เข้ารหัสทรัพยากรได้ง่ายๆ ด้วยคีย์อัตโนมัติของ Cloud KMS

1. บทนำ

คีย์อัตโนมัติของ Cloud KMS ทำให้การสร้างและใช้คีย์การเข้ารหัสที่จัดการโดยลูกค้า (CMEK) ง่ายขึ้นด้วยการจัดสรรและการให้สิทธิ์โดยอัตโนมัติ เมื่อใช้ Autokey คุณไม่จำเป็นต้องวางแผนและจัดสรรพวงกุญแจ คีย์ และบัญชีบริการไว้ล่วงหน้า แต่ Autokey จะสร้างคีย์ตามคําขอเมื่อสร้างทรัพยากร โดยอาศัยสิทธิ์ที่มอบสิทธิ์แทนผู้ดูแลระบบ Cloud KMS

การใช้คีย์ที่สร้างโดยฟีเจอร์คีย์อัตโนมัติจะช่วยให้คุณเป็นไปตามมาตรฐานอุตสาหกรรมและแนวทางปฏิบัติแนะนำด้านความปลอดภัยข้อมูลอย่างต่อเนื่อง ซึ่งรวมถึงระดับการปกป้อง HSM, การแยกหน้าที่, การหมุนเวียนคีย์, ตำแหน่ง และความเฉพาะเจาะจงของคีย์ คีย์อัตโนมัติจะสร้างคีย์ที่เป็นไปตามหลักเกณฑ์ทั่วไปและหลักเกณฑ์เฉพาะสำหรับประเภททรัพยากรสำหรับบริการ Google Cloud ที่ผสานรวมกับ Cloud KMS Autokey หลังจากสร้างแล้ว คีย์ที่ขอโดยใช้ฟังก์ชัน Autokey จะเหมือนกับคีย์ Cloud HSM อื่นๆ ที่มีการตั้งค่าเดียวกัน

สิ่งที่คุณจะสร้าง

ใน Codelab นี้ คุณจะเปิดใช้งานทรัพยากรที่มีการป้องกันโดยใช้คีย์อัตโนมัติของ Cloud KMS โดยการสร้าง:

• ทรัพยากรของโฟลเดอร์
• โปรเจ็กต์ที่มีคีย์
• ตัวแทนบริการที่จะทำหน้าที่เป็นผู้ช่วยในการจัดการคีย์
• โปรเจ็กต์ที่จะโฮสต์ทรัพยากรที่มีการป้องกัน
• ชุดข้อมูล BigQuery, ดิสก์ถาวร และที่เก็บข้อมูล Cloud Storage ที่เข้ารหัสด้วยคีย์อัตโนมัติของ Cloud KMS

สิ่งที่คุณต้องมี

• องค์กร Google Cloud
• ผู้ใช้หลักของ Google Cloud ต้องมีบทบาทต่อไปนี้ที่ระดับองค์กรเพื่อให้ห้องทดลองนี้เสร็จสมบูรณ์
• ผู้ดูแลระบบ Autokey ของ Cloud KMS (roles/cloudkms.autokeyAdmin)
• ผู้ดูแลระบบ IAM ของโฟลเดอร์ (roles/resourcemanager.โฟลเดอร์IamAdmin)
• ผู้ใช้บัญชีสำหรับการเรียกเก็บเงิน (roles/billing.user)
• โปรเจ็กต์ Google Cloud ที่เปิดใช้การเรียกเก็บเงิน
• ประสบการณ์ Linux ระดับพื้นฐาน

2. สร้างโฟลเดอร์

โฟลเดอร์คือโหนดในลำดับชั้นทรัพยากร Cloud Platform โฟลเดอร์อาจมีโปรเจ็กต์ โฟลเดอร์อื่นๆ หรือทั้ง 2 อย่างผสมกัน ทรัพยากรขององค์กรสามารถใช้โฟลเดอร์เพื่อจัดกลุ่มโปรเจ็กต์ภายใต้โหนดทรัพยากรขององค์กรในลำดับชั้น วิธีสร้างโฟลเดอร์:

1. ไปที่หน้าจัดการทรัพยากรในคอนโซล Google Cloud
2. ตรวจสอบว่าคุณได้เลือกชื่อทรัพยากรขององค์กรในรายการแบบเลื่อนลงขององค์กรที่ด้านบนของหน้าแล้ว
3. คลิกสร้างโฟลเดอร์

