เข้ารหัสทรัพยากรได้ง่ายๆ ด้วยคีย์อัตโนมัติของ Cloud KMS

1. บทนำ

คีย์อัตโนมัติของ Cloud KMS ช่วยให้การสร้างและใช้คีย์การเข้ารหัสที่จัดการโดยลูกค้า (CMEK) ง่ายขึ้นด้วยการจัดสรรและการกำหนดอัตโนมัติ Autokey ช่วยให้คุณไม่ต้องวางแผนและจัดสรรพวงกุญแจ คีย์ และบัญชีบริการก่อนที่จะจำเป็นต้องใช้ แต่ Autokey จะสร้างคีย์ตามคำขอเมื่อมีการสร้างทรัพยากร โดยจะใช้สิทธิ์ที่มอบหมายแทนผู้ดูแลระบบ Cloud KMS

การใช้คีย์ที่สร้างโดย Autokey จะช่วยให้คุณปฏิบัติตามมาตรฐานอุตสาหกรรมและแนวทางปฏิบัติแนะนำด้านความปลอดภัยของข้อมูลได้อย่างสม่ำเสมอ ซึ่งรวมถึงระดับการป้องกัน HSM, การแยกหน้าที่, การหมุนเวียนคีย์, สถานที่ตั้ง และความเฉพาะเจาะจงของคีย์ Autokey จะสร้างคีย์ตามหลักเกณฑ์ทั่วไปและหลักเกณฑ์เฉพาะสำหรับประเภททรัพยากรของบริการ Google Cloud ที่ผสานรวมกับ Autokey ของ Cloud KMS หลังจากสร้างแล้ว คีย์ที่ขอโดยใช้ฟังก์ชัน Autokey จะทำงานเหมือนกับคีย์ Cloud HSM อื่นๆ ที่มีการตั้งค่าเดียวกัน

สิ่งที่คุณจะสร้าง

ใน Codelab นี้ คุณจะได้เปิดใช้ทรัพยากรที่มีการป้องกันโดยใช้คีย์อัตโนมัติของ Cloud KMS ด้วยการสร้างสิ่งต่อไปนี้

• ทรัพยากรโฟลเดอร์
• โปรเจ็กต์ที่จะมีคีย์ของคุณ
• ตัวแทนบริการเพื่อทำหน้าที่เป็นผู้ช่วยจัดการคีย์
• โปรเจ็กต์ที่จะโฮสต์ทรัพยากรที่ได้รับการปกป้อง
• ชุดข้อมูล BigQuery, Persistent Disk และ Bucket ของ Cloud Storage ที่เข้ารหัสด้วยคีย์อัตโนมัติของ Cloud KMS

สิ่งที่คุณต้องมี

• องค์กร Google Cloud
• ผู้ใช้หลักของ Google Cloud ต้องมีบทบาทต่อไปนี้ที่ระดับองค์กรจึงจะทำ Lab นี้ให้เสร็จสมบูรณ์ได้
• ผู้ดูแลระบบคีย์อัตโนมัติของ Cloud KMS (roles/cloudkms.autokeyAdmin)
• ผู้ดูแลระบบ IAM ของโฟลเดอร์ (roles/resourcemanager.folderIamAdmin)
• ผู้ใช้บัญชีสำหรับการเรียกเก็บเงิน (roles/billing.user)
• โปรเจ็กต์ Google Cloud ที่เปิดใช้การเรียกเก็บเงิน
• ประสบการณ์การใช้งาน Linux ขั้นพื้นฐาน

2. สร้างโฟลเดอร์

โฟลเดอร์คือโหนดในลำดับชั้นของทรัพยากร Cloud Platform โฟลเดอร์อาจมีโปรเจ็กต์ โฟลเดอร์อื่นๆ หรือทั้ง 2 อย่างรวมกัน ทรัพยากรขององค์กรใช้โฟลเดอร์เพื่อจัดกลุ่มโปรเจ็กต์ภายใต้โหนดทรัพยากรขององค์กรในลำดับชั้นได้ วิธีสร้างโฟลเดอร์:

1. ไปที่หน้า จัดการทรัพยากร ในคอนโซล Google Cloud
2. ตรวจสอบว่าได้เลือกชื่อทรัพยากรขององค์กรในรายการแบบเลื่อนลงขององค์กรที่ด้านบนของหน้าแล้ว
3. คลิกสร้างโฟลเดอร์

