cơ sở dữ liệu tương thích với MongoDB bằng Cloud Firestore. Đặt điều kiện ràng buộc thành deny và thêm firestore.googleapis.com vào danh sách từ chối, ví dụ:
gcloud resource-manager org-policies deny gcp.restrictNonCmekServices is:firestore.googleapis.com --project=FIRESTORE_PROJECT
Thay thế FIRESTORE_PROJECT bằng dự án cần hạn chế.
Để tìm hiểu thêm về cách định cấu hình chính sách của tổ chức, hãy xem bài viết Tạo và chỉnh sửa chính sách.
Sau khi chính sách có hiệu lực, bạn sẽ nhận được thông báo lỗi và ngoại lệ FAILED_PRECONDITION nếu cố gắng tạo một cơ sở dữ liệu không phải CMEK trong dự án chịu ảnh hưởng. Ví dụ: một ngoại lệ trông như sau:
{
"error": {
"code": 400,
"message": "Constraint 'constraints/gcp.restrictNonCmekServices' violated for 'projects/FIRESTORE_PROJECT' attempting to perform the operation 'google.firestore.admin.v1.FirestoreAdmin.CreateDatabase' with violated value 'firestore.googleapis.com'. See https://cloud.google.com/resource-manager/docs/organization-policy/org-policy-constraints for more information.",
"status": "FAILED_PRECONDITION",
"details": [
{
"@type": "type.googleapis.com/google.rpc.PreconditionFailure",
"violations": [
{
"type": "constraints/gcp.restrictNonCmekServices",
"subject": "orgpolicy:projects/FIRESTORE_PROJECT",
"description": "Constraint 'constraints/gcp.restrictNonCmekServices' violated for 'projects/FIRESTORE_PROJECT' attempting to perform the operation 'google.firestore.admin.v1.FirestoreAdmin.CreateDatabase' with violated value 'firestore.googleapis.com'. See https://cloud.google.com/resource-manager/docs/organization-policy/org-policy-constraints for more information."
}
]
Hạn chế việc sử dụng khoá cho CMEK
Để giới hạn những khoá Cloud KMS được dùng để bảo vệ CMEK, hãy định cấu hình quy tắc ràng buộc constraints/gcp.restrictCmekCryptoKeyProjects.
Là một ràng buộc danh sách, các giá trị được chấp nhận là chỉ báo phân cấp tài nguyên (ví dụ: projects/PROJECT_ID, under:folders/FOLDER_ID và under:organizations/ORGANIZATION_ID). Hãy sử dụng ràng buộc này bằng cách định cấu hình danh sách chỉ báo phân cấp tài nguyên và đặt ràng buộc thành Allow (Cho phép).
Cấu hình này hạn chế các dịch vụ được hỗ trợ để chỉ có thể chọn khoá CMEK trong số các dự án, thư mục và tổ chức được liệt kê. Yêu cầu tạo tài nguyên được bảo vệ bằng CMEK trong các dịch vụ đã định cấu hình sẽ không thành công nếu không có khoá Cloud Firestore tương thích với MongoDB từ một trong các tài nguyên được phép.
Ví dụ sau đây chỉ cho phép các khoá từ ALLOWED_KEY_PROJECT_ID cho các cơ sở dữ liệu được bảo vệ bằng CMEK trong dự án được chỉ định:
gcloud resource-manager org-policies allow gcp.restrictCmekCryptoKeyProjects \
under:projects/<var>ALLOWED_KEY_PROJECT_ID</var> \
--project=<var>FIRESTORE_PROJECT</var>
Sau khi chính sách có hiệu lực, bạn sẽ nhận được một ngoại lệ FAILED_PRECONDITION và thông báo lỗi nếu vi phạm quy tắc ràng buộc. Một trường hợp ngoại lệ sẽ có dạng như sau:
{
"error": {
"code": 400,
"message": "Constraint 'constraints/gcp.restrictCmekCryptoKeyProjects' violated for 'projects/FIRESTORE_PROJECT' attempting to perform the operation 'google.firestore.admin.v1.FirestoreAdmin.CreateDatabase' with violated value 'projects/{NOT_ALLOWED_KEY_PROJECT}'. See https://cloud.google.com/resource-manager/docs/organization-policy/org-policy-constraints for more information.",
"status": "FAILED_PRECONDITION",
"details": [
{
"@type": "type.googleapis.com/google.rpc.PreconditionFailure",
"violations": [
{
"type": "constraints/gcp.restrictCmekCryptoKeyProjects",
"subject": "orgpolicy:projects/FIRESTORE_PROJECT",
"description": "Constraint 'constraints/gcp.restrictCmekCryptoKeyProjects' violated for 'projects/FIRESTORE_PROJECT' attempting to perform the operation 'google.firestore.admin.v1.FirestoreAdmin.CreateDatabase' with violated value 'projects/{NOT_ALLOWED_KEY_PROJECT}'. See https://cloud.google.com/resource-manager/docs/organization-policy/org-policy-constraints for more information."
}
]
}
]
}
}