4. เลือกโฟลเดอร์มาตรฐาน

5. ในช่องชื่อโฟลเดอร์ ให้ป้อนชื่อโฟลเดอร์ใหม่ สําหรับห้องทดลองนี้ ให้ใช้ "Autokey-Folder"
6. ในส่วนปลายทาง ให้คลิก "เรียกดู" แล้วเลือกทรัพยากรหรือโฟลเดอร์ขององค์กรที่ต้องการสร้างโฟลเดอร์ใหม่
7. คลิกสร้าง

3. สร้างโปรเจ็กต์ทรัพยากร

คุณควรสร้างโปรเจ็กต์ทรัพยากรเพื่อเก็บทรัพยากรต่างๆ เช่น ชุดข้อมูล BigQuery, ดิสก์ถาวร และที่เก็บข้อมูล Cloud Storage ที่ต้องการเข้ารหัสด้วย Autokey ของ Cloud KMS หากคุณพยายามสร้างทรัพยากรที่ได้รับการปกป้องโดย Autokey ในโปรเจ็กต์คีย์ Autokey จะปฏิเสธคําขอคีย์ใหม่ วิธีสร้างโปรเจ็กต์ทรัพยากร

1. ไปที่หน้าจัดการทรัพยากรในคอนโซล Google Cloud
2. คลิกสร้างโปรเจ็กต์

3. ในรายการแบบเลื่อนลง "เลือกองค์กร" ที่ด้านบนของหน้า ให้เลือก "คีย์อัตโนมัติ-โฟลเดอร์" โฟลเดอร์
4. ในหน้าต่างโปรเจ็กต์ใหม่ที่ปรากฏขึ้น ให้ป้อนชื่อโปรเจ็กต์และเลือกบัญชีสำหรับการเรียกเก็บเงินตามความเหมาะสม สำหรับห้องทดลองนี้ ให้พิจารณาใช้ "ทรัพยากรที่เข้ารหัสด้วยคีย์อัตโนมัติ"
5. ในช่อง "ตำแหน่ง" ให้เลือก "คีย์อัตโนมัติ-โฟลเดอร์" โฟลเดอร์ ทรัพยากรดังกล่าวจะเป็นระดับบนสุดของโปรเจ็กต์ใหม่ การตั้งค่าควรมีลักษณะดังนี้

6. คัดลอกรหัสโปรเจ็กต์ - ในตัวอย่างด้านบนรหัสโปรเจ็กต์คือ "causal-hour-43319-m4" แต่รหัสของคุณจะแตกต่างออกไป - ลงในเครื่องมือแก้ไขข้อความที่ต้องการ
7. คลิกสร้าง
8. เลือกไอคอน Cloud Shell ที่มุมขวาบนของหน้าจอ

9. เมื่อ Cloud Shell ทำงานอยู่ ให้บันทึกรหัสโปรเจ็กต์ Autokey เป็นตัวแปรโดยเรียกใช้คำสั่งต่อไปนี้

export RESOURCE_PROJECT=<paste your Resource Project ID>

เนื่องจากรหัสโปรเจ็กต์ของฉันคือ "key-management-433319" คำสั่งของฉันมีลักษณะดังนี้

export AUTOKEY_PROJECT=causal-hour-43319-m4

10. เรียกใช้คําสั่งต่อไปนี้เพื่อดําเนินการจาก Key Project

gcloud config set project $RESOURCE_PROJECT

เมื่อได้รับข้อความแจ้ง ให้อนุญาต Cloud Shell โดยคลิก "ให้สิทธิ์"

11. เนื่องจากโปรเจ็กต์นี้จะมีทรัพยากรอยู่ เราจึงต้องเปิดใช้ API สำหรับบริการที่คีย์อัตโนมัติจะปกป้อง เรียกใช้คำสั่งต่อไปนี้

gcloud services enable storage.googleapis.com bigquery.googleapis.com compute.googleapis.com

4. สร้างโปรเจ็กต์หลัก

เราขอแนะนำให้สร้างโปรเจ็กต์เพื่อให้มีทรัพยากร Cloud KMS ที่สร้างโดยคีย์อัตโนมัติ โปรเจ็กต์นี้จะเรียกว่า "โปรเจ็กต์หลัก" ตั้งแต่นี้เป็นต้นไป คุณสามารถสร้างโปรเจ็กต์คีย์ภายในโฟลเดอร์เดียวกับที่วางแผนจะเปิดใช้คีย์อัตโนมัติ คุณไม่ควรสร้างทรัพยากรอื่นๆ ในโปรเจ็กต์คีย์ หากคุณพยายามสร้างทรัพยากรที่ได้รับการปกป้องโดย Autokey ในโปรเจ็กต์คีย์ Autokey จะปฏิเสธคําขอคีย์ใหม่ วิธีสร้างโปรเจ็กต์คีย์

