Khoá mã hoá do khách hàng quản lý (CMEK)

Theo mặc định, tất cả dữ liệu tĩnh trong Cloud Firestore đều được mã hoá bằng quy trình mã hoá mặc định của Google. Cloud Firestore xử lý và quản lý quy trình mã hoá này cho bạn mà bạn không cần làm gì thêm.

Nếu có các yêu cầu tuân thủ hoặc quy định cụ thể liên quan đến các khoá bảo vệ dữ liệu, bạn có thể sử dụng khoá mã hoá do khách hàng quản lý (CMEK) cho Cloud Firestore. Thay vì Google quản lý các khoá mã hoá bảo vệ dữ liệu của bạn, cơ sở dữ liệu Cloud Firestore sẽ được bảo vệ bằng một khoá mà bạn kiểm soát và quản lý trong Cloud Key Management Service (Cloud KMS).

Trang này mô tả CMEK cho Cloud Firestore. Để biết thêm thông tin chung về CMEK, bao gồm cả thời điểm và lý do bật CMEK, hãy xem tài liệu sau đây về Cloud KMS:

• Khoá mã hoá do khách hàng quản lý (CMEK)
• Các phương pháp hay nhất để sử dụng CMEK

Để biết hướng dẫn về cách thực hiện các tác vụ liên quan đến CMEK bằng Cloud Firestore, hãy xem bài viết Sử dụng CMEK.

Tính năng

• Kiểm soát dữ liệu: CMEK cho phép bạn quản lý khoá KMS. Bạn có thể xoay vòng, tắt và huỷ khoá dùng để mã hoá dữ liệu tĩnh trong cơ sở dữ liệu Cloud Firestore.
• Hiệu suất: CMEK không ảnh hưởng đến Cloud Firestore SLA.
• Khả năng kiểm tra: Nếu bạn bật tính năng ghi nhật ký kiểm tra cho Cloud KMS, thì tất cả các thao tác trên khoá sẽ được ghi lại và có thể xem được trong Cloud Logging.
• Các hạn chế về chính sách tổ chức: Bạn có thể sử dụng các hạn chế về chính sách tổ chức CMEK để chỉ định các yêu cầu tuân thủ quy trình mã hoá cho cơ sở dữ liệu Cloud Firestore trong tổ chức của mình.

Giá

Cloud KMS tính phí cho chi phí của khoá và mọi thao tác mã hoá được thực hiện bằng khoá đó. Để biết thêm thông tin, hãy xem Giá của Cloud KMS.

Bạn sẽ bị tính phí cho chi phí thao tác khi Cloud Firestore yêu cầu khoá Cloud KMS thực hiện thao tác mã hoá hoặc giải mã. Thao tác mã hoá/giải mã bằng khoá do khách hàng quản lý diễn ra 5 phút một lần và không được đồng bộ hoá với các yêu cầu về cơ sở dữ liệu. Chi phí thường thấp, dựa trên số lượng thao tác mã hoá dự kiến do Cloud Firestore tạo. Chi phí cho Nhật ký kiểm tra đám mây là một khoản chi phí bổ sung, nhưng cũng dự kiến sẽ thấp, dựa trên số lượng thao tác mã hoá dự kiến.

Không có chi phí bổ sung nào cho Cloud Firestore khi sử dụng cơ sở dữ liệu được bảo vệ bằng CMEK và giá của Cloud Firestorevẫn được áp dụng.

Nếu bạn thu hồi khoá đối với một cơ sở dữ liệu, thì chi phí lưu trữ sẽ được tính dựa trên kích thước của ngày cuối cùng mà khoá đó có sẵn. Bạn sẽ tiếp tục chịu chi phí lưu trữ ở kích thước cơ sở dữ liệu đó cho đến khi cơ sở dữ liệu bị xoá hoặc khoá đó có sẵn trở lại.

