Theo mặc định, tất cả dữ liệu khi lưu trữ trong Cloud Firestore đều được mã hoá bằng quy trình mã hoá mặc định của Google. Cloud Firestore sẽ xử lý và quản lý việc mã hoá này cho bạn mà bạn không cần làm gì thêm.
Nếu có các yêu cầu cụ thể về việc tuân thủ hoặc quy định liên quan đến các khoá bảo vệ dữ liệu, bạn có thể sử dụng khoá mã hoá do khách hàng quản lý (CMEK) cho Cloud Firestore. Thay vì Google quản lý các khoá mã hoá bảo vệ dữ liệu của bạn, cơ sở dữ liệu Cloud Firestore của bạn sẽ được bảo vệ bằng một khoá mà bạn kiểm soát và quản lý trong Cloud Key Management Service (Cloud KMS).
Trang này mô tả CMEK cho Cloud Firestore. Để biết thêm thông tin về CMEK nói chung, bao gồm cả thời điểm và lý do nên bật CMEK, hãy xem tài liệu sau đây về Cloud KMS:
Để xem hướng dẫn về cách thực hiện các tác vụ liên quan đến CMEK bằng Cloud Firestore, hãy xem phần Sử dụng CMEK.
Tính năng
- Kiểm soát dữ liệu: CMEK cho phép bạn quản lý khoá KMS. Bạn có thể xoay vòng, vô hiệu hoá và huỷ khoá dùng để mã hoá dữ liệu khi không hoạt động trong cơ sở dữ liệu Cloud Firestore.
- Hiệu suất: CMEK không ảnh hưởng đến Cloud Firestore SLA.
- Khả năng kiểm tra: Nếu bạn bật tính năng ghi nhật ký kiểm tra cho Cloud KMS, tất cả các thao tác trên khoá sẽ được ghi nhật ký và có thể xem trong Cloud Logging.
- Các ràng buộc về chính sách tổ chức: Bạn có thể sử dụng các ràng buộc về chính sách tổ chức CMEK để chỉ định các yêu cầu tuân thủ về việc mã hoá cho cơ sở dữ liệu Cloud Firestore trong tổ chức của bạn.
Giá
Cloud KMS tính phí cho chi phí của khoá và mọi thao tác mã hoá được thực hiện bằng khoá đó. Để biết thêm thông tin, hãy xem bài viết Giá của Cloud KMS.
Bạn sẽ bị tính phí cho chi phí hoạt động khi Cloud Firestore yêu cầu khoá Cloud KMS thực hiện một thao tác mã hoá hoặc giải mã. Hoạt động mã hoá/giải mã bằng khoá do khách hàng quản lý diễn ra sau mỗi 5 phút và không được đồng bộ hoá với các yêu cầu về cơ sở dữ liệu. Chi phí thường thấp, do số lượng thao tác mã hoá dự kiến do Cloud Firestore tạo ra. Chi phí cho Nhật ký kiểm tra trên đám mây là một khoản chi phí bổ sung, nhưng cũng dự kiến sẽ thấp nói chung, do số lượng hoạt động mã hoá dự kiến.
Bạn không phải trả thêm Cloud Firestore phí khi sử dụng cơ sở dữ liệu được bảo vệ bằng CMEK và Cloud Firestore mức giá vẫn được áp dụng.
Nếu bạn thu hồi khoá đối với một cơ sở dữ liệu, thì chi phí lưu trữ sẽ được tính dựa trên kích thước của ngày cuối cùng mà khoá đó có hiệu lực. Bạn sẽ tiếp tục phải trả phí lưu trữ ở kích thước cơ sở dữ liệu đó cho đến khi cơ sở dữ liệu bị xoá hoặc khoá có sẵn trở lại.
Nội dung được bảo vệ bằng CMEK
Khi bạn tạo một cơ sở dữ liệu được bảo vệ bằng Cloud Firestore CMEK, khoá Cloud KMS của bạn sẽ được dùng để bảo vệ dữ liệu không hoạt động. Trong đó bao gồm dữ liệu mà bạn lưu trữ trên ổ đĩa hoặc ổ đĩa flash, bao gồm cả chỉ mục và bản sao lưu. Có một số trường hợp ngoại lệ. Các loại dữ liệu sau được mã hoá bằng phương thức mã hoá mặc định của Google chứ không phải bằng khoá CMEK:
- Dữ liệu đang truyền hoặc trong bộ nhớ
- Siêu dữ liệu cơ sở dữ liệu
Cách xử lý trạng thái khoá không dùng được
Các thao tác mã hoá và giải mã không được thực hiện trên mọi yêu cầu dữ liệu. Thay vào đó, hệ thống Cloud Firestore sẽ thăm dò Cloud KMS 5 phút một lần để kiểm tra xem khoá có còn hay không, sau đó thực hiện các thao tác mã hoá và giải mã nếu khoá còn.
