现已推出具有 MongoDB 兼容性的 Firestore 企业版！了解详情。

หน้านี้ได้รับการแปลโดย Cloud Translation API

คีย์การเข้ารหัสลับที่จัดการโดยลูกค้า (CMEK)

โดยค่าเริ่มต้น ข้อมูลทั้งหมดที่จัดเก็บไว้ใน Cloud Firestore จะได้รับการเข้ารหัสโดยใช้ การเข้ารหัสเริ่มต้นของ Google Cloud Firestoreจะจัดการและ ดูแลการเข้ารหัสนี้ให้คุณโดยที่คุณไม่ต้องดำเนินการใดๆ เพิ่มเติม

หากมีข้อกำหนดด้านการปฏิบัติตามข้อกำหนดหรือกฎระเบียบที่เฉพาะเจาะจงซึ่งเกี่ยวข้องกับคีย์ ที่ปกป้องข้อมูล คุณสามารถใช้คีย์การเข้ารหัสที่จัดการโดยลูกค้า (CMEK) สำหรับ Cloud Firestoreได้ แทนที่ Google จะจัดการคีย์การเข้ารหัสที่ปกป้องข้อมูลของคุณ Cloud Firestoreฐานข้อมูลจะได้รับการปกป้องโดยใช้คีย์ที่คุณควบคุมและจัดการใน Cloud Key Management Service (Cloud KMS)

หน้านี้อธิบาย CMEK สำหรับ Cloud Firestore ดูข้อมูลเพิ่มเติมเกี่ยวกับ CMEK โดยทั่วไป รวมถึงเวลาและเหตุผลในการเปิดใช้ได้ที่เอกสารประกอบ Cloud KMS ต่อไปนี้

ดูวิธีการทำงานที่เกี่ยวข้องกับ CMEK ด้วย Cloud Firestore ได้ที่ใช้ CMEK

ฟีเจอร์

การควบคุมข้อมูล: CMEK ช่วยให้คุณจัดการคีย์ KMS ได้ คุณสามารถ หมุนเวียน ปิดใช้ และทำลายคีย์ที่ใช้เข้ารหัสข้อมูลที่พักใน ฐานข้อมูล Cloud Firestore ได้
ประสิทธิภาพ: CMEK ไม่ส่งผลต่อ SLA ของ Cloud Firestore
ความสามารถในการตรวจสอบ: หากคุณ เปิดใช้การบันทึกการตรวจสอบสำหรับ Cloud KMS ระบบจะบันทึกการดำเนินการทั้งหมดในคีย์และดูได้ใน Cloud Logging
ข้อจำกัดของนโยบายองค์กร: คุณสามารถใช้ข้อจำกัดของนโยบายองค์กร CMEK เพื่อระบุข้อกำหนดด้านการปฏิบัติตามข้อกำหนดการเข้ารหัสสำหรับCloud Firestoreฐานข้อมูล ในองค์กร

ราคา

Cloud KMS จะเรียกเก็บเงินสำหรับค่าใช้จ่ายของคีย์และการดำเนินการเข้ารหัสที่ดำเนินการโดยใช้คีย์นั้น ดูข้อมูลเพิ่มเติมได้ที่ราคาของ Cloud KMS

ระบบจะเรียกเก็บเงินค่าดำเนินการเมื่อ Cloud Firestore ขอให้คีย์ Cloud KMS ดำเนินการเข้ารหัสหรือถอดรหัส การดำเนินการเข้ารหัส/ถอดรหัสโดยคีย์ที่จัดการโดยลูกค้าจะเกิดขึ้นทุกๆ 5 นาทีและจะไม่ซิงค์กับคำขอฐานข้อมูล โดยทั่วไปแล้วค่าใช้จ่ายจะต่ำ เมื่อพิจารณาจากจำนวนการดำเนินการเข้ารหัสที่คาดการณ์ไว้ซึ่งสร้างโดย Cloud Firestore ค่าใช้จ่ายสำหรับบันทึก Cloud Audit เป็นค่าใช้จ่ายเพิ่มเติม แต่คาดว่าโดยทั่วไปจะต่ำ เนื่องจากจำนวนการดำเนินการเข้ารหัสที่คาดไว้

