Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Workstation-Ressourcen mit CMEK verschlüsseln

Cloud Workstations verschlüsselt ruhende Kundeninhalte standardmäßig. Die Verschlüsselung wird von Cloud Workstations übernommen. Weitere Maßnahmen Ihrerseits sind nicht erforderlich. Diese Option heißt Google-Standardverschlüsselung.

Wenn Sie Ihre Verschlüsselungsschlüssel selbst verwalten möchten, können Sie vom Kunden verwaltete Verschlüsselungsschlüssel (CMEKs, Customer-Managed Encryption Keys) in Cloud KMS mit CMEK-integrierten Diensten wie Cloud Workstations verwenden. Mit Cloud KMS-Schlüsseln haben Sie die Kontrolle über Schutz level, Speicherort, Rotationszeitplan, Nutzungs- und Zugriffsberechtigungen sowie über kryptografische Grenzen. Mit Cloud KMS können Sie außerdem die Schlüsselnutzung verfolgen, Audit-Logs aufrufen und den Lebenszyklus von Schlüsseln steuern. Statt es Google zu überlassen, die symmetrischen Schlüsselverschlüsselungsschlüssel (Key Encryption Keys, KEKs) zum Schutz Ihrer Daten zu besitzen und zu verwalten, können Sie diese auch über Cloud KMS steuern und verwalten.

Nachdem Sie Ihre Ressourcen mit CMEKs eingerichtet haben, ähnelt der Zugriff auf Ihre Cloud Workstations-Ressourcen der Verwendung der Google-Standardverschlüsselung. Weitere Informationen zu Ihren Verschlüsselung soptionen finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel (CMEK).

Standardmäßig verwendet Cloud Workstations einen Google-owned and Google-managed encryption key , um Workstation-Ressourcen wie VMs und nichtflüchtige Speicher zu verschlüsseln, wenn Daten ruhen. Wenn Sie bestimmte Compliance- oder behördliche Anforderungen in Bezug auf die Schlüssel zum Schutz Ihrer Daten haben, können Sie kundenverwaltete Verschlüsselungsschlüssel (CMEK) mit Cloud Key Management Service (Cloud KMS) verwenden.

Weitere Informationen zu CMEK und deren Aktivierung finden Sie in der Cloud KMS Dokumentation.

Hinweis

Projekte erstellen

Wählen Sie in der Google Cloud Console auf der Seite für die Projektauswahl die folgenden Google Cloud Projekte aus oder erstellen Sie sie:
- Ein Schlüsselprojekt enthält Ihre Cloud KMS-Ressourcen, einschließlich eines Schlüsselbunds und eines symmetrischen Verschlüsselungsschlüssels.
- Ein Workstations-Projekt enthält Workstations, die mit einem CMEK-Schlüssel verschlüsselt sind.
Sie können dasselbe Projekt für Ihr Schlüsselprojekt und Ihr Workstations-Projekt verwenden, als Best Practice empfehlen wir jedoch, zwei Projekte zu verwenden, um die Aufgabentrennung zu gewährleisten.

Hinweis: Wenn Sie die in dieser Anleitung erstellten Ressourcen nicht behalten möchten, erstellen Sie neue Projekte, anstatt vorhandene auszuwählen. Nachdem Sie diese Schritte ausgeführt haben, können Sie die Projekte löschen und damit alle Ressourcen entfernen, die mit beiden Projekten verknüpft sind.
Die Abrechnung für das Cloud-Projekt muss aktiviert sein. Weitere Informationen finden Sie unter Abrechnungsstatus Ihrer Projekte prüfen.
Aktivieren Sie die erforderlichen APIs in jedem Projekt.
- Achten Sie darauf, dass in Ihrem Schlüsselprojekt die Cloud KMS API aktiviert ist.
  
  Cloud KMS API aktivieren
- Achten Sie darauf, dass in Ihrem Workstations-Projekt die Cloud KMS API und die Cloud Workstations API aktiviert sind.
  
  Cloud KMS API und Cloud Workstations API aktivieren
Installieren und initialisieren Sie die gcloud CLI:
1. Informationen zum Installieren der gcloud CLI finden Sie unter Installieren der gcloud CLI CLI. Folgen Sie der Anleitung für Ihr Betriebssystem.
2. Informationen zum Initialisieren der gcloud CLI finden Sie unter gcloud CLI initialisieren oder führen Sie den folgenden Befehl aus:
```
gcloud init
```

Erforderliche Rollen

Sie können zwar die Rollen „Cloud KMS-Administrator“ und „Cloud Workstations-Administrator“ derselben Person zuweisen, wir empfehlen jedoch, beim Zuweisen von Rollen das Prinzip der geringsten Berechtigung zu befolgen. Als Best Practice sollten Sie diese Rollen zwei verschiedenen Personen zuweisen und sie koordinieren lassen, anstatt Ihren Cloud KMS-Administrator auch als Cloud Workstations-Administrator zu verwenden. Weitere Informationen finden Sie unter Best Practices für die Sicherheit und IAM sicher verwenden .