Nếu hệ thống phát hiện thấy khoá không dùng được, thì trong vòng 10 phút, mọi lệnh gọi tiếp theo đến cơ sở dữ liệu Cloud Firestore, bao gồm cả các thao tác đọc, ghi và truy vấn, sẽ trả về lỗi FAILED_PRECONDITION kèm theo thông báo The customer-managed encryption key required by the requested
resource is not accessible.
Nếu cơ sở dữ liệu có chính sách thời gian tồn tại (TTL) và nếu bất kỳ thời gian hết hạn nào bị vượt quá trong khi khoá không hoạt động, thì việc xoá dữ liệu theo TTL sẽ bị trì hoãn cho đến khi khoá được khôi phục. Nếu cơ sở dữ liệu có các thao tác đang diễn ra trong thời gian dài, thì các thao tác đó sẽ bị ảnh hưởng như sau:
- Các thao tác nhập hoặc xuất dữ liệu sẽ ngừng tiến hành và được đánh dấu là
Failed. Các thao tác không thành công sẽ không được thử lại nếu khoá được khôi phục. - Các thao tác tạo chỉ mục và các thao tác cho phép các chính sách TTL mới sẽ ngừng tiến hành. Các thao tác bị dừng sẽ được thử lại nếu khoá được khôi phục.
Khoá được coi là không dùng được trong mọi trường hợp cố ý không cho phép Cloud Firestore truy cập vào khoá. Chẳng hạn như:
- Tắt hoặc huỷ phiên bản khoá đang dùng. Hãy cẩn thận khi huỷ một phiên bản khoá, vì thao tác này có thể gây mất dữ liệu không thể khôi phục.
- Xoá quyền truy cập vào khoá của tài khoản dịch vụ Cloud Firestore.
Nếu khoá được khôi phục, thao tác thăm dò sẽ phát hiện thấy khoá có sẵn trở lại. Quyền truy cập sẽ được bật lại, thường là trong vòng vài phút, nhưng trong một số ít trường hợp có thể mất đến vài giờ. Xin lưu ý rằng một số thao tác trên khoá Cloud KMS (chẳng hạn như vô hiệu hoá hoặc huỷ khoá) có thể mất đến 3 giờ để truyền tải. Cloud Firestore sẽ không phát hiện thấy bất kỳ thay đổi nào cho đến khi các thay đổi đó có hiệu lực trong Cloud KMS.
Việc khôi phục một khoá bao gồm những việc sau, tuỳ thuộc vào tình huống:
- Bật lại một phiên bản khoá đã tắt.
- Khôi phục một phiên bản khoá đã bị huỷ. Trước khi bị huỷ vĩnh viễn, một phiên bản khoá sẽ được lên lịch huỷ. Bạn chỉ có thể khôi phục khoá trong khoảng thời gian mà một phiên bản khoá được lên lịch huỷ. Bạn không thể khôi phục một khoá đã bị huỷ vĩnh viễn.
- Cấp lại quyền cho nhân viên hỗ trợ dịch vụ Cloud Firestore để truy cập vào khoá.
Những điểm cần cân nhắc khi xoay vòng khoá
Khi bạn xoay khoá CMEK, Cloud Firestore sẽ mã hoá lại cơ sở dữ liệu bằng phiên bản chính mới nhất của khoá CMEK. Trong quá trình mã hoá lại, hãy giữ cả phiên bản khoá cũ và khoá mới. Sau khi quá trình mã hoá lại hoàn tất, việc tắt hoặc xoá các phiên bản cũ của khoá CMEK sẽ không vô hiệu hoá quyền truy cập vào cơ sở dữ liệu vì cơ sở dữ liệu được mã hoá bằng phiên bản khoá chính mới.
Bạn cũng có thể xem các phiên bản khoá đang được dùng để bảo vệ cơ sở dữ liệu. Để biết thêm thông tin, hãy xem phần Xem khoá đang dùng.
Những điểm cần cân nhắc về khoá bên ngoài
Khi bạn sử dụng khoá Cloud EKM, Google không kiểm soát được tính sẵn có của khoá do bên ngoài quản lý trong hệ thống đối tác quản lý khoá bên ngoài.
Nếu khoá do bên ngoài quản lý không có sẵn, Cloud Firestore sẽ tiếp tục hỗ trợ các thao tác đầy đủ trên cơ sở dữ liệu trong khả năng tốt nhất có thể trong tối đa một giờ.
Sau một giờ, nếu Cloud Firestore vẫn không thể kết nối với Cloud KMS, thì Cloud Firestore sẽ bắt đầu chuyển cơ sở dữ liệu sang chế độ ngoại tuyến như một biện pháp bảo vệ. Các lệnh gọi đến cơ sở dữ liệu sẽ không thành công với lỗi FAILED_PRECONDITION bao gồm các thông tin chi tiết khác.
Hãy xem tài liệu về Cloud External Key Manager để biết thêm thông tin về cách sử dụng khoá bên ngoài.