ไม่มีCloud Firestoreค่าใช้จ่ายเพิ่มเติมสำหรับการใช้ฐานข้อมูลที่ได้รับการปกป้องด้วย CMEK และCloud Firestoreราคาจะยังคงมีผลต่อไป

หากเพิกถอนคีย์ไปยังฐานข้อมูล ระบบจะเรียกเก็บค่าพื้นที่เก็บข้อมูลตาม ขนาดของวันที่ล่าสุดที่คีย์พร้อมใช้งาน คุณจะยังคงมีค่าใช้จ่ายในการจัดเก็บข้อมูลที่ขนาดฐานข้อมูลนั้นจนกว่าจะลบฐานข้อมูลหรือคีย์จะพร้อมใช้งานอีกครั้ง

สิ่งที่ได้รับการปกป้องด้วย CMEK

เมื่อสร้างฐานข้อมูลที่Cloud Firestoreได้รับการปกป้องด้วย CMEK ระบบจะใช้คีย์ Cloud KMS เพื่อปกป้องข้อมูลที่ไม่ได้ใช้งาน ซึ่งรวมถึงข้อมูลที่คุณจัดเก็บไว้ในดิสก์หรือแฟลชไดรฟ์ รวมถึงดัชนีและการสำรองข้อมูล โดยมีข้อยกเว้นบางประการ ระบบจะเข้ารหัสข้อมูลประเภทต่อไปนี้ด้วยการเข้ารหัสเริ่มต้นของ Google และไม่ได้เข้ารหัสด้วยคีย์ CMEK

ข้อมูลที่อยู่ระหว่างการส่งหรือในหน่วยความจำ
ข้อมูลเมตาของฐานข้อมูล

วิธีจัดการสถานะคีย์ที่ใช้งานไม่ได้

ระบบจะไม่ดำเนินการเข้ารหัสและถอดรหัสในทุกคำขอข้อมูล แต่Cloud Firestoreระบบจะสำรวจ Cloud KMS ทุกๆ 5 นาทีเพื่อตรวจสอบว่าคีย์ยังใช้งานได้หรือไม่ จากนั้นจะดำเนินการเข้ารหัสและถอดรหัสหากคีย์ใช้งานได้

หากระบบตรวจพบว่าคีย์ไม่พร้อมใช้งาน ภายใน 10 นาที การเรียกใช้Cloud Firestoreฐานข้อมูล ครั้งต่อๆ ไปทั้งหมด รวมถึงการอ่าน การเขียน และการค้นหา จะแสดงข้อผิดพลาด FAILED_PRECONDITION พร้อมข้อความ The customer-managed encryption key required by the requested resource is not accessible

หากฐานข้อมูลมีนโยบาย Time-To-Live (TTL) และหาก เวลาหมดอายุใดๆ เกินกำหนดขณะที่คีย์ไม่พร้อมใช้งาน การลบข้อมูล ตาม TTL จะล่าช้าจนกว่าจะมีการคืนสิทธิคีย์ หากฐานข้อมูลมีดำเนินการที่ใช้เวลานานซึ่งอยู่ระหว่างดำเนินการ การดำเนินการเหล่านั้นจะได้รับผลกระทบดังนี้

การดำเนินการนำเข้าหรือส่งออกข้อมูลจะหยุดดำเนินการต่อและจะมีการทำเครื่องหมายเป็นFailed ระบบจะไม่ลองดำเนินการที่ล้มเหลวอีกครั้งหากมีการคืนสิทธิคีย์
การดำเนินการสร้างดัชนีและการดำเนินการเปิดใช้นโยบาย TTL ใหม่จะหยุดดำเนินการ ระบบจะลองดำเนินการที่หยุดไปอีกครั้งหากมีการคืนสิทธิคีย์