4. เลือกโฟลเดอร์มาตรฐาน

5. ในช่องชื่อโฟลเดอร์ ให้ป้อนชื่อโฟลเดอร์ใหม่ สำหรับห้องทดลองนี้ ให้พิจารณา "Autokey-Folder"
6. ในส่วนปลายทาง ให้คลิกเรียกดู แล้วเลือกทรัพยากรขององค์กรหรือโฟลเดอร์ที่คุณต้องการสร้างโฟลเดอร์ใหม่
7. คลิกสร้าง

3. สร้างโปรเจ็กต์ทรัพยากร

คุณควรสร้างโปรเจ็กต์ทรัพยากรเพื่อเก็บทรัพยากร เช่น ชุดข้อมูล BigQuery, Persistent Disk และที่เก็บข้อมูล Cloud Storage ที่ต้องการเข้ารหัสด้วยคีย์อัตโนมัติของ Cloud KMS หากคุณพยายามสร้างทรัพยากรที่ได้รับการปกป้องโดย Autokey ในโปรเจ็กต์คีย์ Autokey จะปฏิเสธคำขอคีย์ใหม่ วิธีสร้างโปรเจ็กต์ทรัพยากร

1. ไปที่หน้า จัดการทรัพยากร ในคอนโซล Google Cloud
2. คลิกสร้างโปรเจ็กต์

3. ในรายการแบบเลื่อนลงเลือกองค์กรที่ด้านบนของหน้า ให้เลือกโฟลเดอร์ "Autokey-Folder"
4. ในหน้าต่างโปรเจ็กต์ใหม่ที่ปรากฏขึ้น ให้ป้อนชื่อโปรเจ็กต์และเลือกบัญชีสำหรับการเรียกเก็บเงินตามความเหมาะสม สำหรับห้องทดลองนี้ ให้พิจารณา "ทรัพยากรที่เข้ารหัสด้วยคีย์อัตโนมัติ"
5. ในช่องตำแหน่ง ให้เลือกโฟลเดอร์ "Autokey-Folder" โดยทรัพยากรดังกล่าวจะเป็นทรัพยากรระดับบนสุดแบบลำดับชั้นของโปรเจ็กต์ใหม่ การตั้งค่าควรมีลักษณะคล้ายกับตัวอย่างต่อไปนี้

6. คัดลอกรหัสโปรเจ็กต์ ในตัวอย่างด้านบน รหัสโปรเจ็กต์คือ "causal-hour-43319-m4" แต่รหัสของคุณจะแตกต่างออกไป วางลงในโปรแกรมแก้ไขข้อความที่คุณเลือก
7. คลิกสร้าง
8. เลือกไอคอน Cloud Shell ที่มุมขวาบนของหน้าจอ

9. เมื่อ Cloud Shell ทำงานแล้ว ให้บันทึกรหัสโปรเจ็กต์ Autokey เป็นตัวแปรโดยเรียกใช้คำสั่งต่อไปนี้

export RESOURCE_PROJECT=<paste your Resource Project ID>

เนื่องจากรหัสโปรเจ็กต์ของฉันคือ "key-management-433319" คำสั่งของฉันจึงมีลักษณะดังนี้

export AUTOKEY_PROJECT=causal-hour-43319-m4

10. เรียกใช้คำสั่งต่อไปนี้เพื่อเรียกใช้คำสั่งจากโปรเจ็กต์คีย์

gcloud config set project $RESOURCE_PROJECT

เมื่อได้รับแจ้ง ให้ให้สิทธิ์ Cloud Shell โดยคลิก "ให้สิทธิ์"

11. เนื่องจากโปรเจ็กต์นี้จะมีทรัพยากร เราจึงต้องเปิดใช้ API สำหรับบริการที่ Autokey จะปกป้อง เรียกใช้คำสั่งต่อไปนี้

gcloud services enable storage.googleapis.com bigquery.googleapis.com compute.googleapis.com

