现已推出具有 MongoDB 兼容性的 Firestore 企业版！了解详情。

تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

مفاتيح التشفير المُدارة من العميل (CMEK)

يتم تلقائيًا تشفير جميع البيانات غير النشطة في Cloud Firestore المتوافق مع MongoDB باستخدام التشفير التلقائي من Google. تتولّى خدمة Cloud Firestore المتوافقة مع MongoDB عملية التشفير هذه وإدارتها نيابةً عنك بدون الحاجة إلى اتّخاذ أي إجراء إضافي من جانبك.

إذا كانت لديك متطلبات امتثال أو تنظيمية معيّنة متعلقة بالمفاتيح التي تحمي بياناتك، يمكنك استخدام مفاتيح التشفير التي يديرها العميل (CMEK) في Cloud Firestore المتوافق مع MongoDB. بدلاً من أن تدير Google مفاتيح التشفير التي تحمي بياناتك، تتم حماية قاعدة بيانات Cloud Firestore المتوافقة مع MongoDB باستخدام مفتاح يمكنك التحكّم فيه وإدارته في Cloud Key Management Service (Cloud KMS).

توضّح هذه الصفحة ميزة "إدارة المفاتيح من قِبل العميل" في Cloud Firestore المتوافق مع MongoDB. لمزيد من المعلومات حول مفاتيح التشفير المُدارة من العميل (CMEK) بشكل عام، بما في ذلك الحالات التي يجب فيها تفعيلها وأسباب ذلك، يمكنك الاطّلاع على مستندات Cloud KMS التالية:

للحصول على تعليمات حول تنفيذ المهام المتعلّقة بمفاتيح التشفير التي يديرها العميل (CMEK) باستخدام Cloud Firestore المتوافق مع MongoDB، يُرجى الاطّلاع على استخدام مفاتيح التشفير التي يديرها العميل.

الميزات

التحكّم في البيانات: تتيح لك مفاتيح التشفير التي يديرها العميل (CMEK) إدارة مفتاح KMS. يمكنك تدوير المفتاح المستخدَم لتشفير البيانات الساكنة في قاعدة بيانات Cloud Firestore المتوافقة مع MongoDB أو إيقافه أو إتلافه.
الأداء: لا تؤثر مفاتيح CMEK في Cloud Firestore اتفاقية مستوى الخدمة.
إمكانية التدقيق: في حال تفعيل سجلّ التدقيق في Cloud KMS، يتم تسجيل جميع العمليات التي يتم إجراؤها على المفتاح ويمكن الاطّلاع عليها في Cloud Logging.
قيود سياسة المؤسسة: يمكنك استخدام قيود سياسة المؤسسة الخاصة بإدارة المفاتيح من قِبل العميل (CMEK) لتحديد متطلبات امتثال التشفير لقواعد بيانات Cloud Firestore المتوافقة مع MongoDB في مؤسستك.

الأسعار

تفرض خدمة Cloud KMS رسومًا على تكلفة المفتاح وأي عمليات تشفير يتم إجراؤها باستخدام هذا المفتاح. لمزيد من المعلومات، اطّلِع على أسعار Cloud KMS.

تتم فوترة تكاليف العمليات عندما تطلب خدمة Cloud Firestore المتوافقة مع MongoDB من مفتاح Cloud KMS تنفيذ عملية تشفير أو فك تشفير. تحدث عملية التشفير أو فك التشفير باستخدام المفتاح المُدار من قِبل العميل كل 5 دقائق، ولا تتم مزامنتها مع طلبات قاعدة البيانات. تكون التكاليف منخفضة بشكل عام، نظرًا إلى العدد المتوقّع من عمليات التشفير التي تنشئها Cloud Firestore مع توافق MongoDB. تُعد تكاليف سجلّات التدقيق في Cloud نفقات إضافية، ولكن من المتوقّع أن تكون منخفضة بشكل عام، وذلك بالنظر إلى العدد المتوقّع من عمليات التشفير.

لا تتوفّر أي تكاليف إضافية مقابل استخدام قاعدة بيانات محمية باستخدام مفتاح التشفير المُدارة من العميل (CMEK) في Cloud Firestore المتوافق مع MongoDB، وسيظل سعر Cloud Firestore المتوافق مع MongoDB ساريًا.

في حال إبطال مفتاح الوصول إلى قاعدة بيانات، سيتم تحصيل تكلفة التخزين استنادًا إلى حجم البيانات في آخر يوم كان المفتاح متاحًا. ستستمر في تكبُّد تكاليف التخزين بحجم قاعدة البيانات هذا إلى أن يتم حذف قاعدة البيانات أو يصبح المفتاح متاحًا مرة أخرى.