ระบบจะถือว่าคีย์ไม่พร้อมใช้งานในทุกกรณีที่ตั้งใจไม่อนุญาตให้ Cloud Firestore เข้าถึงคีย์ ซึ่งรวมถึงเนื้อหาต่อไปนี้

ปิดใช้หรือ ทำลายเวอร์ชันคีย์ที่ใช้งานอยู่ โปรดใช้ความระมัดระวังเมื่อทำลายเวอร์ชันคีย์ เนื่องจากอาจทำให้ข้อมูลสูญหายอย่างกู้คืนไม่ได้
การนำสิทธิ์เข้าถึง คีย์ออกจากบัญชีบริการ Cloud Firestore

หากมีการคืนสิทธิคีย์ การดำเนินการสำรวจจะตรวจพบว่าคีย์พร้อมใช้งานอีกครั้ง ระบบจะเปิดใช้สิทธิ์เข้าถึงอีกครั้ง โดยปกติจะใช้เวลาไม่กี่นาที แต่ในบางกรณีอาจใช้เวลาถึง 2-3 ชั่วโมง โปรดทราบว่าการดำเนินการบางอย่างในคีย์ Cloud KMS เช่น การปิดใช้หรือทำลายคีย์ อาจใช้เวลาถึง3 ชั่วโมงในการเผยแพร่ Cloud Firestore จะไม่ ตรวจหาการเปลี่ยนแปลงใดๆ จนกว่าการเปลี่ยนแปลงจะมีผลใน Cloud KMS

การคืนสิทธิของคีย์เกี่ยวข้องกับสิ่งต่อไปนี้ ทั้งนี้ขึ้นอยู่กับสถานการณ์

เปิดใช้เวอร์ชันคีย์ที่ปิดใช้อีกครั้ง
การกู้คืนเวอร์ชันคีย์ที่ถูกทำลาย ระบบจะกำหนดเวลาการทำลายเวอร์ชันคีย์ก่อนที่จะทำลายอย่างถาวร คุณจะกู้คืนคีย์ได้ในช่วงเวลาที่มีการกำหนดเวลาทำลายเวอร์ชันคีย์ เท่านั้น คุณจะกู้คืนคีย์ที่ถูกทำลายอย่างถาวรแล้วไม่ได้
การให้สิทธิ์ Cloud Firestore Agent บริการเข้าถึงคีย์อีกครั้ง

คำเตือน: อย่าปล่อยให้คีย์ไม่พร้อมใช้งานนานเกิน 7 วัน ฐานข้อมูลที่ได้รับการปกป้องด้วย CMEK ซึ่งมีคีย์ที่ไม่พร้อมใช้งานนานกว่า 7 วันอาจถูกลบ ในกรณีที่คีย์ไม่พร้อมใช้งาน หากต้องการเก็บรักษาข้อมูลเกินขีดจำกัด 7 วัน เราขอแนะนำให้คุณเปิดใช้การสำรองข้อมูลสำหรับฐานข้อมูล CMEK Cloud Firestore ที่มีระยะเวลาเก็บรักษาที่จำเป็น ก่อน เพิกถอนคีย์ โปรดตรวจสอบว่าได้สร้างข้อมูลสำรองแล้ว เนื่องจากต้องใช้คีย์ที่ถูกต้อง ในการสร้างข้อมูลสำรอง มีการเรียกเก็บเงินเพิ่มเติมสำหรับการสำรองข้อมูล โปรดดูรายละเอียดราคาการสำรองข้อมูลที่Cloud Firestore pricing