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Einrichten von CMEK benötigen:

Wenn Sie der Cloud KMS-Administrator sind, bitten Sie Ihren Administrator, Ihnen die folgende Rolle zuzuweisen, damit Sie Cloud KMS-Ressourcen erstellen und verwalten können: Cloud KMS-Administrator (roles/cloudkms.admin) für Ihr Schlüsselprojekt.
Wenn Sie der Cloud Workstations-Administrator sind, bitten Sie Ihren Administrator, Ihnen die folgende Rolle zuzuweisen, damit Sie Workstations erstellen und aktualisieren können: Cloud Workstations-Administrator (roles/workstations.admin) für Ihr Workstations-Projekt.

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Schlüsselbund und Verschlüsselungsschlüssel erstellen

Erstellen Sie in Ihrem Schlüsselprojekt einen Schlüssel und speichern Sie die Ressourcen-ID des Schlüssels:

Erstellen Sie einen Schlüsselbund oder wählen Sie einen aus.

Der Schlüsselbund muss sich in derselben Region wie Ihr Workstationcluster befinden. Cloud Workstations unterstützt keine multiregionalen oder globalen Cloud KMS-Standorte.

Sie können Schlüsselbunde zwischen Diensten freigeben. Als Best Practice empfehlen wir jedoch, für jede geschützte Ressource einen anderen Schlüssel zu verwenden. Siehe Aufgabentrennung
Erstellen Sie einen symmetrischen Verschlüsselungsschlüssel.
Rufen Sie die Ressourcen-ID des Schlüssels ab und speichern Sie sie für einen späteren Schritt.

Zugriff auf Ihren Verschlüsselungsschlüssel gewähren

Cloud Workstations verwendet die folgenden Dienstkonten, um die Verschlüsselung Ihrer Ressourcen zu verwalten:

Der Cloud Workstations-Dienst-Agent: Cloud Workstations verwendet dieses Konto, um zu erkennen, wann Ihr Schlüssel rotiert wird.
**Cloud KMS-Schlüssel-Dienstkonto**: Sie stellen ein Dienstkonto bereit, das Cloud Workstations verwenden kann, um auf Ihren Schlüssel zuzugreifen und Ressourcen zu verschlüsseln und zu entschlüsseln.

Cloud Workstations-Dienst-Agent die Rolle „Cloud KMS-Betrachter“ zuweisen

Mit dem Cloud Workstations-Dienst Agent kann Cloud Workstations Dienstaufgaben in Ihrem Projekt ausführen. Wenn Sie den Cloud Workstations-Dienst in Ihrem Workstations-Projekt aktiviert haben, wurde dieser Dienst-Agent automatisch erstellt. Damit CMEK ordnungsgemäß funktioniert, müssen Sie dem Cloud Workstations-Dienst-Agent für Ihr Workstations-Projekt die Rolle „Cloud KMS-Betrachter“ (roles/cloudkms.viewer) für den Cloud KMS-Schlüssel zuweisen, damit Cloud Workstations die Schlüsselrotation erkennen kann.

Verwenden Sie den folgenden Befehl, um den Cloud Workstations-Dienst-Agent für Ihr Workstations-Projekt abzurufen:
```
gcloud beta services identity create \
    --service=workstations.googleapis.com \
    --project=WORKSTATIONS_PROJECT_ID
```
Ersetzen Sie WORKSTATIONS_PROJECT_ID durch die ID Ihres Workstations-Projekts.

Der Cloud Workstations-Dienst-Agent hat das folgende Format:
service-$WORKSTATIONS_PROJECT_NUMBER@gcp-sa-workstations.iam.gserviceaccount.com.
Weisen Sie dem Cloud Workstations-Dienst-Agent die Rolle „Cloud KMS-Betrachter“ (roles/cloudkms.viewer) für den CMEK-Schlüssel zu. So kann Cloud Workstations die Schlüsselrotation erkennen und Ressourcen bei Bedarf in Ihrem Projekt neu verschlüsseln.
```
gcloud kms keys add-iam-policy-binding \
    KEY_NAME \
    --keyring=KEY_RING \
    --location=LOCATION \
    --project=KMS_PROJECT_ID \
    --role=roles/cloudkms.viewer \
    --member=CLOUD_WORKSTATIONS_SERVICE_AGENT
```
Ersetzen Sie Folgendes:
- KEY_NAME: der Name des Schlüssels
- KEY_RING: der Name des Schlüsselbunds
- LOCATION: der Speicherort des Schlüsselbunds
- KMS_PROJECT_ID: die ID des Projekts, das den Schlüssel enthält
- CLOUD_WORKSTATIONS_SERVICE_AGENT: der Cloud Workstations-Dienst-Agent, der im vorherigen Schritt abgerufen wurde
Informationen zu allen Flags und möglichen Werten erhalten Sie, wenn Sie den Befehl mit dem --help Flag ausführen.

