Khoá mã hoá do khách hàng quản lý (CMEK)

Theo mặc định, tất cả dữ liệu tĩnh trong Cloud Firestore đều được mã hoá bằng quy trình mã hoá mặc định của Google. Cloud Firestore xử lý và quản lý quy trình mã hoá này cho bạn mà không cần bạn thực hiện thêm bất kỳ thao tác nào.

Nếu có các yêu cầu cụ thể về việc tuân thủ hoặc quy định liên quan đến các khoá bảo vệ dữ liệu, bạn có thể sử dụng khoá mã hoá do khách hàng quản lý (CMEK) cho Cloud Firestore. Thay vì Google quản lý các khoá mã hoá bảo vệ dữ liệu của bạn, cơ sở dữ liệu Cloud Firestore sẽ được bảo vệ bằng một khoá mà bạn kiểm soát và quản lý trong Cloud Key Management Service (Cloud KMS).

Trang này mô tả CMEK cho Cloud Firestore. Để biết thêm thông tin về CMEK nói chung, bao gồm cả thời điểm và lý do bật CMEK, hãy xem tài liệu Cloud KMS sau:

• Khoá mã hoá do khách hàng quản lý (CMEK)
• Các phương pháp hay nhất để sử dụng CMEK

Để biết hướng dẫn về cách thực hiện các tác vụ liên quan đến CMEK bằng Cloud Firestore, hãy xem bài viết Sử dụng CMEK.

Tính năng

• Kiểm soát dữ liệu: CMEK cho phép bạn quản lý khoá KMS. Bạn có thể xoay vòng, vô hiệu hoá và huỷ khoá dùng để mã hoá dữ liệu tĩnh trong cơ sở dữ liệu Cloud Firestore.
• Hiệu suất: CMEK không ảnh hưởng đến Cloud Firestore SLA.
• Khả năng kiểm tra: Nếu bạn bật tính năng ghi nhật ký kiểm tra cho Cloud KMS, thì tất cả các thao tác trên khoá sẽ được ghi nhật ký và có thể xem được trong Cloud Logging.
• Các ràng buộc về chính sách tổ chức: Bạn có thể sử dụng các ràng buộc về chính sách tổ chức CMEK để chỉ định các yêu cầu về việc tuân thủ quy trình mã hoá đối với cơ sở dữ liệuCloud Firestore trong tổ chức của mình.

Giá

Cloud KMS tính phí cho chi phí của khoá và mọi thao tác mã hoá được thực hiện bằng khoá đó. Để biết thêm thông tin, hãy xem phần Giá của Cloud KMS.

Bạn sẽ bị tính phí cho chi phí hoạt động khi Cloud Firestore yêu cầu khoá Cloud KMS thực hiện thao tác mã hoá hoặc giải mã. Thao tác mã hoá/giải mã bằng khoá do khách hàng quản lý diễn ra 5 phút một lần và không được đồng bộ hoá với các yêu cầu về cơ sở dữ liệu. Chi phí thường thấp, dựa trên số lượng thao tác mã hoá dự kiến do Cloud Firestore tạo. Chi phí cho Nhật ký kiểm tra Cloud là một khoản chi phí bổ sung, nhưng cũng dự kiến sẽ thường thấp, dựa trên số lượng thao tác mã hoá dự kiến.

Không có chi phí bổ sung nào cho Cloud Firestore khi sử dụng cơ sở dữ liệu được bảo vệ bằng CMEK và giá của Cloud Firestorevẫn được áp dụng.

Nếu bạn thu hồi khoá đối với một cơ sở dữ liệu, thì chi phí lưu trữ sẽ được tính dựa trên kích thước của ngày cuối cùng mà khoá đó có sẵn. Bạn sẽ tiếp tục chịu chi phí lưu trữ ở kích thước cơ sở dữ liệu đó cho đến khi cơ sở dữ liệu bị xoá hoặc khoá trở lại trạng thái có sẵn.