ข้อควรพิจารณาเกี่ยวกับการหมุนเวียนคีย์

เมื่อหมุนเวียนคีย์ CMEK Cloud Firestore จะเข้ารหัสฐานข้อมูลอีกครั้ง ด้วยเวอร์ชันหลักล่าสุดของคีย์ CMEK ในระหว่างกระบวนการเข้ารหัสซ้ำ ให้เก็บทั้งคีย์เวอร์ชันเก่าและเวอร์ชันใหม่ไว้ เมื่อการเข้ารหัสอีกครั้งเสร็จสิ้น การปิดใช้หรือลบคีย์ CMEK เวอร์ชันเก่าจะไม่ปิดใช้สิทธิ์เข้าถึงฐานข้อมูลเนื่องจากมีการเข้ารหัสด้วยเวอร์ชันคีย์หลักใหม่

นอกจากนี้ คุณยังดูเวอร์ชันคีย์ที่ใช้เพื่อปกป้องฐานข้อมูลได้ด้วย ดูข้อมูลเพิ่มเติมได้ที่ ดูคีย์ที่ใช้งานอยู่

ข้อควรพิจารณาเกี่ยวกับคีย์ภายนอก

เมื่อใช้คีย์ Cloud EKM Google จะควบคุมความพร้อมใช้งานคีย์ที่จัดการภายนอกในระบบพาร์ทเนอร์การจัดการคีย์ภายนอกไม่ได้

หากคีย์ที่จัดการภายนอกไม่พร้อมใช้งาน Cloud Firestore จะยังคง รองรับการดำเนินการฐานข้อมูลทั้งหมดอย่างเต็มความสามารถเป็นเวลาสูงสุด 1 ชั่วโมง

หลังจากผ่านไป 1 ชั่วโมง หาก Cloud Firestore ยังคงเชื่อมต่อกับ Cloud KMS ไม่ได้ Cloud Firestore จะเริ่มนำฐานข้อมูลออกจากระบบเพื่อเป็นการป้องกัน การเรียกไปยังฐานข้อมูลจะล้มเหลวพร้อมFAILED_PRECONDITION ข้อผิดพลาดที่มีรายละเอียดเพิ่มเติม

ดูข้อมูลเพิ่มเติมเกี่ยวกับการใช้คีย์ภายนอกได้ในเอกสารประกอบของ Cloud External Key Manager

Cloud Firestore

สำรองข้อมูลและกู้คืน

ข้อมูลสำรองจะใช้กลไกการเข้ารหัสเดียวกับฐานข้อมูลที่คุณสร้างข้อมูลสำรอง เมื่อCloud Firestoreฐานข้อมูลที่ได้รับการปกป้องด้วย CMEK สร้างข้อมูลสำรอง ระบบจะเข้ารหัสข้อมูลสำรองด้วยเวอร์ชันคีย์หลักที่ใช้ในขณะที่สร้างข้อมูลสำรอง

Cloud Firestore จะสร้างข้อมูลสำรองแรกของฐานข้อมูล CMEK หลังจากผ่านไป 24 ชั่วโมงนับจากเวลาที่คุณเปิดใช้กำหนดเวลาสำรองข้อมูล

ดูข้อมูลเพิ่มเติมเกี่ยวกับCloud Firestoreการสำรองข้อมูลได้ที่สำรองและ กู้คืนข้อมูล

ฐานข้อมูลที่กู้คืนจากข้อมูลสำรองจะใช้กลไกการเข้ารหัสเดียวกันกับข้อมูลสำรองโดยค่าเริ่มต้น เมื่อกู้คืนฐานข้อมูล คุณสามารถระบุประเภทการเข้ารหัสอื่นได้โดยใช้วิธีใดวิธีหนึ่งต่อไปนี้

กู้คืนไปยังฐานข้อมูล CMEK ด้วยคีย์ที่ระบุใหม่
กู้คืนไปยังฐานข้อมูลที่ไม่ใช่ CMEK ซึ่งใช้การเข้ารหัสเริ่มต้นของ Google
กู้คืนไปยังฐานข้อมูลที่ใช้การเข้ารหัสเดียวกันกับข้อมูลสำรอง