1. ไปที่หน้า จัดการทรัพยากร ในคอนโซล Google Cloud
2. คลิกสร้างโปรเจ็กต์

3. ในรายการแบบเลื่อนลง "เลือกองค์กร" ที่ด้านบนของหน้า ให้เลือก "คีย์อัตโนมัติ-โฟลเดอร์" โฟลเดอร์
4. ในหน้าต่างโปรเจ็กต์ใหม่ที่ปรากฏขึ้น ให้ป้อนชื่อโปรเจ็กต์และเลือกบัญชีการเรียกเก็บเงินตามความเหมาะสม สำหรับห้องทดลองนี้ ให้พิจารณาใช้ "การจัดการคีย์"
5. ในช่องตำแหน่ง ให้เลือกโฟลเดอร์ "Autokey-Folder" ทรัพยากรดังกล่าวจะเป็นโปรเจ็กต์หลักตามลําดับชั้นของโปรเจ็กต์ใหม่ การตั้งค่าควรมีลักษณะดังนี้

6. คัดลอกรหัสโปรเจ็กต์ - ในตัวอย่างด้านบนรหัสโปรเจ็กต์คือ "key-management-433319" แต่รหัสของคุณจะแตกต่างออกไป ในเครื่องมือแก้ไขข้อความตามที่คุณต้องการ
7. คลิกสร้าง

5. เตรียมโปรเจ็กต์คีย์อัตโนมัติ

เมื่อสร้างแต่ละโปรเจ็กต์แล้ว ก็ถึงเวลากำหนดค่าโปรเจ็กต์คีย์เพื่อใช้คีย์อัตโนมัติของ Cloud KMS

8. เลือกไอคอน Cloud Shell ที่มุมขวาบนของหน้าจอ

9. เมื่อ Cloud Shell ทำงานอยู่ ให้บันทึกรหัสโปรเจ็กต์ Autokey เป็นตัวแปรโดยเรียกใช้คำสั่งต่อไปนี้

export AUTOKEY_PROJECT=<paste your Autokey Project ID>

เนื่องจากรหัสโปรเจ็กต์ของฉันคือ "key-management-433319" คำสั่งของฉันมีลักษณะดังนี้

export AUTOKEY_PROJECT=key-management-433319

10. เรียกใช้คําสั่งต่อไปนี้เพื่อดําเนินการจาก Key Project

gcloud config set project $AUTOKEY_PROJECT

เมื่อได้รับข้อความแจ้ง ให้อนุญาต Cloud Shell โดยคลิก "ให้สิทธิ์"

11. เปิดใช้ Cloud KMS API โดยการเรียกใช้คำสั่งต่อไปนี้

gcloud services enable cloudkms.googleapis.com  kmsinventory.googleapis.com

12. เรียกใช้คำสั่งต่อไปนี้เพื่อบันทึกหมายเลขโครงการของคุณเป็นตัวแปรชื่อ AUTOKEY_PROJECT_NUMBER

export AUTOKEY_PROJECT_NUMBER=$(gcloud projects list \
--filter="$(gcloud config get-value project)" \
--format="value(PROJECT_NUMBER)")

13. บันทึกอีเมลของผู้ใช้หลักเป็นตัวแปรโดยเรียกใช้คำสั่งต่อไปนี้

export KEY_ADMIN_EMAIL=<paste your Principal's email>

14. ให้สิทธิ์ผู้ดูแลระบบ Cloud KMS ในโปรเจ็กต์คีย์แก่ผู้ใช้ที่เป็นผู้ดูแลระบบ Cloud KMS

gcloud projects add-iam-policy-binding $AUTOKEY_PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=user:$KEY_ADMIN_EMAIL

6. ตั้งค่า Agent บริการ Cloud KMS

Agent บริการ Cloud KMS สำหรับโปรเจ็กต์คีย์จะสร้างคีย์และใช้การเชื่อมโยงนโยบาย IAM ในระหว่างการสร้างทรัพยากรในนามของผู้ดูแลระบบ Cloud KMS Agent บริการ Cloud KMS ต้องมีสิทธิ์ของผู้ดูแลระบบ Cloud KMS จึงจะสร้างและกำหนดคีย์ได้