Những nội dung được bảo vệ bằng CMEK

Khi bạn tạo cơ sở dữ liệu được bảo vệ bằng CMEK Cloud Firestore, khoá Cloud KMS của bạn sẽ được dùng để bảo vệ dữ liệu tĩnh. Điều này bao gồm dữ liệu mà bạn lưu trữ trên đĩa hoặc ổ đĩa flash, bao gồm cả chỉ mục và bản sao lưu. Một số trường hợp ngoại lệ được áp dụng. Các loại dữ liệu sau đây được mã hoá bằng quy trình mã hoá mặc định của Google chứ không phải bằng khoá CMEK:

• Dữ liệu đang truyền hoặc trong bộ nhớ
• Siêu dữ liệu cơ sở dữ liệu

Cách xử lý trạng thái khoá không có sẵn

Các thao tác mã hoá và giải mã không được phát hành trên mọi yêu cầu dữ liệu. Thay vào đó, hệ thống Cloud Firestore sẽ thăm dò Cloud KMS 5 phút một lần để kiểm tra xem khoá có còn hay không, sau đó thực hiện các thao tác mã hoá và giải mã nếu khoá có sẵn.

Nếu hệ thống phát hiện thấy khoá không có sẵn, thì trong vòng 10 phút, mọi lệnh gọi tiếp theo đến cơ sở dữ liệu Cloud Firestore, bao gồm cả các lệnh đọc, ghi và truy vấn, sẽ trả về lỗi FAILED_PRECONDITION kèm theo thông báo The customer-managed encryption key required by the requested resource is not accessible.

Nếu cơ sở dữ liệu có chính sách thời gian tồn tại (TTL) và nếu bất kỳ thời gian hết hạn nào bị vượt quá trong khi khoá không có sẵn, việc xoá dữ liệu theo TTL sẽ bị trì hoãn cho đến khi khoá được khôi phục. Nếu cơ sở dữ liệu có các thao tác đang diễn ra trong thời gian dài, thì các thao tác đó sẽ bị ảnh hưởng như sau:

• Các thao tác nhập hoặc xuất dữ liệu sẽ ngừng tiến trình và được đánh dấu là Failed. Các thao tác không thành công sẽ không được thử lại nếu khoá được khôi phục.
• Các thao tác xây dựng chỉ mục và các thao tác bật chính sách TTL mới sẽ ngừng tiến trình. Các thao tác đã dừng sẽ được thử lại nếu khoá được khôi phục.

Khoá được coi là không có sẵn trong mọi trường hợp cố ý không cho phép Cloud Firestore truy cập vào khoá. Chẳng hạn như:

• Vô hiệu hoá hoặc huỷ phiên bản khoá đang sử dụng. Hãy cẩn thận khi huỷ phiên bản khoá, vì thao tác này có thể gây mất dữ liệu không thể khôi phục.
• Xoá quyền truy cập vào khoá khỏi tài khoản dịch vụ Cloud Firestore.

Nếu khoá được khôi phục, thì thao tác thăm dò sẽ phát hiện thấy khoá đã có sẵn trở lại. Quyền truy cập sẽ được bật lại, thường là trong vòng vài phút, nhưng trong một số trường hợp hiếm gặp, có thể mất đến vài giờ. Xin lưu ý rằng một số thao tác trên khoá Cloud KMS, chẳng hạn như vô hiệu hoá hoặc huỷ khoá, có thể mất đến 3 giờ để truyền tải. Cloud Firestore không phát hiện thấy bất kỳ thay đổi nào cho đến khi các thay đổi đó có hiệu lực trong Cloud KMS.

Việc khôi phục khoá bao gồm những thao tác sau, tuỳ thuộc vào tình huống:

• Bật lại phiên bản khoá đã vô hiệu hoá.
• Khôi phục phiên bản khoá đã huỷ. Trước khi bị huỷ vĩnh viễn, phiên bản khoá sẽ được lên lịch huỷ. Bạn chỉ có thể khôi phục khoá trong khoảng thời gian phiên bản khoá được lên lịch huỷ. Bạn không thể khôi phục khoá đã bị huỷ vĩnh viễn.
• Cấp lại quyền truy cập vào khoá cho tác nhân dịch vụ Cloud Firestore.

Những điểm cần cân nhắc khi xoay vòng khoá

Khi bạn xoay vòng khoá CMEK, Cloud Firestore sẽ mã hoá lại cơ sở dữ liệu bằng phiên bản chính mới nhất của khoá CMEK. Trong quá trình mã hoá lại, hãy giữ cho cả phiên bản khoá cũ và mới đều có sẵn. Sau khi quá trình mã hoá lại hoàn tất, việc vô hiệu hoá hoặc xoá các phiên bản cũ của khoá CMEK sẽ không vô hiệu hoá quyền truy cập vào cơ sở dữ liệu vì cơ sở dữ liệu đó được mã hoá bằng phiên bản khoá chính mới.