Cloud KMS-Schlüssel-Dienstkonto einrichten

Cloud Workstations verwendet ein von Ihnen ausgewähltes Dienstkonto, um die Ver- und Entschlüsselung mit Ihrem kundenverwalteten Schlüssel durchzuführen. Wir bezeichnen dieses Konto als Cloud KMS-Schlüssel-Dienstkonto. Sie können ein neues Dienstkonto erstellen oder ein vorhandenes verwenden. Die Anforderungen an dieses Konto sind:

Der Cloud Workstations-Administrator muss die Berechtigung iam.serviceAccounts.actAs für dieses Dienstkonto haben.
Das ausgewählte Dienstkonto muss die Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler “ (roles/cloudkms.cryptoKeyEncrypterDecrypter) für Ihren Cloud KMS Schlüssel haben.

Wenn Sie ein neues Dienstkonto erstellen möchten, verwenden Sie den folgenden Befehl:
```
gcloud iam service-accounts create \
  KMS_KEY_SERVICE_ACCOUNT_NAME \
  --display-name="Service account for Cloud Workstations CMEK" \
  --project=WORKSTATIONS_PROJECT_ID
```
Ersetzen Sie Folgendes:
- KMS_KEY_SERVICE_ACCOUNT_NAME: der Name des Dienstkontos
- WORKSTATIONS_PROJECT_ID: die ID Ihres Workstations-Projekts
Das von Ihnen erstellte Dienstkonto hat eine E-Mail-Adresse im folgenden Format: KMS_KEY_SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com.

Speichern Sie die E-Mail-Adresse des Dienstkontos für einen späteren Schritt.
Führen Sie den folgenden Befehl aus, um dem Cloud Workstations-Administrator die Rolle „IAM-Dienstkontonutzer “ (roles/iam.serviceAccountUser) für das Cloud KMS-Schlüssel-Dienstkonto zuzuweisen:
```
gcloud iam service-accounts add-iam-policy-binding \
    KMS_KEY_SERVICE_ACCOUNT_EMAIL \
    --member="user:CLOUD_WORKSTATIONS_ADMIN_EMAIL" \
    --project=WORKSTATIONS_PROJECT_ID \
    --role=roles/iam.serviceAccountUser
```
Ersetzen Sie Folgendes:
- KMS_KEY_SERVICE_ACCOUNT_EMAIL: die E-Mail-Adresse des Cloud KMS-Schlüssel-Dienstkontos
- CLOUD_WORKSTATIONS_ADMIN_EMAIL: die E-Mail-Adresse des Cloud Workstations-Administrators
- WORKSTATIONS_PROJECT_ID: die ID Ihres Workstations-Projekts
Führen Sie den folgenden Befehl aus, um dem Cloud KMS-Schlüssel-Dienstkonto die Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler role (roles/cloudkms.cryptoKeyEncrypterDecrypter)“ für Ihren Cloud KMS Schlüssel zuzuweisen:
```
  gcloud kms keys add-iam-policy-binding \
    KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --project KMS_PROJECT_ID \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --member serviceAccount:KMS_KEY_SERVICE_ACCOUNT_EMAIL\
```
Ersetzen Sie Folgendes:
- KEY_NAME: der Name des Schlüssels
- KEY_RING: der Name des Schlüsselbunds
- LOCATION: der Speicherort des Schlüsselbunds
- KMS_PROJECT_ID: die ID des Projekts, das den Schlüssel enthält
- KMS_KEY_SERVICE_ACCOUNT_EMAIL: die E-Mail-Adresse des Cloud KMS-Schlüssel-Dienstkontos
Informationen zu allen Flags und möglichen Werten erhalten Sie, wenn Sie den Befehl mit dem --help Flag ausführen.

Nach Workstationclustern suchen

Wenn in der Konsole keine Workstationcluster verfügbar sind, bitten Sie Ihren Cloud Workstations-Administrator, einen Workstationcluster für Sie in derselben Region wie den Cloud KMS-Schlüsselbund zu erstellen. Alternativ können Sie sich die IAM-Rolle „Cloud Workstations-Administrator“ für das Projekt zuweisen lassen, damit Sie diese Ressourcen selbst erstellen können.Google Cloud

Kundenverwaltete Verschlüsselungsschlüssel verwenden

Wenn Sie noch keinen Workstationcluster erstellt haben, erstellen Sie einen mit dem clusters create gcloud CLI-Befehl.
```
gcloud workstations clusters create \
    WORKSTATIONS_CLUSTER_NAME --region=LOCATION \
    --project=WORKSTATIONS_PROJECT_ID
```
Ersetzen Sie Folgendes:
- WORKSTATIONS_CLUSTER_NAME: der Name des Workstationclusters
- LOCATION: der Regionsname für Ihren Workstationcluster
- WORKSTATIONS_PROJECT_ID: die ID Ihres Workstations-Projekts
Erstellen Sie eine Workstationkonfiguration mit encryption_key Einstellungen.

