يتم تلقائيًا تشفير جميع البيانات غير النشطة في Cloud Firestore باستخدام التشفير التلقائي من Google. تتولى Cloud Firestore إدارة هذا التشفير نيابةً عنك بدون الحاجة إلى اتّخاذ أي إجراء إضافي من جانبك.
إذا كانت لديك متطلبات امتثال أو متطلبات تنظيمية محدّدة متعلّقة بالمفاتيح التي تحمي بياناتك، يمكنك استخدام مفاتيح التشفير التي يديرها العميل (CMEK) لأجل Cloud Firestore. بدلاً من أن تدير Google مفاتيح التشفير التي تحمي بياناتك، تتم حماية قاعدة بيانات Cloud Firestore باستخدام مفتاح يمكنك التحكّم فيه وإدارته في Cloud Key Management Service (Cloud KMS).
توضّح هذه الصفحة مفاتيح التشفير المُدارة للعميل (CMEK) في Cloud Firestore. لمزيد من المعلومات عن CMEK بشكل عام، بما في ذلك حالات تفعيله وسببه، يُرجى الاطّلاع على مستندات Cloud KMS التالية:
للحصول على تعليمات حول تنفيذ المهام المتعلّقة بمفاتيح التشفير المُدارة للعميل (CMEK) باستخدام Cloud Firestore، يُرجى الاطّلاع على مقالة استخدام مفاتيح التشفير المُدارة للعميل (CMEK).
الميزات
- التحكّم في البيانات: تتيح لك ميزة "مفاتيح التشفير التي يديرها العميل" إدارة مفتاح إدارة الخدمات الرئيسية (KMS). يمكنك تبديل المفتاح المستخدَم في تشفير البيانات غير النشطة في قاعدة بيانات Cloud Firestore وإيقافه وتدميره.
- الأداء: لا يؤثّر CMEK في Cloud Firestore اتفاقية مستوى الخدمة.
- إمكانية التدقيق: في حال تفعيل تسجيل التدقيق في Cloud KMS، يتم تسجيل جميع العمليات التي تم إجراؤها على المفتاح ويمكن الاطّلاع عليها في Cloud Logging.
- قيود سياسة المؤسسة: يمكنك استخدام قيود سياسة المؤسسة في إدارة مفاتيح التشفير المشترَكة (CMEK) لتحديد متطلبات الامتثال لتشفير قواعد بيانات Cloud Firestore في مؤسستك.
الأسعار
تحصّل خدمة Cloud KMS رسومًا مقابل تكلفة المفتاح وأي عمليات تشفير تتم باستخدام هذا المفتاح. لمزيد من المعلومات، يُرجى الاطّلاع على أسعار Cloud KMS.
يتم تحصيل رسوم منك مقابل تكاليف العملية عندما تطلب Cloud Firestore من مفتاح Cloud KMS تنفيذ عملية تشفير أو فك تشفير. تحدث عملية التشفير/فك التشفير باستخدام المفتاح الذي يديره العميل كل 5 دقائق ولا تتم مزامنتها مع طلبات قاعدة البيانات. تكون التكاليف منخفضة بشكل عام، نظرًا لعدد العمليات التشفيرية المتوقّع الذي ينشئه Cloud Firestore. تُعدّ تكاليف "سجلّات تدقيق السحابة الإلكترونية" نفقات إضافية، ولكن من المتوقّع أيضًا أن تكون منخفضة بشكل عام، نظرًا لعدد العمليات المشفّرة المتوقّع.
ما مِن تكاليف إضافية Cloud Firestore مقابل استخدام قاعدة بيانات محمية بتقنية "إدارة مفاتيح التشفير من جهة العميل"، ويستمر تطبيق أسعار Cloud Firestore.
في حال إبطال مفتاحك الخاص بقاعدة بيانات، سيتم تحصيل تكلفة التخزين استنادًا إلى حجم آخر يوم كان المفتاح متاحًا فيه. وسيستمر تحمُّلك لتكلفة التخزين بمقدار حجم قاعدة البيانات هذا إلى أن يتم حذف قاعدة البيانات أو يصبح المفتاح متاحًا مرة أخرى.