ما هي البيانات المحمية باستخدام مفاتيح التشفير المُدارة للعميل؟

عند إنشاء قاعدة بيانات متوافقة مع MongoDB ومحمية باستخدام مفتاح التشفير المُدارة من العميل (CMEK) في Cloud Firestore، يتم استخدام مفتاح Cloud KMS لحماية البيانات غير النشطة. ويشمل ذلك البيانات التي تخزِّنها على قرص أو محرك أقراص فلاش، بما في ذلك الفهارس والنسخ الاحتياطية. تسري بعض الاستثناءات. يتم تشفير أنواع البيانات التالية باستخدام التشفير التلقائي من Google وليس باستخدام مفتاح CMEK:

البيانات أثناء نقلها أو في الذاكرة
البيانات الوصفية لقاعدة البيانات

كيفية التعامل مع حالة المفتاح غير المتاح

لا يتم إصدار عمليات التشفير وفك التشفير في كل طلب بيانات. بدلاً من ذلك، يطلب نظام Cloud Firestore المتوافق مع MongoDB بيانات من Cloud KMS كل 5 دقائق للتحقّق مما إذا كان المفتاح لا يزال متاحًا، ثم ينفّذ عمليات التشفير وفك التشفير إذا كان المفتاح متاحًا.

إذا رصد النظام أنّ المفتاح غير متاح، ستعرض أي طلبات لاحقة إلى Cloud Firestore مع قاعدة بيانات متوافقة مع MongoDB، بما في ذلك عمليات القراءة والكتابة والاستعلامات، الخطأ INVALID_ARGUMENT مع الرسالة التالية في غضون 10 دقائق:

The customer-managed encryption key required by the requested
resource is not accessible.

إذا كانت قاعدة البيانات تتضمّن سياسات مدة البقاء (TTL)، وتم تجاوز أي أوقات انتهاء صلاحية أثناء عدم توفّر المفتاح، سيتم تأخير حذف البيانات حسب مدة البقاء إلى حين إعادة المفتاح. إذا كانت قاعدة البيانات تتضمّن عمليات طويلة الأمد قيد التقدّم، ستتأثر هذه العمليات على النحو التالي:

ستتوقّف عمليات إنشاء الفهرس والعمليات التي تفعّل سياسات جديدة بشأن مدة البقاء عن إحراز أي تقدّم. ستتم إعادة محاولة تنفيذ العمليات المتوقفة إذا تمت إعادة مفتاح التشفير.

تُعتبر المفاتيح غير متاحة في أي حالة تحظر عمدًا وصول Cloud Firestore المتوافق مع MongoDB إلى المفتاح. ويشمل ذلك ما يلي:

إيقاف أو إتلاف إصدار المفتاح المستخدَم يجب توخّي الحذر عند إتلاف إصدار مفتاح، لأنّ هذا الإجراء قد يؤدي إلى فقدان بيانات لا يمكن استردادها.
إزالة الإذن بالوصول إلى المفتاح من حساب الخدمة المتوافق مع Cloud Firestore وMongoDB

في حال إعادة المفتاح، يرصد إجراء الاستطلاع أنّ المفتاح أصبح متاحًا مرة أخرى. تتم إعادة تفعيل إمكانية الوصول عادةً خلال دقائق، ولكن قد تستغرق بضع ساعات في حالات نادرة. يُرجى العِلم أنّ بعض العمليات على مفاتيح Cloud KMS، مثل إيقاف مفتاح أو إتلافه، قد تستغرق مدة تصل إلى 3 ساعات ليتم تنفيذها. لا ترصد خدمة Cloud Firestore المتوافقة مع MongoDB أي تغييرات إلا بعد أن تصبح سارية في Cloud KMS.

تتضمّن إعادة تفعيل المفتاح ما يلي، حسب الموقف:

إعادة تفعيل نسخة مفتاح تم إيقافها
استعادة نسخة مفتاح تم إتلافها قبل إتلاف نسخة المفتاح نهائيًا، تتم جدولة إتلافها. يمكنك استعادة مفتاح فقط خلال الفترة التي من المقرر فيها إتلاف إصدار مفتاح. لا يمكنك استعادة مفتاح تم إتلافه نهائيًا.
إعادة منح إذن الوصول إلى المفتاح Cloud Firestore لوكيل الخدمة