1. ค้นหารหัสองค์กรด้วยคำสั่งต่อไปนี้

gcloud organizations list | grep -P -i 'ID:' | grep -i '[0-9]'

2. คัดลอกรหัสองค์กร ซึ่งเป็นผลลัพธ์ที่เป็นตัวเลขที่ไฮไลต์ด้วยสีแดง
3. บันทึกรหัสองค์กรเป็นตัวแปรชื่อ ORG_ID:

export ORG_ID=<paste your Organization ID>

4. สร้าง Agent บริการ Cloud KMS โดยเรียกใช้คำสั่งต่อไปนี้

gcloud beta services identity create --service=cloudkms.googleapis.com \
    --project=$AUTOKEY_PROJECT_NUMBER

5. มอบบทบาทผู้ดูแลระบบ Cloud KMS ให้กับ Agent บริการดังนี้

gcloud projects add-iam-policy-binding $AUTOKEY_PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=serviceAccount:service-$AUTOKEY_PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com

6. เพิ่มการเชื่อมโยงนโยบาย IAM เพื่อให้คุณดูการใช้งานคีย์ Cloud KMS ได้ การใช้งานคีย์จะให้ข้อมูลสำหรับแต่ละคีย์ รวมถึงจำนวนทรัพยากรที่มีการป้องกัน โปรเจ็กต์ และผลิตภัณฑ์ Google Cloud ที่ไม่ซ้ำกันซึ่งใช้คีย์ดังกล่าว ทุกคนที่มีบทบาทผู้ดู Cloud KMS เกี่ยวกับคีย์จะดูรายละเอียดระดับนี้ เรียกใช้คำสั่งต่อไปนี้

gcloud organizations add-iam-policy-binding $ORGANIZATION_ID \
    --member="serviceAccount:service-org-$ORGANIZATION_ID@gcp-sa-cloudkms.iam.gserviceaccount.com" \
    --role='roles/cloudkms.orgServiceAgent'

7. มอบบทบาท Agent บริการองค์กร Cloud KMS (cloudkms.orgServiceAgent) ในทรัพยากรองค์กรให้กับบัญชีบริการ Cloud KMS

gcloud organizations add-iam-policy-binding $ORG_ID \
    --member="serviceAccount:service-org-$ORG_ID@gcp-sa-cloudkms.iam.gserviceaccount.com" \
    --role='roles/cloudkms.orgServiceAgent'

8. ให้บทบาทผู้ดูทรัพยากรที่มีการป้องกันของ Cloud KMS ในทรัพยากรขององค์กรแก่ทุกคนที่ต้องการดูรายละเอียดการใช้งานคีย์

gcloud organizations add-iam-policy-binding $ORG_ID \
    --member="user:$KEY_ADMIN_EMAIL" \
    --role='roles/cloudkms.protectedResourcesViewer'

7. มอบบทบาทของผู้ใช้คีย์อัตโนมัติ

คุณต้องมอบบทบาทที่จำเป็นให้นักพัฒนาแอปของคุณก่อนจึงจะใช้คีย์อัตโนมัติได้ คุณสามารถมอบบทบาทที่ระดับโฟลเดอร์หรือระดับโปรเจ็กต์ บทบาทนี้ช่วยให้นักพัฒนาแอปขอคีย์จากตัวแทนบริการ Cloud KMS ได้ขณะสร้างทรัพยากรในโฟลเดอร์หรือโปรเจ็กต์นั้น

ขั้นตอนแรกในการให้สิทธิ์บทบาทคือการบันทึกรหัสโฟลเดอร์

1. ค้นหารหัสโฟลเดอร์ด้วยคำสั่งต่อไปนี้

gcloud projects describe $AUTOKEY_PROJECT | grep 'id' | grep -P -i '[0-9]+'

2. คัดลอกรหัสโฟลเดอร์ - นี่คือส่วนที่ไฮไลต์ด้วยสีแดง
3. บันทึกรหัสโฟลเดอร์เป็นตัวแปรชื่อ FOLDER_ID

export FOLDER_ID=<paste the folder ID>

ในการทดสอบนี้ เราจะกำหนดผู้ดูแลระบบคีย์เป็นผู้ใช้ Autokey อย่างไรก็ตาม ใน Use Case เวอร์ชันที่ใช้งานจริงและในองค์กรที่มีบุคคลมากกว่า 1 คน ผู้ดูแลระบบคีย์ควรเป็นคนละคนกับนักพัฒนาซอฟต์แวร์ที่ใช้ Autokey