العناصر المحمية باستخدام مفاتيح التشفير المُدارة للعميل (CMEK)
عند إنشاء Cloud Firestore قاعدة بيانات محمية بميزة "إدارة مفاتيح التشفير من جهة العميل"، يتم استخدام مفتاح Cloud KMS لحماية البيانات غير النشطة. ويشمل ذلك البيانات التي تخزّنها على قرص أو محرك أقراص فلاش، بما في ذلك الفهارس والنُسخ الاحتياطية. تنطبق بعض الاستثناءات. يتم تشفير أنواع البيانات التالية باستخدام ميزة التشفير التلقائي من Google وليس باستخدام مفتاح CMEK:
- البيانات أثناء نقلها أو في الذاكرة
- البيانات الوصفية لقاعدة البيانات
كيفية التعامل مع حالة المفتاح غير المتاح
لا يتم تنفيذ عمليات التشفير وفك التشفير عند كل طلب بيانات. بدلاً من ذلك، يُجري نظام Cloud Firestore استطلاعات في Cloud KMS كل 5 دقائق للتحقّق مما إذا كان المفتاح لا يزال متاحًا، ثم يُجري عمليات التشفير وفك التشفير إذا كان المفتاح متاحًا.
إذا رصد النظام أنّ المفتاح غير متاح، ستؤدي أي طلبات لاحقة إلى قاعدة بيانات Cloud Firestore،
بما في ذلك عمليات القراءة والكتابة وطلبات البحث، إلى عرض خطأ FAILED_PRECONDITION مع
رسالة The customer-managed encryption key required by the requested
resource is not accessible في غضون 10 دقائق.
إذا كانت قاعدة البيانات تتضمّن سياسات مدة البقاء (TTL)، وإذا تجاوزت أيّ أوقات انتهاء صلاحية عندما يكون المفتاح غير متاح، سيتم تأخير حذف البيانات باستخدام مدة البقاء إلى أن تتم إعادة المفتاح. إذا كانت قاعدة بياناتك تُجري عمليات طويلة الأمد، ستتأثر على النحو التالي:
- ستتوقف عمليات استيراد البيانات أو تصديرها عن تسجيل أي
تقدّم، وستتم وضع علامة عليها
Failed. لن تتم محاولة تنفيذ العمليات التي تعذّر إكمالها مجددًا في حال إعادة عرض المفتاح. - ستتوقف عمليات إنشاء الفهرس وعمليات تفعيل ملفّات سياسة TTL الجديدة عن تحقيق أي تقدّم. سيتم إعادة محاولة العمليات المتوقفة في حال إعادة المفتاح.
تُعتبر المفاتيح غير متاحة في أيّ حالة تمنع عمدًا Cloud Firestore من الوصول إلى المفتاح. ويشمل ذلك ما يلي:
- إيقاف أو محو إصدار المفتاح قيد الاستخدام يجب توخّي الحذر عند إتلاف إصدار مفتاح، لأنّ ذلك قد يؤدي إلى فقدان البيانات بشكل نهائي.
- إزالة الإذن بالوصول إلى المفتاح من حساب الخدمة Cloud Firestore
في حال إعادة المفتاح، ترصد عملية الاستطلاع أنّ المفتاح متاح مرة أخرى. تتم إعادة تفعيل إمكانية الوصول عادةً خلال دقائق، ولكن قد يستغرق ذلك ما يصل إلى بضع ساعات في حالات نادرة. يُرجى العِلم أنّ بعض العمليات على مفاتيح Cloud KMS، مثل إيقاف مفتاح أو إتلافه، قد تستغرق ما يصل إلى 3 ساعات للنشر. لا يرصد Cloud Firestore أي تغييرات إلا بعد أن تصبح سارية في Cloud KMS.