تحذير: لا تدع مفتاحك يصبح غير متاح لمدة تزيد عن سبعة أيام. قد يتم حذف قواعد البيانات المحمية باستخدام مفاتيح التشفير المُدارة من قِبل العميل (CMEK) إذا لم تتوفّر المفاتيح لأكثر من 7 أيام. في حال عدم توفّر مفتاح، ننصحك بتفعيل عمليات النسخ الاحتياطي لقاعدة بيانات Cloud Firestore المتوافقة مع MongoDB والمزوّدة بميزة "إدارة المفاتيح من قِبل العميل"، وذلك للاحتفاظ بالبيانات لمدة تتجاوز الحد الأقصى البالغ سبعة أيام. قبل إبطال المفتاح، تأكَّد من إنشاء نسخة احتياطية، لأنّه يجب توفُّر مفتاح صالح لإنشاء نسخة احتياطية. يتم تحصيل رسوم إضافية مقابل عمليات النسخ الاحتياطي. للاطّلاع على تفاصيل الأسعار الخاصة بالنسخ الاحتياطي، يُرجى الرجوع إلى أسعار Cloud Firestore المتوافق مع MongoDB.

اعتبارات تغيير المفاتيح

عند تدوير مفتاح CMEK، تعيد خدمة Cloud Firestore المتوافقة مع MongoDB تشفير قاعدة البيانات باستخدام أحدث إصدار أساسي من مفتاح CMEK. أثناء عملية إعادة التشفير، يجب إبقاء كل من الإصدار السابق والجديد من المفتاح متاحًا. بعد انتهاء عملية إعادة التشفير، لن يؤدي إيقاف أو حذف الإصدارات السابقة من مفتاح CMEK إلى إيقاف إمكانية الوصول إلى قاعدة البيانات لأنّها مشفّرة باستخدام الإصدار الجديد من المفتاح الأساسي.

يمكنك أيضًا الاطّلاع على إصدارات المفاتيح المستخدَمة لحماية قاعدة بيانات. لمزيد من المعلومات، يُرجى الاطّلاع على مقالة عرض المفتاح المستخدَم.

اعتبارات المفتاح الخارجي

عند استخدام مفتاح Cloud EKM، لا تتحكّم Google في مدى توفّر مفتاحك المُدار خارجيًا في نظام الشريك لإدارة المفاتيح الخارجية.

في حال عدم توفّر مفتاح مُدار خارجيًا، تواصل خدمة Cloud Firestore المتوافقة مع MongoDB إتاحة عمليات قاعدة البيانات الكاملة باستخدام نسخة مخزّنة مؤقتًا من المفتاح لمدة تصل إلى ساعة واحدة.

بعد ساعة، إذا لم يتمكّن Cloud Firestore المتوافق مع MongoDB من الاتصال بخدمة Cloud KMS، سيبدأ في إيقاف قاعدة البيانات كإجراء وقائي. ستتعذّر عمليات طلب البيانات من قاعدة البيانات وسيظهر الخطأ INVALID_ARGUMENT الذي يتضمّن تفاصيل إضافية.

راجِع مستندات Cloud External Key Manager لمعرفة المزيد من الاعتبارات عند استخدام المفاتيح الخارجية.

الاحتفاظ بنسخة احتياطية والاستعادة

تستخدم النسخة الاحتياطية آلية التشفير نفسها المستخدَمة في قاعدة البيانات التي أنشأتها منها. عندما تنشئ قاعدة بيانات Cloud Firestore متوافقة مع MongoDB ومحمية باستخدام مفتاح تشفير يديره العميل (CMEK) نسخة احتياطية، يتم تشفير النسخة الاحتياطية باستخدام إصدار المفتاح الأساسي المستخدَم في وقت إنشاء النسخة الاحتياطية.

تنشئ خدمة Cloud Firestore المتوافقة مع MongoDB النسخة الاحتياطية الأولى من قاعدة بيانات CMEK بعد مرور 24 ساعة من لحظة تفعيل جداول النسخ الاحتياطي.

لمزيد من المعلومات حول عمليات الاحتفاظ بنسخ احتياطية من Cloud Firestore المتوافقة مع MongoDB واستعادتها، راجِع الاحتفاظ بنسخ احتياطية من البيانات واستعادتها.

تستخدم قاعدة البيانات التي تمّت استعادتها من نسخة احتياطية آلية التشفير نفسها المستخدَمة في النسخة الاحتياطية تلقائيًا. عند استعادة قاعدة بيانات، يمكنك تحديد نوع تشفير مختلف بإحدى الطرق التالية:

استعادة البيانات إلى قاعدة بيانات تستخدم مفاتيح التشفير المُدارة من قِبل العميل (CMEK) مع مفتاح تم تحديده حديثًا
استعادة البيانات إلى قاعدة بيانات غير مفعَّلة فيها ميزة "إدارة مفاتيح التشفير من قِبل العميل" وتستخدم التشفير التلقائي من Google
استعادة البيانات إلى قاعدة بيانات تستخدم التشفير نفسه المستخدَم في النسخة الاحتياطية

لمزيد من المعلومات حول استعادة قاعدة بيانات متوافقة مع MongoDB في Cloud Firestore من نسخة احتياطية، راجِع استعادة البيانات من نسخة احتياطية لقاعدة بيانات. لمزيد من المعلومات حول استعادة قاعدة بيانات Cloud Firestore المتوافقة مع MongoDB والمحمية باستخدام مفاتيح التشفير التي يديرها العميل من نسخة احتياطية، راجِع استعادة قاعدة بيانات محمية باستخدام مفاتيح التشفير التي يديرها العميل.