Führen Sie den folgenden gcloud CLI-Befehl aus, um eine Workstationkonfiguration mit dem Maschinentyp e2-standard-2, einem Leerlauftimeout von 3600s und CMEK-verschlüsselten Workstationressourcen zu erstellen:
```
gcloud workstations configs create WORKSTATIONS_CONFIG_NAME \
  --cluster=WORKSTATIONS_CLUSTER_NAME \
  --region=LOCATION \
  --machine-type="e2-standard-2" \
  --idle-timeout=3600 \
  --kms-key="projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME" \
  --kms-key-service-account="KMS_KEY_SERVICE_ACCOUNT_EMAIL" \
  --project=WORKSTATIONS_PROJECT_ID
```
Ersetzen Sie Folgendes:
- WORKSTATIONS_CONFIG_NAME: der Name der Workstationkonfiguration
- WORKSTATIONS_CLUSTER_NAME: der Name Ihres Workstationclusters
- LOCATION: der Regionsname für Ihren Cluster
- KMS_PROJECT_ID: die Projekt-ID, ein eindeutiger String, der Ihr Projekt von allen anderen in unterscheidet Google Cloud.
- KEY_RING: der Name des Schlüsselbunds
- KEY_NAME: der Name des Schlüssels
- KMS_KEY_SERVICE_ACCOUNT_EMAIL: die E-Mail-Adresse des Cloud KMS-Schlüssel-Dienstkontos
- WORKSTATIONS_PROJECT_ID: die ID Ihres Workstations-Projekts
Nachdem Sie eine Workstationkonfiguration erstellt haben, verschlüsselt Cloud KMS die nichtflüchtigen Speicher in Ihrem Projekt mit dem angegebenen Cloud KMS-Schlüssel.

Kundenverwaltete Verschlüsselungsschlüssel rotieren

Wenn Sie dem Cloud Workstations-Dienst-Agent die Rolle „Cloud KMS-Betrachter“ (roles/cloudkms.viewer) für den CMEK-Schlüssel zugewiesen haben, kann der Workstations-Dienst die Schlüssel rotation erkennen und Ihre Home-Festplatte mit der neuen primären Schlüsselversion neu verschlüsseln.

Die Neuverschlüsselung erfolgt, nachdem Sie Ihre Workstation beendet haben. Jedes Mal, wenn Sie eine verschlüsselte Workstation beenden, prüft der Workstations-Dienst, ob der Schlüssel rotiert wurde. Wenn der Schlüssel rotiert wurde, erstellt der Workstations-Dienst eine Momentaufnahme der Home-Festplatte Ihrer Workstation und löscht die Festplatte. Wenn Sie die Workstation das nächste Mal starten, erstellt der Workstations-Dienst eine neue Festplatte aus der Momentaufnahme und verwendet dabei die neue primäre Schlüsselversion.

Cloud KMS-Kontingente und Cloud Workstations

Wenn Sie CMEK in Cloud Workstations verwenden, können Ihre Projekte Kontingente für kryptografische Cloud KMS-Anfragen verbrauchen. CMEK-verschlüsselte Repositories können diese Kontingente beispielsweise pro Up- oder Download verbrauchen. Ver- und Entschlüsselungsvorgänge über CMEK-Schlüssel wirken sich nur dann auf Cloud KMS-Kontingente aus, wenn Sie Hardware- (Cloud HSM) oder externe Schlüssel (Cloud EKM) verwenden. Weitere Informationen finden Sie unter Cloud KMS-Kontingente.

Externe Schlüssel

Sie können Cloud External Key Manager (Cloud EKM) verwenden, um Daten in Google Cloud mit von Ihnen verwalteten externen Schlüsseln zu verschlüsseln.

Wenn Sie einen Cloud EKM-Schlüssel verwenden, hat Google keine Kontrolle über die Verfügbarkeit Ihres extern verwalteten Schlüssels. Wenn der Schlüssel nicht mehr verfügbar ist, kann Ihre Workstation nicht gestartet werden.

Weitere Überlegungen zur Verwendung externer Schlüssel finden Sie unter Cloud External Key Manager.

Nächste Schritte

Informationen zu kundenverwalteten Verschlüsselungs schlüsseln.
Was ist Verschlüsselung?