ดูข้อมูลเพิ่มเติมเกี่ยวกับการกู้คืนฐานข้อมูล Cloud Firestore จากข้อมูลสำรองได้ที่กู้คืนข้อมูลจากข้อมูลสำรองของฐานข้อมูล ดูข้อมูลเพิ่มเติมเกี่ยวกับการกู้คืนCloud Firestoreฐานข้อมูลที่ได้รับการปกป้องด้วย CMEK จากข้อมูลสำรองได้ที่กู้คืนฐานข้อมูลที่ได้รับการปกป้องด้วย CMEK

การติดตามคีย์

คุณสามารถใช้การติดตามคีย์เพื่อดูทรัพยากร เช่น Cloud Firestore ฐานข้อมูลที่คีย์ปกป้อง ดูข้อมูลเพิ่มเติมเกี่ยวกับการติดตามคีย์ได้ที่ ดูการใช้งานคีย์

ความพร้อมใช้งานของ CMEK และคีย์

เมื่อคีย์ไม่พร้อมใช้งานหรือถูกปิดใช้ โปรดทราบลักษณะการทำงานต่อไปนี้ที่อาจเกิดขึ้นในฐานข้อมูลที่เปิดใช้ CMEK

คุณเปลี่ยนCloud Firestoreการตั้งค่าการกู้คืนช่วงเวลา (PITR) ในฐานข้อมูลที่เปิดใช้ CMEK ได้แม้ว่าคีย์จะใช้งานไม่ได้ เนื่องจากการตั้งค่า PITR เป็นข้อมูลเมตาของฐานข้อมูลซึ่งไม่ได้เข้ารหัสโดย CMEK
คุณสามารถลบฐานข้อมูล CMEK ที่มีคีย์ที่ไม่พร้อมใช้งานได้
เมื่อสร้างฐานข้อมูลที่เปิดใช้ CMEK คีย์ที่ปิดใช้จะไม่แสดงในรายการคีย์ที่พร้อมใช้งานใน Google Cloud Console หากคุณป้อนคีย์ที่ปิดใช้ด้วยตนเอง กระบวนการสร้างฐานข้อมูลจะล้มเหลวโดยมีข้อผิดพลาด FAILED_PRECONDITION 400

ข้อจำกัด

คุณเปลี่ยนคีย์สำหรับฐานข้อมูลที่ป้องกันด้วย CMEK ไม่ได้ คุณหมุนเวียน เปิดใช้ และปิดใช้คีย์ได้
ฐานข้อมูลที่ป้องกันด้วย CMEK รองรับ Key Visualizer สำหรับข้อมูลเอนทิตีและ เอกสารเท่านั้น ไม่รองรับข้อมูลดัชนี
คุณเปิดใช้ CMEK ในฐานข้อมูลที่มีอยู่ไม่ได้ คุณเปิดใช้ CMEK ได้เฉพาะในฐานข้อมูลใหม่ และต้องเปิดใช้เมื่อสร้างฐานข้อมูล หากต้องการย้ายข้อมูลในฐานข้อมูลที่ไม่ใช่ CMEK ที่มีอยู่ไปยังฐานข้อมูลที่ป้องกันด้วย CMEK ให้ส่งออกข้อมูล แล้วนำเข้าข้อมูลไปยังฐานข้อมูลใหม่ที่ป้องกันด้วย CMEK คุณยัง กู้คืนข้อมูลจากฐานข้อมูลที่ไม่ใช่ CMEK ไปยังฐานข้อมูล CMEK ได้ด้วย
Cloud Firestoreรองรับฐานข้อมูลที่ป้องกันด้วย CMEK จำนวนจำกัด
เราไม่รองรับการป้องกัน CMEK ด้วยการผสานรวม Cloud Functions (รุ่นที่ 1) หากต้องการใช้การป้องกันด้วย CMEK ให้ใช้Cloud Runฟังก์ชันทริกเกอร์ Firestore (รุ่นที่ 2)

ขั้นตอนถัดไป

ดูวิธีใช้ CMEK กับ Cloud Firestore