استنساخ

بشكلٍ تلقائي، تستخدم قاعدة البيانات المستنسخة من قاعدة بيانات أخرى آلية التشفير نفسها التي تستخدمها قاعدة البيانات المصدر. عند استنساخ قاعدة بيانات، يمكنك تحديد نوع تشفير مختلف بإحدى الطرق التالية:

استنساخ إلى قاعدة بيانات تستخدم مفتاح تشفير مُدارًا للعميل (CMEK) مع مفتاح تم تحديده حديثًا
استنساخ قاعدة بيانات غير مفعَّلة فيها ميزة "إدارة مفاتيح التشفير من قِبل العميل" وتستخدِم التشفير التلقائي من Google
(الإعداد التلقائي) استنساخ إلى قاعدة بيانات تستخدم التشفير نفسه الذي تستخدمه قاعدة البيانات المصدر

لمزيد من المعلومات حول استنساخ قاعدة بيانات متوافقة مع MongoDB في Cloud Firestore، اطّلِع على استنساخ قاعدة بيانات. لمزيد من المعلومات حول استنساخ قاعدة بيانات Cloud Firestore متوافقة مع MongoDB ومحمية باستخدام مفاتيح التشفير التي يديرها العميل (CMEK)، راجِع استنساخ قاعدة بيانات محمية باستخدام مفاتيح التشفير التي يديرها العميل.

تتبُّع المفاتيح

يمكنك استخدام ميزة تتبُّع المفاتيح لعرض الموارد التي يحميها مفتاح، مثل قواعد بيانات Cloud Firestore المتوافقة مع MongoDB. لمزيد من المعلومات عن تتبُّع المفاتيح، اطّلِع على مقالة عرض استخدام المفاتيح.

مفاتيح CMEK ومدى توفّرها

عندما تكون المفاتيح غير متاحة أو غير مفعّلة، يجب الانتباه إلى السلوكيات التالية التي يمكن أن تحدث في قواعد البيانات المفعَّلة باستخدام إدارة مفاتيح التشفير الخاصة بالعميل (CMEK):

يمكنك حذف قاعدة بيانات CMEK تحتوي على مفاتيح غير متاحة.
عند إنشاء قاعدة بيانات مفعَّلة باستخدام مفتاح التشفير المُدارة من العميل (CMEK)، لا تظهر المفاتيح غير المفعَّلة في قائمة المفاتيح المتاحة في Google Cloud Console. إذا أدخلت مفتاحًا غير مفعَّل يدويًا، ستتعذّر عملية إنشاء قاعدة البيانات وسيظهر الخطأ 400.INVALID_ARGUMENT

القيود

لا يمكنك تغيير مفتاح لقاعدة بيانات محمية باستخدام مفتاح تشفير يديره العميل (CMEK). يمكنك تدوير المفاتيح وتفعيلها وإيقافها.
لا يمكنك تفعيل CMEK على قواعد البيانات الحالية. يمكنك تفعيل ميزة "إدارة المفاتيح التي يقدّمها العميل" (CMEK) على قواعد البيانات الجديدة فقط، ويجب تفعيلها عند إنشاء قاعدة البيانات. لنقل البيانات في قاعدة بيانات حالية غير محمية باستخدام مفتاح التشفير المُدارة من العميل (CMEK) إلى قاعدة بيانات محمية باستخدام مفتاح التشفير المُدارة من العميل (CMEK)، عليك تصدير بياناتك ثم استيرادها إلى قاعدة بيانات جديدة محمية باستخدام مفتاح التشفير المُدارة من العميل (CMEK). يمكنك أيضًا استعادة البيانات أو استنساخها من قاعدة بيانات غير مستخدِمة لمفاتيح التشفير المُدارة للعميل إلى قاعدة بيانات مستخدِمة لها.
تتيح Cloud Firestore عددًا محدودًا من قواعد البيانات المحمية باستخدام مفتاح التشفير المُدارة من العميل (CMEK).

الخطوات التالية

كيفية استخدام مفاتيح التشفير المُدارة من العميل (CMEK) مع Cloud Firestore المتوافق مع MongoDB