Sao lưu và khôi phục
Bản sao lưu sử dụng cùng một cơ chế mã hoá như cơ sở dữ liệu mà bạn đã tạo bản sao lưu đó. Khi tạo bản sao lưu, cơ sở dữ liệu Cloud Firestore được bảo vệ bằng CMEK sẽ mã hoá bản sao lưu bằng phiên bản khoá chính được dùng tại thời điểm tạo bản sao lưu.
Cloud Firestore sẽ tạo bản sao lưu đầu tiên của cơ sở dữ liệu CMEK sau 24 giờ kể từ thời điểm bạn bật lịch sao lưu.
Để biết thêm thông tin về bản sao lưu Cloud Firestore, hãy xem bài viết Sao lưu và khôi phục dữ liệu.
Theo mặc định, cơ sở dữ liệu được khôi phục từ bản sao lưu sẽ sử dụng cùng một cơ chế mã hoá như bản sao lưu. Khi khôi phục cơ sở dữ liệu, bạn có thể chỉ định một loại mã hoá khác theo một trong những cách sau:
- Khôi phục vào cơ sở dữ liệu CMEK bằng một khoá mới được chỉ định.
- Khôi phục về một cơ sở dữ liệu không phải CMEK sử dụng quy trình mã hoá mặc định của Google.
- Khôi phục vào một cơ sở dữ liệu sử dụng cùng phương thức mã hoá với bản sao lưu.
Để biết thêm thông tin về cách khôi phục cơ sở dữ liệu Cloud Firestore từ bản sao lưu, hãy xem bài viết Khôi phục dữ liệu từ bản sao lưu cơ sở dữ liệu. Để biết thêm thông tin về cách khôi phục cơ sở dữ liệu Cloud Firestore được bảo vệ bằng CMEK từ bản sao lưu, hãy xem bài viết Khôi phục cơ sở dữ liệu được bảo vệ bằng CMEK.
Theo dõi khoá
Bạn có thể sử dụng tính năng theo dõi khoá để xem các tài nguyên, chẳng hạn như cơ sở dữ liệu Cloud Firestore mà một khoá bảo vệ. Để biết thêm thông tin về tính năng theo dõi khoá, hãy xem phần Xem mức sử dụng khoá.
CMEK và tính sẵn có của khoá
Khi khoá không dùng được hoặc bị vô hiệu hoá, hãy lưu ý đến những hành vi sau đây có thể xảy ra trong các cơ sở dữ liệu có bật CMEK:
- Bạn có thể thay đổi chế độ cài đặt Cloud Firestorekhôi phục tại một thời điểm (PITR) trên cơ sở dữ liệu có bật CMEK ngay cả khi khoá không dùng được vì chế độ cài đặt PITR là siêu dữ liệu cơ sở dữ liệu và không được CMEK mã hoá.
- Bạn có thể xoá cơ sở dữ liệu CMEK có các khoá không dùng được.
- Khi bạn tạo một cơ sở dữ liệu có bật CMEK, các khoá bị vô hiệu hoá sẽ không xuất hiện trong danh sách các khoá có sẵn trong Google Cloud Console. Nếu bạn nhập khoá đã tắt theo cách thủ công, thì quá trình tạo cơ sở dữ liệu sẽ không thành công và gặp lỗi
FAILED_PRECONDITION400.
Các điểm hạn chế
- Bạn không thể thay đổi khoá cho cơ sở dữ liệu được bảo vệ bằng CMEK. Bạn có thể xoay, bật và tắt khoá.
- Cơ sở dữ liệu được bảo vệ bằng CMEK chỉ hỗ trợ Key Visualizer cho dữ liệu thực thể và tài liệu, chứ không hỗ trợ dữ liệu chỉ mục.
- Bạn không thể bật CMEK trên các cơ sở dữ liệu hiện có. Bạn chỉ có thể bật CMEK trên các cơ sở dữ liệu mới và phải bật CMEK khi tạo cơ sở dữ liệu. Để di chuyển dữ liệu trong một cơ sở dữ liệu hiện có không phải là cơ sở dữ liệu được bảo vệ bằng CMEK sang một cơ sở dữ liệu được bảo vệ bằng CMEK, hãy xuất dữ liệu rồi nhập dữ liệu vào một cơ sở dữ liệu mới được bảo vệ bằng CMEK. Bạn cũng có thể khôi phục dữ liệu từ cơ sở dữ liệu không phải CMEK sang cơ sở dữ liệu CMEK.
- Cloud Firestore chỉ hỗ trợ một số ít cơ sở dữ liệu được bảo vệ bằng CMEK.
- Chúng tôi không hỗ trợ tính năng bảo vệ CMEK khi tích hợp với Cloud Functions (thế hệ thứ nhất). Nếu bạn muốn có chế độ bảo vệ CMEK, hãy sử dụng các hàm Cloud Run Firestore Triggers (thế hệ thứ 2).