4. สร้างโปรเจ็กต์สำคัญ

เราขอแนะนำให้สร้างโปรเจ็กต์เพื่อเก็บทรัพยากร Cloud KMS ที่สร้างโดย Autokey ซึ่งต่อไปนี้จะเรียกว่า "โปรเจ็กต์หลัก" คุณสร้างโปรเจ็กต์คีย์ได้ภายในโฟลเดอร์เดียวกันกับที่วางแผนจะเปิดใช้ Autokey คุณไม่ควรสร้างทรัพยากรอื่นๆ ภายในโปรเจ็กต์คีย์ หากคุณพยายามสร้างทรัพยากรที่ได้รับการปกป้องโดย Autokey ในโปรเจ็กต์คีย์ Autokey จะปฏิเสธคำขอคีย์ใหม่ วิธีสร้างโปรเจ็กต์คีย์

1. ไปที่หน้า จัดการทรัพยากร ในคอนโซล Google Cloud
2. คลิกสร้างโปรเจ็กต์

3. ในรายการแบบเลื่อนลงเลือกองค์กรที่ด้านบนของหน้า ให้เลือกโฟลเดอร์ "Autokey-Folder"
4. ในหน้าต่างโปรเจ็กต์ใหม่ที่ปรากฏขึ้น ให้ป้อนชื่อโปรเจ็กต์และเลือกบัญชีสำหรับการเรียกเก็บเงินตามความเหมาะสม สำหรับแล็บนี้ ให้พิจารณา "การจัดการคีย์"
5. ในช่องตำแหน่ง ให้เลือกโฟลเดอร์ "Autokey-Folder" โดยทรัพยากรดังกล่าวจะเป็นทรัพยากรระดับบนสุดแบบลำดับชั้นของโปรเจ็กต์ใหม่ การตั้งค่าควรมีลักษณะคล้ายกับตัวอย่างต่อไปนี้

6. คัดลอกรหัสโปรเจ็กต์ ในตัวอย่างด้านบน รหัสโปรเจ็กต์คือ "key-management-433319" แต่รหัสของคุณจะแตกต่างกัน ให้คัดลอกรหัสลงในโปรแกรมแก้ไขข้อความที่คุณเลือก
7. คลิกสร้าง

5. เตรียมโปรเจ็กต์คีย์ Autokey

เมื่อสร้างแต่ละโปรเจ็กต์แล้ว ก็ถึงเวลาตั้งค่าโปรเจ็กต์คีย์ให้ใช้คีย์อัตโนมัติของ Cloud KMS

8. เลือกไอคอน Cloud Shell ที่มุมขวาบนของหน้าจอ

9. เมื่อ Cloud Shell ทำงานแล้ว ให้บันทึกรหัสโปรเจ็กต์ Autokey เป็นตัวแปรโดยเรียกใช้คำสั่งต่อไปนี้

export AUTOKEY_PROJECT=<paste your Autokey Project ID>

เนื่องจากรหัสโปรเจ็กต์ของฉันคือ "key-management-433319" คำสั่งของฉันจึงมีลักษณะดังนี้

export AUTOKEY_PROJECT=key-management-433319

10. เรียกใช้คำสั่งต่อไปนี้เพื่อเรียกใช้คำสั่งจากโปรเจ็กต์คีย์

gcloud config set project $AUTOKEY_PROJECT

เมื่อได้รับแจ้ง ให้ให้สิทธิ์ Cloud Shell โดยคลิก "ให้สิทธิ์"

11. เปิดใช้ Cloud KMS API โดยการเรียกใช้คำสั่งต่อไปนี้

gcloud services enable cloudkms.googleapis.com  kmsinventory.googleapis.com

12. เรียกใช้คำสั่งต่อไปนี้เพื่อบันทึกหมายเลขโปรเจ็กต์เป็นตัวแปรชื่อ AUTOKEY_PROJECT_NUMBER

export AUTOKEY_PROJECT_NUMBER=$(gcloud projects list \
--filter="$(gcloud config get-value project)" \
--format="value(PROJECT_NUMBER)")

13. บันทึกอีเมลของหัวหน้าเป็นตัวแปรโดยเรียกใช้คำสั่งต่อไปนี้

export KEY_ADMIN_EMAIL=<paste your Principal's email>

14. ให้สิทธิ์ผู้ดูแลระบบ Cloud KMS ในโปรเจ็กต์คีย์แก่ผู้ใช้ที่เป็นผู้ดูแลระบบ Cloud KMS

gcloud projects add-iam-policy-binding $AUTOKEY_PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=user:$KEY_ADMIN_EMAIL