Nội dung được bảo vệ bằng CMEK

Khi bạn tạo cơ sở dữ liệu được bảo vệ bằng CMEK Cloud Firestore, khoá Cloud KMS của bạn sẽ được dùng để bảo vệ dữ liệu tĩnh. Trong đó có dữ liệu mà bạn lưu trữ trên đĩa hoặc ổ đĩa flash, bao gồm cả chỉ mục và bản sao lưu. Một số trường hợp ngoại lệ được áp dụng. Các loại dữ liệu sau đây được mã hoá bằng quy trình mã hoá mặc định của Google chứ không phải bằng khoá CMEK:

• Dữ liệu đang truyền hoặc trong bộ nhớ
• Siêu dữ liệu về cơ sở dữ liệu

Cách xử lý trạng thái khoá không có sẵn

Các thao tác mã hoá và giải mã không được phát hành trên mọi yêu cầu dữ liệu. Thay vào đó, hệ thống Cloud Firestore sẽ thăm dò ý kiến Cloud KMS 5 phút một lần để kiểm tra xem khoá có còn dùng được hay không, sau đó thực hiện các thao tác mã hoá và giải mã nếu khoá đó dùng được.

Nếu hệ thống phát hiện thấy khoá không dùng được, thì trong vòng 10 phút, mọi lệnh gọi tiếp theo đến cơ sở dữ liệu Cloud Firestore, bao gồm cả lệnh đọc, ghi và truy vấn, sẽ trả về lỗi FAILED_PRECONDITION kèm theo thông báo The customer-managed encryption key required by the requested resource is not accessible.

Nếu cơ sở dữ liệu có các chính sách về thời gian tồn tại (TTL) và nếu bất kỳ thời gian hết hạn nào vượt quá trong khi khoá không dùng được, thì việc xoá dữ liệu theo TTL sẽ bị trì hoãn cho đến khi khoá được khôi phục. Nếu cơ sở dữ liệu đang có các thao tác diễn ra trong thời gian dài, thì các thao tác đó sẽ bị ảnh hưởng như sau:

• Các thao tác nhập hoặc xuất dữ liệu sẽ ngừng tiến trình và được đánh dấu là Failed. Các thao tác không thành công sẽ không được thử lại nếu khoá được khôi phục.
• Các thao tác xây dựng chỉ mục và các thao tác cho phép các chính sách TTL mới sẽ ngừng tiến trình. Các thao tác đã dừng sẽ được thử lại nếu khoá được khôi phục.

Khoá được coi là không dùng được trong mọi trường hợp cố ý không cho phép Cloud Firestore truy cập vào khoá. Chẳng hạn như:

• Tắt hoặc huỷ phiên bản khoá đang dùng. Hãy cẩn thận khi huỷ phiên bản khoá, vì thao tác này có thể gây mất dữ liệu không thể khôi phục.
• Xoá quyền truy cập vào khoá khỏi tài khoản dịch vụ Cloud Firestore.

Nếu khoá được khôi phục, thì thao tác thăm dò ý kiến sẽ phát hiện thấy khoá đó dùng được trở lại. Quyền truy cập sẽ được bật lại, thường là trong vòng vài phút, nhưng trong một số trường hợp hiếm gặp, có thể mất đến vài giờ. Xin lưu ý rằng một số thao tác trên khoá Cloud KMS, chẳng hạn như tắt hoặc huỷ khoá, có thể mất đến 3 giờ để truyền tải. Cloud Firestore không phát hiện thấy bất kỳ thay đổi nào cho đến khi các thay đổi đó có hiệu lực trong Cloud KMS.

Việc khôi phục khoá bao gồm những thao tác sau, tuỳ thuộc vào tình huống:

• Bật lại phiên bản khoá đã tắt.
• Khôi phục phiên bản khoá đã huỷ. Trước khi bị huỷ vĩnh viễn, phiên bản khoá sẽ được lên lịch huỷ. Bạn chỉ có thể khôi phục khoá trong khoảng thời gian mà phiên bản khoá được lên lịch huỷ. Bạn không thể khôi phục khoá đã bị huỷ vĩnh viễn.
• Cấp lại quyền truy cập vào khoá cho tác nhân dịch vụ Cloud Firestore.

Những điểm cần cân nhắc khi xoay vòng khoá

Khi bạn xoay vòng khoá CMEK, Cloud Firestore sẽ mã hoá lại cơ sở dữ liệu bằng phiên bản chính mới nhất của khoá CMEK. Trong quá trình mã hoá lại, hãy giữ cả phiên bản khoá cũ và mới. Sau khi quá trình mã hoá lại hoàn tất, việc tắt hoặc xoá các phiên bản cũ của khoá CMEK sẽ không tắt quyền truy cập vào cơ sở dữ liệu vì cơ sở dữ liệu đó được mã hoá bằng phiên bản khoá chính mới.