4. มอบบทบาท/cloudkms.autokeyUser ที่ระดับโฟลเดอร์:

gcloud resource-manager folders add-iam-policy-binding \
    $FOLDER_ID --role=roles/cloudkms.autokeyUser \
    --member=user:$KEY_ADMIN_EMAIL

8. เปิดใช้คีย์อัตโนมัติของ Cloud KMS ในโฟลเดอร์ทรัพยากร

ในขั้นตอนนี้ คุณจะเปิดใช้คีย์อัตโนมัติของ Cloud KMS ในโฟลเดอร์ทรัพยากรและระบุโปรเจ็กต์ Cloud KMS ที่จะมีทรัพยากรคีย์อัตโนมัติสำหรับโฟลเดอร์นั้น การเปิดใช้ Autokey ในโฟลเดอร์นี้จะเปิดใช้ Autokey สำหรับโปรเจ็กต์ทรัพยากรทั้งหมดในโฟลเดอร์

1. ในคอนโซล Google Cloud ให้ไปที่หน้าการควบคุม KMS
2. คลิก "เลือกโฟลเดอร์"

3. จากเครื่องมือเลือกบริบท ให้เลือกโฟลเดอร์ที่คุณต้องการเปิดใช้คีย์อัตโนมัติ ซึ่งจะเป็นโฟลเดอร์เดียวกับที่คุณสร้างไว้ก่อนหน้านี้ ซึ่งมีโปรเจ็กต์ทรัพยากรและโปรเจ็กต์การจัดการคีย์ ซึ่งควรมีลักษณะดังนี้

4. คลิก "เปิดใช้"
5. คลิกเรียกดูเพื่อเลือกโปรเจ็กต์คีย์
6. เลือกโปรเจ็กต์การจัดการคีย์ แล้วคลิก "ส่ง"

ข้อความจะยืนยันว่ามีการเปิดใช้คีย์อัตโนมัติของ Cloud KMS ในโฟลเดอร์แล้ว หน้าการควบคุม KMS ควรมีลักษณะดังนี้

9. สร้างทรัพยากรที่มีการป้องกันโดยใช้ Autokey ของ Cloud KMS

ดิสก์ถาวรของ Compute Engine

คีย์อัตโนมัติจะสร้างคีย์ใหม่สำหรับดิสก์ อิมเมจ และอิมเมจเครื่องแต่ละรายการในตำแหน่งเดียวกันกับทรัพยากรที่กำลังสร้าง

หากต้องการสร้างดิสก์ ให้ทำตามขั้นตอนต่อไปนี้

1. ในคอนโซล Google Cloud ให้ไปที่หน้าดิสก์
2. คลิกสร้างดิสก์ แล้วป้อนพร็อพเพอร์ตี้ของดิสก์ใหม่
3. ในส่วนการเข้ารหัส ให้เลือกคีย์ Cloud KMS

4. สำหรับประเภทคีย์ ให้เลือก Cloud KMS ที่มีคีย์อัตโนมัติ แล้วคลิกขอคีย์ใหม่ จะมีข้อความระบุเมื่อสร้างคีย์ของคุณสำเร็จแล้วและพร้อมใช้งานแล้ว

5. คลิกสร้างเพื่อสร้างดิสก์ให้เสร็จสิ้น

คุณสามารถทำตามขั้นตอนที่คล้ายกันเพื่อสร้างทรัพยากร VM, อิมเมจ และอิมเมจเครื่องที่มีการป้องกัน

ที่เก็บข้อมูล Google Cloud Storage

คีย์อัตโนมัติจะสร้างคีย์ใหม่ในตำแหน่งเดียวกับที่เก็บข้อมูล ระบบจะกำหนดคีย์ที่สร้างโดยคีย์อัตโนมัติให้เป็นคีย์เริ่มต้นของที่เก็บข้อมูล