6. ตั้งค่า Agent บริการ Cloud KMS

Agent บริการ Cloud KMS สำหรับโปรเจ็กต์คีย์จะสร้างคีย์และใช้การเชื่อมโยงนโยบาย IAM ในระหว่างการสร้างทรัพยากรในนามของผู้ดูแลระบบ Cloud KMS ที่เป็นบุคคล หากต้องการสร้างและกำหนดคีย์ได้ ตัวแทนบริการ Cloud KMS ต้องมีสิทธิ์ของผู้ดูแลระบบ Cloud KMS

1. ค้นหารหัสองค์กรด้วยคำสั่งต่อไปนี้

gcloud organizations list | grep -P -i 'ID:' | grep -i '[0-9]'

2. คัดลอกรหัสองค์กร ซึ่งเป็นผลลัพธ์ที่เป็นตัวเลขที่ไฮไลต์เป็นสีแดง
3. บันทึกรหัสองค์กรเป็นตัวแปรชื่อ ORG_ID โดยทำดังนี้

export ORG_ID=<paste your Organization ID>

4. สร้างตัวแทนบริการ Cloud KMS โดยการเรียกใช้คำสั่งต่อไปนี้

gcloud beta services identity create --service=cloudkms.googleapis.com \
    --project=$AUTOKEY_PROJECT_NUMBER

5. มอบบทบาทผู้ดูแลระบบ Cloud KMS ให้กับ Agent บริการ

gcloud projects add-iam-policy-binding $AUTOKEY_PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=serviceAccount:service-$AUTOKEY_PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com

6. เพิ่มการเชื่อมโยงนโยบาย IAM เพื่อให้คุณดูการใช้งานคีย์ Cloud KMS ได้ การใช้งานคีย์จะให้ข้อมูลสำหรับคีย์แต่ละรายการ รวมถึงจำนวนทรัพยากร โปรเจ็กต์ และผลิตภัณฑ์ Google Cloud ที่ไม่ซ้ำกันซึ่งใช้คีย์ ทุกคนที่มีบทบาทผู้ดู Cloud KMS ในคีย์จะดูรายละเอียดระดับนี้ได้ เรียกใช้คำสั่งต่อไปนี้

gcloud organizations add-iam-policy-binding $ORGANIZATION_ID \
    --member="serviceAccount:service-org-$ORGANIZATION_ID@gcp-sa-cloudkms.iam.gserviceaccount.com" \
    --role='roles/cloudkms.orgServiceAgent'

7. มอบบทบาท Agent บริการองค์กร Cloud KMS (cloudkms.orgServiceAgent) ให้กับบัญชีบริการ Cloud KMS ในทรัพยากรองค์กร

gcloud organizations add-iam-policy-binding $ORG_ID \
    --member="serviceAccount:service-org-$ORG_ID@gcp-sa-cloudkms.iam.gserviceaccount.com" \
    --role='roles/cloudkms.orgServiceAgent'

8. มอบบทบาทผู้ดูทรัพยากรที่มีการป้องกันของ Cloud KMS ในทรัพยากรขององค์กรให้แก่ทุกคนที่ต้องดูรายละเอียดการใช้คีย์

gcloud organizations add-iam-policy-binding $ORG_ID \
    --member="user:$KEY_ADMIN_EMAIL" \
    --role='roles/cloudkms.protectedResourcesViewer'

7. มอบบทบาทของผู้ใช้ Autokey

คุณต้องให้บทบาทที่จำเป็นแก่ผู้พัฒนาก่อนจึงจะใช้ Autokey ได้ คุณมอบบทบาทได้ที่ระดับโฟลเดอร์หรือระดับโปรเจ็กต์ บทบาทนี้ช่วยให้นักพัฒนาแอปขอคีย์จาก Agent บริการของ Cloud KMS ขณะสร้างทรัพยากรในโฟลเดอร์หรือโปรเจ็กต์นั้นได้

ขั้นตอนแรกในการให้บทบาทคือการบันทึกรหัสโฟลเดอร์

1. ค้นหารหัสโฟลเดอร์ด้วยคำสั่งต่อไปนี้

gcloud projects describe $AUTOKEY_PROJECT | grep 'id' | grep -P -i '[0-9]+'