Bạn cũng có thể xem các phiên bản khoá đang được dùng để bảo vệ cơ sở dữ liệu. Để biết thêm thông tin, hãy xem bài viết Xem khoá đang dùng.

Những điểm cần cân nhắc về khoá bên ngoài

Khi bạn sử dụng khoá Cloud EKM, Google không kiểm soát được tính khả dụng của khoá do bạn quản lý bên ngoài trong hệ thống đối tác quản lý khoá bên ngoài.

Nếu khoá do bạn quản lý bên ngoài không dùng được, Cloud Firestore sẽ tiếp tục hỗ trợ đầy đủ các thao tác trên cơ sở dữ liệu dựa trên nỗ lực tốt nhất trong tối đa một giờ.

Sau một giờ, nếu Cloud Firestore vẫn không thể kết nối với Cloud KMS, Cloud Firestore sẽ bắt đầu chuyển cơ sở dữ liệu sang chế độ ngoại tuyến như một biện pháp bảo vệ. Các lệnh gọi đến cơ sở dữ liệu sẽ không thành công và trả về lỗi FAILED_PRECONDITION kèm theo thông tin chi tiết bổ sung.

Hãy xem tài liệu về Cloud External Key Manager để biết thêm thông tin về cách sử dụng khoá bên ngoài.

Sao lưu và khôi phục

Bản sao lưu sử dụng cùng cơ chế mã hoá với cơ sở dữ liệu mà bạn tạo bản sao lưu. Khi cơ sở dữ liệu Cloud Firestore được bảo vệ bằng CMEK tạo bản sao lưu, cơ sở dữ liệu đó sẽ mã hoá bản sao lưu bằng phiên bản khoá chính được dùng tại thời điểm tạo bản sao lưu.

Cloud Firestore tạo bản sao lưu đầu tiên của cơ sở dữ liệu CMEK sau 24 giờ kể từ thời điểm bạn bật lịch sao lưu.

Để biết thêm thông tin về bản sao lưu Cloud Firestore, hãy xem bài viết Sao lưu và khôi phục dữ liệu.

Theo mặc định, cơ sở dữ liệu được khôi phục từ bản sao lưu sẽ sử dụng cùng cơ chế mã hoá với bản sao lưu. Khi khôi phục cơ sở dữ liệu, bạn có thể chỉ định một loại mã hoá khác theo một trong những cách sau:

• Khôi phục về cơ sở dữ liệu CMEK bằng khoá mới được chỉ định.
• Khôi phục về cơ sở dữ liệu không phải CMEK sử dụng quy trình mã hoá mặc định của Google.
• Khôi phục về cơ sở dữ liệu sử dụng cùng quy trình mã hoá với bản sao lưu.

Để biết thêm thông tin về cách khôi phục cơ sở dữ liệu Cloud Firestore từ bản sao lưu, hãy xem bài viết Khôi phục dữ liệu từ bản sao lưu cơ sở dữ liệu. Để biết thêm thông tin về cách khôi phục cơ sở dữ liệuCloud Firestore Cloud Firestore được bảo vệ bằng CMEK từ bản sao lưu, hãy xem bài viết Khôi phục cơ sở dữ liệu được bảo vệ bằng CMEK.

Sao chép

Theo mặc định, cơ sở dữ liệu được sao chép từ cơ sở dữ liệu khác sẽ sử dụng cùng cơ chế mã hoá với cơ sở dữ liệu nguồn. Khi sao chép cơ sở dữ liệu, bạn có thể chỉ định một loại mã hoá khác theo một trong những cách sau:

• Sao chép sang cơ sở dữ liệu CMEK bằng khoá mới được chỉ định.
• Sao chép sang cơ sở dữ liệu không phải CMEK sử dụng quy trình mã hoá mặc định của Google.
• (Mặc định) Sao chép sang cơ sở dữ liệu sử dụng cùng quy trình mã hoá với cơ sở dữ liệu nguồn.

Để biết thêm thông tin về cách sao chép cơ sở dữ liệu Cloud Firestore, hãy xem Sao chép cơ sở dữ liệu. Để biết thêm thông tin về cách sao chép cơ sở dữ liệu Cloud Firestore được bảo vệ bằng CMEK, hãy xem bài viết Sao chép cơ sở dữ liệu được bảo vệ bằng CMEK.