Bạn cũng có thể xem các phiên bản khoá đang được dùng để bảo vệ cơ sở dữ liệu. Để biết thêm thông tin, hãy xem bài viết Xem khoá đang sử dụng.

Những điểm cần cân nhắc về khoá bên ngoài

Khi bạn sử dụng khoá Cloud EKM, Google không có quyền kiểm soát tính khả dụng của khoá do bạn quản lý bên ngoài trong hệ thống đối tác quản lý khoá bên ngoài.

Nếu khoá do bạn quản lý bên ngoài không có sẵn, Cloud Firestore sẽ tiếp tục hỗ trợ đầy đủ các thao tác trên cơ sở dữ liệu dựa trên nỗ lực tốt nhất trong tối đa một giờ.

Sau một giờ, nếu Cloud Firestore vẫn không thể kết nối với Cloud KMS, Cloud Firestore sẽ bắt đầu chuyển cơ sở dữ liệu sang chế độ ngoại tuyến như một biện pháp bảo vệ. Các lệnh gọi đến cơ sở dữ liệu sẽ không thành công và trả về lỗi FAILED_PRECONDITION kèm theo thông tin chi tiết bổ sung.

Hãy xem tài liệu Cloud External Key Manager để biết thêm thông tin về cách sử dụng khoá bên ngoài.

Sao lưu và khôi phục

Bản sao lưu sử dụng cùng cơ chế mã hoá như cơ sở dữ liệu mà bạn tạo bản sao lưu. Khi cơ sở dữ liệu Cloud Firestore được bảo vệ bằng CMEK tạo bản sao lưu, cơ sở dữ liệu đó sẽ mã hoá bản sao lưu bằng phiên bản khoá chính được dùng tại thời điểm tạo bản sao lưu.

Cloud Firestore tạo bản sao lưu đầu tiên của cơ sở dữ liệu CMEK sau 24 giờ kể từ thời điểm bạn bật lịch sao lưu.

Để biết thêm thông tin về bản sao lưu Cloud Firestore, hãy xem bài viết Sao lưu và khôi phục dữ liệu.

Theo mặc định, cơ sở dữ liệu được khôi phục từ bản sao lưu sẽ sử dụng cùng cơ chế mã hoá như bản sao lưu. Khi khôi phục cơ sở dữ liệu, bạn có thể chỉ định một loại mã hoá khác theo một trong những cách sau:

• Khôi phục vào cơ sở dữ liệu CMEK bằng khoá mới được chỉ định.
• Khôi phục vào cơ sở dữ liệu không phải CMEK sử dụng quy trình mã hoá mặc định của Google.
• Khôi phục vào cơ sở dữ liệu sử dụng cùng quy trình mã hoá như bản sao lưu.

Để biết thêm thông tin về cách khôi phục cơ sở dữ liệu Cloud Firestore từ bản sao lưu, hãy xem bài viết Khôi phục dữ liệu từ bản sao lưu cơ sở dữ liệu. Để biết thêm thông tin về cách khôi phục cơ sở dữ liệuCloud Firestore Cloud Firestore được bảo vệ bằng CMEK từ bản sao lưu, hãy xem bài viết Khôi phục cơ sở dữ liệu được bảo vệ bằng CMEK.

Sao chép

Theo mặc định, cơ sở dữ liệu được sao chép từ một cơ sở dữ liệu khác sẽ sử dụng cùng cơ chế mã hoá như cơ sở dữ liệu nguồn. Khi sao chép cơ sở dữ liệu, bạn có thể chỉ định một loại mã hoá khác theo một trong những cách sau:

• Sao chép vào cơ sở dữ liệu CMEK bằng khoá mới được chỉ định.
• Sao chép vào cơ sở dữ liệu không phải CMEK sử dụng quy trình mã hoá mặc định của Google.
• (Mặc định) Sao chép vào cơ sở dữ liệu sử dụng cùng quy trình mã hoá như cơ sở dữ liệu nguồn.

Để biết thêm thông tin về cách sao chép cơ sở dữ liệu Cloud Firestore, hãy xem Sao chép cơ sở dữ liệu. Để biết thêm thông tin về cách sao chép cơ sở dữ liệu Cloud Firestore được bảo vệ bằng CMEK, hãy xem bài viết Sao chép cơ sở dữ liệu được bảo vệ bằng CMEK.