2. คัดลอกรหัสโฟลเดอร์ ซึ่งเป็นส่วนที่ไฮไลต์เป็นสีแดง
3. บันทึกรหัสโฟลเดอร์เป็นตัวแปรชื่อ FOLDER_ID

export FOLDER_ID=<paste the folder ID>

สำหรับวัตถุประสงค์ของแล็บนี้ เราจะกำหนดให้ผู้ดูแลระบบหลักเป็นผู้ใช้ Autokey อย่างไรก็ตาม ในกรณีการใช้งานจริงและในองค์กรที่มีผู้ใช้มากกว่า 1 คน ผู้ดูแลระบบหลักควรเป็นคนละคนกับนักพัฒนาแอปที่ใช้ Autokey

4. มอบบทบาท roles/cloudkms.autokeyUser ที่ระดับโฟลเดอร์

gcloud resource-manager folders add-iam-policy-binding \
    $FOLDER_ID --role=roles/cloudkms.autokeyUser \
    --member=user:$KEY_ADMIN_EMAIL

8. เปิดใช้คีย์อัตโนมัติของ Cloud KMS ในโฟลเดอร์ทรัพยากร

ในขั้นตอนนี้ คุณจะเปิดใช้ Autokey ของ Cloud KMS ในโฟลเดอร์ทรัพยากร และระบุโปรเจ็กต์ Cloud KMS ที่จะมีทรัพยากร Autokey สำหรับโฟลเดอร์นั้น การเปิดใช้ Autokey ในโฟลเดอร์นี้จะเปิดใช้ Autokey สำหรับโปรเจ็กต์ทรัพยากรทั้งหมดภายในโฟลเดอร์

1. ในคอนโซล Google Cloud ให้ไปที่หน้าการควบคุม KMS
2. คลิกเลือกโฟลเดอร์

3. เลือกโฟลเดอร์ที่ต้องการเปิดใช้ Autokey จากเครื่องมือเลือกบริบท ซึ่งจะเป็นโฟลเดอร์เดียวกับที่คุณสร้างไว้ก่อนหน้านี้ และมีโปรเจ็กต์ทรัพยากรและโปรเจ็กต์การจัดการคีย์ โดยควรมีลักษณะดังนี้

4. คลิกเปิดใช้
5. คลิก "เรียกดู" เพื่อเลือกโปรเจ็กต์หลัก
6. เลือกโปรเจ็กต์การจัดการคีย์ แล้วคลิกส่ง

ข้อความจะยืนยันว่าได้เปิดใช้คีย์อัตโนมัติของ Cloud KMS ในโฟลเดอร์แล้ว หน้าการควบคุม KMS ควรมีลักษณะดังนี้

9. สร้างทรัพยากรที่มีการป้องกันโดยใช้คีย์อัตโนมัติของ Cloud KMS

ดิสก์ถาวรของ Compute Engine

Autokey จะสร้างคีย์ใหม่สำหรับแต่ละดิสก์ อิมเมจ และอิมเมจเครื่องในตำแหน่งเดียวกับทรัพยากรที่กำลังสร้าง

หากต้องการสร้างดิสก์ ให้ทำตามขั้นตอนต่อไปนี้

1. ในคอนโซล Google Cloud ให้ไปที่หน้าดิสก์
2. คลิกสร้างดิสก์ แล้วป้อนพร็อพเพอร์ตี้สำหรับดิสก์ใหม่
3. ในส่วนการเข้ารหัส ให้เลือกคีย์ Cloud KMS

4. สำหรับประเภทคีย์ ให้เลือก Cloud KMS ที่มี Autokey แล้วคลิกขอคีย์ใหม่ ข้อความจะระบุเมื่อสร้างคีย์สำเร็จและพร้อมใช้งาน

5. คลิกสร้างเพื่อสร้างดิสก์ให้เสร็จสิ้น

คุณทำตามกระบวนการที่คล้ายกันเพื่อสร้างทรัพยากรอินสแตนซ์ VM, อิมเมจ และอิมเมจเครื่องที่ได้รับการปกป้องได้

ที่เก็บข้อมูล Google Cloud Storage

Autokey จะสร้างคีย์ใหม่ในตำแหน่งเดียวกับ Bucket ระบบจะกำหนดคีย์ที่ Autokey สร้างขึ้นเป็นคีย์เริ่มต้นของที่เก็บข้อมูล