คีย์อัตโนมัติจะไม่สร้างคีย์สำหรับออบเจ็กต์ โดยค่าเริ่มต้น ออบเจ็กต์ที่สร้างในที่เก็บข้อมูลจะใช้คีย์เริ่มต้นของที่เก็บข้อมูล หากต้องการเข้ารหัสออบเจ็กต์โดยใช้คีย์อื่นที่ไม่ใช่คีย์เริ่มต้นของที่เก็บข้อมูล คุณสามารถสร้าง CMEK ด้วยตนเองและใช้คีย์นั้นเมื่อสร้างออบเจ็กต์

1. ในคอนโซล Google Cloud ให้ไปที่หน้าสร้างที่เก็บข้อมูล
2. เลือกชื่อถาวรที่ไม่ซ้ำกันทั่วโลก
3. เลือกตำแหน่งของข้อมูล
4. ไปที่ส่วน "เลือกวิธีปกป้องข้อมูลออบเจ็กต์"

5. คลิก "เลือกวิธีปกป้องข้อมูลออบเจ็กต์" เพื่อขยายส่วน

6. ขยายส่วนการเข้ารหัสข้อมูลและเลือกคีย์ Cloud KMS
7. สำหรับประเภทคีย์ ให้เลือก Cloud KMS ที่มีคีย์อัตโนมัติ แล้วคลิกขอคีย์ใหม่ ข้อความจะแสดงขึ้นเมื่อสร้างกุญแจสำเร็จและพร้อมใช้งาน

8. คลิกสร้างเพื่อสร้างที่เก็บข้อมูลให้เสร็จสิ้น หากได้รับข้อความแจ้งในกล่องโต้ตอบที่อธิบายว่า "ระบบจะป้องกันไม่ให้เข้าถึงแบบสาธารณะ" ให้คลิก "ยืนยัน"

ชุดข้อมูล BigQuery

สำหรับชุดข้อมูลใหม่แต่ละชุด คีย์อัตโนมัติจะสร้างคีย์ใหม่ในตำแหน่งเดียวกับทรัพยากร ซึ่งจะกลายเป็นคีย์เริ่มต้นของชุดข้อมูล คีย์อัตโนมัติจะไม่สร้างคีย์สำหรับตาราง การค้นหา ตารางชั่วคราว หรือโมเดล โดยค่าเริ่มต้น ทรัพยากรเหล่านี้จะได้รับการปกป้องโดยคีย์เริ่มต้นของชุดข้อมูล หากต้องการปกป้องทรัพยากรในชุดข้อมูลโดยใช้คีย์อื่นที่ไม่ใช่คีย์เริ่มต้นของชุดข้อมูล คุณสามารถสร้าง CMEK ด้วยตนเองและใช้คีย์นั้นเมื่อสร้างทรัพยากร

คุณต้องมีบทบาทผู้ใช้ BigQuery ก่อนจึงจะสร้างชุดข้อมูล BigQuery ได้

1. กลับไปที่ Cloud Shell
2. ตั้งค่า Cloud Shell ให้เรียกใช้คําสั่งจากโปรเจ็กต์ทรัพยากร

gcloud config set project $RESOURCE_PROJECT

3. เรียกใช้คำสั่งต่อไปนี้เพื่อบันทึกหมายเลขโครงการของคุณเป็นตัวแปรชื่อ RESOURCE_PROJECT_NUMBER

export RESOURCE_PROJECT_NUMBER=$(gcloud projects list --filter="$(gcloud config get-value project)" --format="value(PROJECT_NUMBER)")

4. มอบบทบาทผู้ใช้ BigQuery ให้ตนเอง

gcloud projects add-iam-policy-binding $RESOURCE_PROJECT_NUMBER \
    --role=roles/bigquery.user \
    --member=user:$KEY_ADMIN_EMAIL

ตอนนี้คุณมีบทบาทผู้ใช้ BigQuery แล้ว คุณจึงสร้างชุดข้อมูลและปกป้องชุดข้อมูลด้วยคีย์อัตโนมัติได้

5. ในคอนโซล Google Cloud ให้ไปที่หน้า BigQuery
6. ทําตามวิธีการสร้างชุดข้อมูลจนกว่าจะถึงตัวเลือกขั้นสูง > การเข้ารหัส
7. เลือกคีย์ Cloud KMS ในส่วนการเข้ารหัส
8. เลือก Cloud KMS พร้อม Autokey สำหรับประเภทคีย์ แล้วคลิก "ขอคีย์ใหม่" จะมีข้อความระบุเมื่อสร้างคีย์ของคุณสำเร็จแล้วและพร้อมใช้งานแล้ว
9. หากต้องการสร้างชุดข้อมูลให้เสร็จสิ้น ให้คลิก "สร้างชุดข้อมูล"