تتضمن إعادة منح مفتاح الاعتماد ما يلي، استنادًا إلى الحالة:
- إعادة تفعيل إصدار مفتاح تم إيقافه
- استعادة نسخة مفتاح تم إتلافها قبل إتلاف نسخة المفتاح نهائيًا، يتم تحديد موعد لمحاولة إتلافها. لا يمكنك استعادة مفتاح إلا خلال الفترة التي تم تحديد موعد لتدمير إصدار المفتاح فيها. لا يمكنك استعادة مفتاح سبق أن تم إتلافه نهائيًا.
- إعادة منح موظّف خدمة Cloud Firestore الإذن بالوصول إلى المفتاح
اعتبارات تغيير المفاتيح بالتناوب
عند تبديل مفتاح CMEK، يعيد Cloud Firestore تشفير قاعدة البيانات باستخدام أحدث إصدار أساسي من مفتاح CMEK. أثناء عملية إعادة التشفير، يجب إبقاء نسخة المفتاح القديمة والجديدة متاحة. بعد اكتمال عملية إعادة التشفير، لن يؤدي إيقاف الإصدارات القديمة من مفتاح CMEK أو حذفها إلى إيقاف الوصول إلى قاعدة البيانات لأنّها مشفَّرة باستخدام الإصدار الجديد من المفتاح الأساسي.
يمكنك أيضًا عرض نُسخ المفاتيح التي يتم استخدامها لحماية قاعدة بيانات. لمزيد من المعلومات، يُرجى الاطّلاع على مقالة عرض المفتاح المستخدَم.
اعتبارات المفتاح الخارجي
عند استخدام مفتاح Cloud EKM، لا تتحكّم Google في مدى توفّر المفتاح المُدار خارجيًا في نظام شريك إدارة المفاتيح الخارجي.
في حال عدم توفّر مفتاح مُدار خارجيًا، يواصل Cloud Firestore إتاحة عمليات قاعدة البيانات الكاملة على أساس أقصى جهد لمدة تصل إلى ساعة واحدة.
بعد ساعة، إذا لم يتمكن Cloud Firestore من الاتصال بخدمات Cloud KMS، يبدأ Cloud Firestore في إيقاف قاعدة البيانات بلا اتصال بالإنترنت كإجراء وقائي. ستتعذّر عمليات الاتصال بقاعدة البيانات وستظهر رسالة خطأ FAILED_PRECONDITION
تتضمّن تفاصيل إضافية.
اطّلِع على مستندات Cloud External Key Manager للحصول على مزيد من المعلومات عن استخدام مفاتيح التشفير الخارجية.
الاحتفاظ بنسخة احتياطية والاستعادة
تستخدم النسخة الاحتياطية آلية التشفير نفسها المستخدَمة في قاعدة البيانات التي تم إنشاؤها منها. عندما تنشئ قاعدة بيانات Cloud Firestore محمية بإدارة مفاتيح التشفير من جهة العميل (CMK) نسخة احتياطية، فإنّها تُشفّر النسخة الاحتياطية باستخدام إصدار المفتاح الأساسي المستخدَم في وقت إنشاء النسخة الاحتياطية.
Cloud Firestore ينشئ أول نسخة احتياطية من قاعدة بيانات CMEK بعد مرور 24 ساعة من لحظة تفعيل جداول النسخ الاحتياطي.
لمزيد من المعلومات حول Cloud Firestoreالنُسخ الاحتياطية، يُرجى الاطّلاع على مقالة الاحتفاظ بنسخة احتياطية من البيانات واستعادتها.