Theo dõi khoá

Bạn có thể sử dụng tính năng theo dõi khoá để xem các tài nguyên (ví dụ: Cloud Firestore cơ sở dữ liệu) mà khoá bảo vệ. Để biết thêm thông tin về tính năng theo dõi khoá, hãy xem bài viết Xem mức sử dụng khoá.

CMEK và tính khả dụng của khoá

Khi khoá không dùng được hoặc bị tắt, hãy lưu ý đến các hành vi sau đây có thể xảy ra trong cơ sở dữ liệu đã bật CMEK:

• Bạn có thể thay đổi chế độ cài đặt khôi phục theo thời điểm (PITR) Cloud Firestore trên cơ sở dữ liệu đã bật CMEK ngay cả khi khoá không dùng được, vì chế độ cài đặt PITR là siêu dữ liệu về cơ sở dữ liệu, không được CMEK mã hoá.
• Bạn có thể xoá cơ sở dữ liệu CMEK có khoá không dùng được.
• Khi bạn tạo cơ sở dữ liệu đã bật CMEK, các khoá đã tắt sẽ không xuất hiện trong danh sách các khoá dùng được trong bảng điều khiển Cloud. Nếu bạn nhập khoá đã tắt theo cách thủ công, thì quá trình tạo cơ sở dữ liệu sẽ không thành công và trả về lỗi FAILED_PRECONDITION 400.

Hạn chế

• Bạn không thể thay đổi khoá cho cơ sở dữ liệu được bảo vệ bằng CMEK. Bạn có thể xoay vòng, bật và tắt khoá.
• Cơ sở dữ liệu được bảo vệ bằng CMEK chỉ hỗ trợ Trình trực quan hoá khoá cho dữ liệu thực thể và tài liệu, chứ không hỗ trợ dữ liệu chỉ mục.
• Bạn không thể bật CMEK trên các cơ sở dữ liệu hiện có. Bạn chỉ có thể bật CMEK trên các cơ sở dữ liệu mới và phải bật CMEK khi tạo cơ sở dữ liệu. Để di chuyển dữ liệu trong cơ sở dữ liệu không phải CMEK hiện có sang cơ sở dữ liệu được bảo vệ bằng CMEK, hãy xuất dữ liệu rồi nhập dữ liệu vào cơ sở dữ liệu mới được bảo vệ bằng CMEK. Bạn cũng có thể khôi phục hoặc sao chép dữ liệu từ cơ sở dữ liệu không phải CMEK sang cơ sở dữ liệu CMEK.
• Cloud Firestore chỉ hỗ trợ một số cơ sở dữ liệu được bảo vệ bằng CMEK.
• Chúng tôi không hỗ trợ tính năng bảo vệ bằng CMEK khi tích hợp với Cloud Functions (thế hệ thứ 1). Nếu bạn muốn có tính năng bảo vệ bằng CMEK, hãy sử dụng Cloud Run Trình kích hoạt Firestore của các hàm (thế hệ thứ 2).

Cách dữ liệu có thể rời khỏi cơ sở dữ liệu được bảo vệ bằng CMEK

• Dữ liệu do ứng dụng của bạn sao chép có thể được người dùng lưu trữ theo cách tuỳ ý. Bạn cần có các biện pháp kiểm soát bảo mật thích hợp cho mọi ứng dụng truy cập vào dữ liệu Cloud Firestore để đảm bảo rằng chỉ những người có quyền thích hợp mới có thể truy cập vào dữ liệu đó. Hãy xem các quy tắc bảo mật và IAM để biết thêm thông tin chi tiết.

• Bạn có thể chuyển dữ liệu từ cơ sở dữ liệu được bảo vệ bằng CMEK sang cơ sở dữ liệu không phải CMEK bằng cách sử dụng tính năng Sao lưu và khôi phục, Sao chép hoặc Nhập và xuất. Hãy sử dụng các biện pháp kiểm soát IAM thích hợp để chỉ cấp quyền cho những người dùng được uỷ quyền thực hiện các thao tác này. Ngoài ra, bạn có thể sử dụng các hạn chế về chính sách tổ chức CMEK để yêu cầu mọi cơ sở dữ liệu được tạo bằng cách khôi phục hoặc sao chép và mọi Cloud Storage nhóm được dùng để Nhập đều được bảo vệ bằng CMEK.

Bước tiếp theo

• Tìm hiểu cách sử dụng CMEK với Cloud Firestore.