10. สำรวจคีย์ของคุณ

ในขั้นตอนนี้ คุณจะสำรวจคีย์ที่ Autokey ของ Cloud KMS สร้างขึ้นในนามของคุณโดยไปที่หน้าคลังคีย์ หน้าคีย์พื้นที่โฆษณาจะให้ข้อมูลที่ครอบคลุมเกี่ยวกับคีย์การเข้ารหัสในโปรเจ็กต์ของคุณ โปรดทราบว่าข้อมูลอาจล่าช้า ตัวอย่างเช่น หากคุณสร้างทรัพยากรที่มีการป้องกันใหม่ ระบบจะไม่เพิ่มทรัพยากรที่มีการป้องกันและเวอร์ชันคีย์ที่เกี่ยวข้องลงในแท็บการติดตามการใช้งานโดยทันที ดูข้อจำกัดเพิ่มเติมได้ที่นี่

1. ในคอนโซล Google Cloud ให้ไปที่หน้าคีย์พื้นที่โฆษณา
2. ไม่บังคับ: หากต้องการกรองรายการคีย์ ให้ป้อนข้อความค้นหาในช่องตัวกรอง filter_list แล้วกด Enter เช่น คุณสามารถกรองตามตำแหน่ง วงกุญแจ สถานะ หรือพร็อพเพอร์ตี้อื่นๆ ของกุญแจ
3. คลิกชื่อของคีย์ที่คุณต้องการดูข้อมูลการใช้งาน
4. คลิก "ภาพรวม" โปรดทราบว่าคุณมีคีย์ 1 คีย์ต่อแหล่งข้อมูลที่สร้างขึ้น ชื่อคีย์แต่ละชื่อมีชื่อของทรัพยากรที่คีย์ปกป้องอยู่ (เช่น "compute-disk" หรือ "storage-bucket") Autokey ของ Cloud KMS ช่วยให้มั่นใจได้ว่าคีย์แต่ละรายการจะมีการตั้งเวลาหมุนเวียน 365 วันหลังจากสร้าง และแต่ละคีย์จะได้รับการกำหนดระดับการปกป้อง "HSM"

4. คลิกแท็บการติดตามการใช้งาน สังเกตระดับข้อมูลที่แสดง: ทรัพยากรแต่ละรายการที่คีย์เข้ารหัสจะแสดงที่นี่ พร้อมกับโปรเจ็กต์ ตำแหน่ง และวันที่สร้าง
5. ไม่บังคับ: หากต้องการกรองรายการทรัพยากรที่ได้รับการปกป้อง ให้ป้อนข้อความค้นหาในช่องตัวกรอง filter_list แล้วกด Enter

11. ขอแสดงความยินดี

ยินดีด้วย คุณสร้างทรัพยากร Google Cloud และเข้ารหัสทรัพยากรเหล่านั้นโดยอัตโนมัติตามคําขอด้วย Autokey ของ Cloud KMS เรียบร้อยแล้ว

ตอนนี้คุณได้ทราบขั้นตอนสำคัญที่จำเป็นสำหรับการตั้งค่าคีย์อัตโนมัติและใช้คีย์นี้ในการเข้ารหัสทรัพยากรโดยอัตโนมัติด้วยคีย์ Cloud KMS แล้ว

12. ขั้นตอนถัดไปคือ

อัปโหลดข้อมูลไปยังทรัพยากรที่เข้ารหัสด้วยคีย์อัตโนมัติ

• สร้างอินสแตนซ์ Google Compute Engine (GCE)
• แนบดิสก์ถาวรที่ได้รับการปกป้องโดย Autokey กับอินสแตนซ์ GCE
• อัปโหลดข้อมูลไปยังชุดข้อมูล BigQuery
• อัปโหลดออบเจ็กต์ไปยังที่เก็บข้อมูล Google Cloud Storage
• โหลดข้อมูล Google Cloud Storage ไปยัง BigQuery

เอกสารอ้างอิง

• ภาพรวมของแป้นอัตโนมัติ
• เปิดใช้คีย์อัตโนมัติของ Cloud KMS
• สร้างทรัพยากรที่มีการป้องกันโดยใช้คีย์อัตโนมัติของ Cloud KMS
• ดูการใช้คีย์