Theo dõi khoá

Bạn có thể sử dụng tính năng theo dõi khoá để xem các tài nguyên, chẳng hạn như Cloud Firestore cơ sở dữ liệu, mà một khoá bảo vệ. Để biết thêm thông tin về tính năng theo dõi khoá, hãy xem bài viết Xem mức sử dụng khoá.

CMEK và tính khả dụng của khoá

Khi khoá không có sẵn hoặc bị vô hiệu hoá, hãy lưu ý đến những hành vi sau đây có thể xảy ra trong cơ sở dữ liệu đã bật CMEK:

• Bạn có thể thay đổi chế độ cài đặt khôi phục theo thời điểm (PITR) Cloud Firestore trên cơ sở dữ liệu đã bật CMEK ngay cả khi khoá không có sẵn, vì chế độ cài đặt PITR là siêu dữ liệu cơ sở dữ liệu và không được CMEK mã hoá.
• Bạn có thể xoá cơ sở dữ liệu CMEK có khoá không có sẵn.
• Khi bạn tạo cơ sở dữ liệu đã bật CMEK, các khoá đã vô hiệu hoá sẽ không xuất hiện trên danh sách các khoá có sẵn trong bảng điều khiển Cloud. Nếu bạn nhập khoá đã vô hiệu hoá theo cách thủ công, thì quá trình tạo cơ sở dữ liệu sẽ không thành công và trả về lỗi FAILED_PRECONDITION 400.

Hạn chế

• Bạn không thể thay đổi khoá cho cơ sở dữ liệu được bảo vệ bằng CMEK. Bạn có thể xoay vòng, bật và tắt khoá.
• Cơ sở dữ liệu được bảo vệ bằng CMEK chỉ hỗ trợ Key Visualizer cho dữ liệu thực thể và tài liệu, không hỗ trợ dữ liệu chỉ mục.
• Bạn không thể bật CMEK trên cơ sở dữ liệu hiện có. Bạn chỉ có thể bật CMEK trên cơ sở dữ liệu mới và phải bật CMEK khi tạo cơ sở dữ liệu. Để di chuyển dữ liệu trong cơ sở dữ liệu không phải CMEK hiện có sang cơ sở dữ liệu được bảo vệ bằng CMEK, hãy xuất dữ liệu rồi nhập dữ liệu vào cơ sở dữ liệu mới được bảo vệ bằng CMEK. Bạn cũng có thể khôi phục hoặc sao chép dữ liệu từ cơ sở dữ liệu không phải CMEK sang cơ sở dữ liệu CMEK.
• Cloud Firestore hỗ trợ một số lượng cơ sở dữ liệu được bảo vệ bằng CMEK có giới hạn.
• Chúng tôi không hỗ trợ tính năng bảo vệ CMEK khi tích hợp Cloud Functions (thế hệ thứ 1). Nếu bạn muốn có tính năng bảo vệ CMEK, hãy sử dụng Cloud Run functions Firestore Triggers (thế hệ thứ 2).

Cách dữ liệu có thể rời khỏi cơ sở dữ liệu được bảo vệ bằng CMEK

• Dữ liệu do ứng dụng của bạn sao chép có thể được người dùng lưu trữ theo những cách tuỳ ý. Bạn cần có các biện pháp kiểm soát bảo mật thích hợp cho mọi ứng dụng truy cập vào dữ liệu Cloud Firestore để đảm bảo rằng chỉ những người có quyền thích hợp mới có thể truy cập vào dữ liệu đó. Hãy xem quy tắc bảo mật và IAM để biết thêm thông tin chi tiết.

• Bạn có thể di chuyển dữ liệu từ cơ sở dữ liệu được bảo vệ bằng CMEK sang cơ sở dữ liệu không phải CMEK bằng cách sử dụng Sao lưu và khôi phục, Sao chép hoặc Nhập và xuất. Sử dụng các biện pháp kiểm soát IAM thích hợp để chỉ cấp quyền cho những thao tác này cho người dùng được uỷ quyền. Ngoài ra, bạn có thể sử dụng các ràng buộc về chính sách tổ chức CMEK để yêu cầu rằng mọi cơ sở dữ liệu được tạo bằng tính năng khôi phục hoặc sao chép và mọi vùng chứa Cloud Storage được dùng cho tính năng Nhập đều được bảo vệ bằng CMEK.

Bước tiếp theo

• Tìm hiểu cách sử dụng CMEK với Cloud Firestore.