Autokey ไม่ได้สร้างคีย์สำหรับออบเจ็กต์ โดยค่าเริ่มต้น ออบเจ็กต์ที่สร้างในที่เก็บข้อมูลจะใช้คีย์เริ่มต้นของที่เก็บข้อมูล หากต้องการเข้ารหัสออบเจ็กต์โดยใช้คีย์อื่นที่ไม่ใช่คีย์เริ่มต้นของที่เก็บข้อมูล คุณสามารถสร้าง CMEK ด้วยตนเองและใช้คีย์นั้นเมื่อสร้างออบเจ็กต์

1. ในคอนโซล Google Cloud ให้ไปที่หน้าสร้าง Bucket
2. เลือกชื่อถาวรที่ไม่ซ้ำกันทั่วโลก
3. เลือกตำแหน่งข้อมูล
4. ไปที่ส่วน "เลือกวิธีปกป้องข้อมูลออบเจ็กต์"

5. คลิก "เลือกวิธีปกป้องข้อมูลออบเจ็กต์" เพื่อขยายส่วน

6. ขยายส่วนการเข้ารหัสข้อมูล แล้วเลือกคีย์ Cloud KMS
7. สำหรับประเภทคีย์ ให้เลือก Cloud KMS ที่มี Autokey แล้วคลิกขอคีย์ใหม่ ข้อความจะระบุเมื่อสร้างคีย์สำเร็จและพร้อมใช้งาน

8. คลิกสร้างเพื่อสร้างที่เก็บให้เสร็จสิ้น หากได้รับข้อความในกล่องโต้ตอบที่อธิบายว่า "ระบบจะป้องกันการเข้าถึงแบบสาธารณะ" ให้คลิก "ยืนยัน"

ชุดข้อมูล BigQuery

สำหรับชุดข้อมูลใหม่แต่ละชุด Autokey จะสร้างคีย์ใหม่ในตำแหน่งเดียวกับทรัพยากร ซึ่งจะกลายเป็นคีย์เริ่มต้นของชุดข้อมูล Autokey จะไม่สร้างคีย์สำหรับตาราง การค้นหา ตารางชั่วคราว หรือโมเดล โดยค่าเริ่มต้น ทรัพยากรเหล่านี้จะได้รับการปกป้องโดยคีย์เริ่มต้นของชุดข้อมูล หากต้องการปกป้องทรัพยากรในชุดข้อมูลโดยใช้คีย์อื่นที่ไม่ใช่คีย์เริ่มต้นของชุดข้อมูล คุณสามารถสร้าง CMEK ด้วยตนเองและใช้คีย์ดังกล่าวเมื่อสร้างทรัพยากร

หากต้องการสร้างชุดข้อมูล BigQuery คุณต้องมีบทบาทผู้ใช้ BigQuery ก่อน

1. กลับไปที่ Cloud Shell
2. ตั้งค่า Cloud Shell ให้เรียกใช้คำสั่งจากโปรเจ็กต์ทรัพยากร

gcloud config set project $RESOURCE_PROJECT

3. เรียกใช้คำสั่งต่อไปนี้เพื่อบันทึกหมายเลขโปรเจ็กต์เป็นตัวแปรชื่อ RESOURCE_PROJECT_NUMBER

export RESOURCE_PROJECT_NUMBER=$(gcloud projects list --filter="$(gcloud config get-value project)" --format="value(PROJECT_NUMBER)")

4. ให้สิทธิ์บทบาทผู้ใช้ BigQuery แก่ตัวคุณเอง

gcloud projects add-iam-policy-binding $RESOURCE_PROJECT_NUMBER \
    --role=roles/bigquery.user \
    --member=user:$KEY_ADMIN_EMAIL

ตอนนี้คุณมีบทบาทผู้ใช้ BigQuery แล้ว คุณจึงสร้างชุดข้อมูลและปกป้องชุดข้อมูลด้วย Autokey ได้

5. ในคอนโซล Google Cloud ให้ไปที่หน้า BigQuery
6. ทำตามวิธีการสร้างชุดข้อมูลจนกว่าจะไปถึงตัวเลือกขั้นสูง > การเข้ารหัส
7. ในส่วนการเข้ารหัส ให้เลือกคีย์ Cloud KMS
8. สำหรับประเภทคีย์ ให้เลือก Cloud KMS ที่มี Autokey แล้วคลิกขอคีย์ใหม่ ข้อความจะระบุเมื่อสร้างคีย์สำเร็จและพร้อมใช้งาน
9. หากต้องการสร้างชุดข้อมูลให้เสร็จสิ้น ให้คลิกสร้างชุดข้อมูล