تستخدم قاعدة البيانات التي تم استعادتها من نسخة احتياطية آلية التشفير نفسها المُستخدَمة في النسخة الاحتياطية تلقائيًا. عند استعادة قاعدة بيانات، يمكنك تحديد نوع مختلف للتشفير بإحدى الطريقتَين التاليتَين:
- استعادة البيانات إلى قاعدة بيانات مفاتيح التشفير المُدارة للعميل باستخدام مفتاح محدّد حديثًا
- استعادة البيانات إلى قاعدة بيانات لا تستخدم "مفتاح التشفير من جهة العميل" (CMEK) وتستخدم التشفير التلقائي من Google
- استعادة البيانات إلى قاعدة بيانات تستخدم التشفير نفسه المستخدَم في النسخة الاحتياطية
لمزيد من المعلومات عن استعادة قاعدة بيانات Cloud Firestore من ملف احتياطي، يُرجى الاطّلاع على مقالة استعادة البيانات من نسخة احتياطية من قاعدة بيانات. لمزيد من المعلومات حول استعادة قاعدة بيانات Cloud Firestore محمية بمفاتيح التشفير التي يديرها العميل (CMEK) من نسخة احتياطية، يُرجى الاطّلاع على مقالة استعادة قاعدة بيانات محمية بمفاتيح التشفير التي يديرها العميل (CMEK).
تتبُّع المفاتيح
يمكنك استخدام ميزة تتبُّع المفاتيح لعرض الموارد التي يحميها مفتاح معيّن، مثل Cloud Firestore قواعد البيانات. لمزيد من المعلومات عن تتبُّع المفاتيح، اطّلِع على مقالة عرض استخدام المفتاح.
مفتاح CMEK ومدى توفّره
عندما تكون المفاتيح غير متاحة أو غير مفعّلة، انتبه إلى السلوكيات التالية التي يمكن أن تحدث في قواعد البيانات المفعّلة فيها ميزة "إدارة مفاتيح التشفير من جهة العميل":
- يمكنك تغيير إعدادات Cloud Firestore استرداد نقطة في الوقت (PITR) في قاعدة بيانات مفعَّل فيها "مفتاح إدارة التشفير من جهة العميل" (CMK) حتى إذا لم يكن المفتاح متاحًا لأنّ إعدادات PITR هي بيانات وصفية لقاعدة البيانات لا يتم تشفيرها باستخدام "مفتاح إدارة التشفير من جهة العميل".
- يمكنك حذف قاعدة بيانات CMEK تحتوي على مفاتيح غير متاحة.
- عند إنشاء قاعدة بيانات مفعَّل فيها "مفتاح إدارة التشفير"، لا تظهر المفاتيح غير مفعَّلة في قائمة المفاتيح المتاحة في Google Cloud Console. في حال إدخال مفتاح غير مفعّل يدويًا، ستتعذّر عملية إنشاء قاعدة البيانات مع ظهور الخطأ
FAILED_PRECONDITION400.
القيود
- لا يمكنك تغيير مفتاح لقاعدة بيانات محمية بتشفير مفتاح الجلسة المشترك. يمكنك تدوير المفاتيح وتفعيلها وإيقافها.
- لا تتيح قواعد البيانات المحمية بتشفير مفتاح الجلسة المشترك (CMK) استخدام أداة Key Visualizer إلا لبيانات العناصر والوثائق، وليس لبيانات الفهرس.
- لا يمكنك تفعيل ميزة "إدارة مفاتيح التشفير من جهة العميل" في قواعد البيانات الحالية. لا يمكنك تفعيل ميزة "إدارة مفاتيح التشفير من جهة العميل" إلا في قواعد بيانات جديدة، ويجب تفعيلها عند إنشاء قاعدة البيانات. لنقل data في قاعدة بيانات حالية غير محمية بميزة "التشفير من جهة العميل" إلى قاعدة بيانات محمية بميزة "التشفير من جهة العميل"، تصدِّر data ثم استورِدها إلى قاعدة بيانات جديدة محمية بميزة "التشفير من جهة العميل". يمكنك أيضًا استعادة البيانات من قاعدة بيانات غير تستخدم مفاتيح التشفير المُدارة للعميل (CMEK) إلى قاعدة بيانات تستخدم هذه المفاتيح.
- Cloud Firestore يتيح استخدام عدد محدود من قواعد البيانات المحمية بميزة "التشفير من جهة العميل".
- لا نوفّر حماية CMEK مع دمج Cloud Functions (الجيل الأول). إذا كنت تريد الحصول على حماية CMEK، استخدِم Cloud Run دوال "عوامل تشغيل Firestore" (الجيل الثاني).