10. สำรวจคีย์

ในขั้นตอนนี้ คุณจะได้ดูคีย์ที่ Cloud KMS Autokey สร้างให้คุณโดยไปที่หน้าสินค้าคงคลังของคีย์ หน้าสินค้าคงคลังของคีย์มีข้อมูลที่ครอบคลุมเกี่ยวกับคีย์การเข้ารหัสในโปรเจ็กต์ โปรดทราบว่าข้อมูลอาจล่าช้า เช่น หากคุณสร้างทรัพยากรที่ป้องกันใหม่ ระบบจะไม่เพิ่มทรัพยากรที่ป้องกันและคีย์เวอร์ชันที่เชื่อมโยงลงในแท็บการติดตามการใช้งานทันที ดูข้อจำกัดเพิ่มเติมได้ที่นี่

1. ในคอนโซล Google Cloud ให้ไปที่หน้าสินค้าคงคลังของคีย์
2. ไม่บังคับ: หากต้องการกรองรายการคีย์ ให้ป้อนข้อความค้นหาในช่องตัวกรอง filter_list แล้วกด Enter เช่น คุณสามารถกรองตามสถานที่ พวงกุญแจ สถานะ หรือพร็อพเพอร์ตี้อื่นๆ ของคีย์
3. คลิกชื่อคีย์ที่ต้องการดูข้อมูลการใช้งาน
4. คลิก "ภาพรวม" โปรดทราบว่าคุณจะมีคีย์ต่อทรัพยากรที่สร้างขึ้น ชื่อคีย์แต่ละรายการจะมีชื่อของทรัพยากรที่คีย์ปกป้อง (เช่น "compute-disk" หรือ "storage-bucket") คีย์อัตโนมัติของ Cloud KMS ช่วยให้มั่นใจได้ว่าระบบจะกำหนดเวลาหมุนเวียนคีย์แต่ละรายการ 365 วันหลังจากสร้าง และจะกำหนดระดับการป้องกัน "HSM" ให้กับคีย์แต่ละรายการ

4. คลิกแท็บการติดตามการใช้งาน โปรดสังเกตระดับข้อมูลที่แสดง โดยทรัพยากรแต่ละรายการที่คีย์เข้ารหัสจะแสดงที่นี่ พร้อมกับโปรเจ็กต์ สถานที่ และวันที่สร้าง
5. ไม่บังคับ: หากต้องการกรองรายการทรัพยากรที่ได้รับการปกป้อง ให้ป้อนคำค้นหาในช่องตัวกรอง filter_list แล้วกด Enter

11. ขอแสดงความยินดี

ยินดีด้วย คุณสร้างทรัพยากร Google Cloud และเข้ารหัสทรัพยากรเหล่านั้นโดยอัตโนมัติตามต้องการด้วยคีย์อัตโนมัติของ Cloud KMS เรียบร้อยแล้ว

ตอนนี้คุณทราบขั้นตอนสำคัญที่จำเป็นในการตั้งค่า Autokey และใช้เพื่อเข้ารหัสทรัพยากรโดยอัตโนมัติด้วยคีย์ Cloud KMS แล้ว

12. ขั้นตอนต่อไปคืออะไร

อัปโหลดข้อมูลไปยังทรัพยากรที่เข้ารหัสด้วย Autokey

• สร้างอินสแตนซ์ Google Compute Engine (GCE)
• แนบดิสก์ถาวรที่ป้องกันด้วย Autokey กับอินสแตนซ์ GCE
• อัปโหลดข้อมูลลงในชุดข้อมูล BigQuery
• อัปโหลดออบเจ็กต์ลงใน Bucket ของ Google Cloud Storage
• โหลดข้อมูล Google Cloud Storage ลงใน BigQuery

เอกสารอ้างอิง

• ภาพรวมของ Autokey
• เปิดใช้คีย์อัตโนมัติของ Cloud KMS
• สร้างทรัพยากรที่มีการป้องกันโดยใช้คีย์อัตโนมัติของ Cloud KMS
• ดูการใช้คีย์