คีย์การเข้ารหัสลับที่จัดการโดยลูกค้า (CMEK)

โดยค่าเริ่มต้น ข้อมูลทั้งหมดที่จัดเก็บไว้ใน Cloud Firestore ที่มีความเข้ากันได้กับ MongoDB จะได้รับการเข้ารหัสโดยใช้การเข้ารหัสเริ่มต้นของ Google Cloud Firestore ที่เข้ากันได้กับ MongoDB จะจัดการและจัดการการเข้ารหัสนี้ให้คุณโดยที่คุณไม่ต้องดำเนินการใดๆ เพิ่มเติม

หากมีข้อกำหนดด้านการปฏิบัติตามข้อกำหนดหรือกฎระเบียบที่เฉพาะเจาะจงซึ่งเกี่ยวข้องกับคีย์ ที่ปกป้องข้อมูล คุณสามารถใช้คีย์การเข้ารหัสที่จัดการโดยลูกค้า (CMEK) สำหรับ Cloud Firestore ที่เข้ากันได้กับ MongoDB แทนที่ Google จะจัดการคีย์การเข้ารหัสที่ปกป้องข้อมูลของคุณ ฐานข้อมูล Cloud Firestore ที่เข้ากันได้กับ MongoDB จะได้รับการปกป้องโดยใช้คีย์ที่คุณควบคุมและจัดการใน Cloud Key Management Service (Cloud KMS)

หน้านี้อธิบาย CMEK สำหรับ Cloud Firestore ที่มีความเข้ากันได้กับ MongoDB ดูข้อมูลเพิ่มเติมเกี่ยวกับ CMEK โดยทั่วไป รวมถึงเวลาและเหตุผลในการเปิดใช้ได้ที่เอกสารประกอบ Cloud KMS ต่อไปนี้

• คีย์การเข้ารหัสที่จัดการโดยลูกค้า (CMEK)
• แนวทางปฏิบัติแนะนำสำหรับการใช้ CMEK

ดูวิธีการทำงานที่เกี่ยวข้องกับ CMEK ด้วย Cloud Firestore ที่มีความเข้ากันได้กับ MongoDB ได้ที่ใช้ CMEK

ฟีเจอร์

• การควบคุมข้อมูล: CMEK ช่วยให้คุณจัดการคีย์ KMS ได้ คุณสามารถหมุนเวียน ปิดใช้ และทำลายคีย์ที่ใช้เข้ารหัสข้อมูลที่พักใน Cloud Firestore ที่มีฐานข้อมูลที่เข้ากันได้กับ MongoDB
• ประสิทธิภาพ: CMEK ไม่ส่งผลต่อ Cloud Firestore SLA
• การตรวจสอบ: หากคุณ เปิดใช้การบันทึกการตรวจสอบสำหรับ Cloud KMS ระบบจะบันทึกการดำเนินการทั้งหมดในคีย์และดูได้ใน Cloud Logging
• ข้อจำกัดของนโยบายองค์กร: คุณสามารถใช้ข้อจำกัดของนโยบายองค์กร CMEK เพื่อระบุข้อกำหนดด้านการปฏิบัติตามข้อกำหนดในการเข้ารหัสสำหรับ Cloud Firestore ที่มีฐานข้อมูลที่เข้ากันได้กับ MongoDB ในองค์กรของคุณ

ราคา

Cloud KMS จะเรียกเก็บเงินสำหรับค่าใช้จ่ายของคีย์และการดำเนินการเข้ารหัสที่ดำเนินการโดยใช้คีย์นั้น ดูข้อมูลเพิ่มเติมได้ที่ ราคา Cloud KMS

ระบบจะเรียกเก็บเงินค่าใช้จ่ายในการดำเนินการเมื่อ Cloud Firestore ที่มีความเข้ากันได้กับ MongoDB ขอคีย์ Cloud KMS เพื่อดำเนินการเข้ารหัสหรือถอดรหัส การดำเนินการเข้ารหัสหรือถอดรหัสโดยคีย์ที่มีการจัดการโดยลูกค้าจะเกิดขึ้นทุกๆ 5 นาทีและไม่ได้ซิงค์กับคำขอฐานข้อมูล โดยทั่วไปค่าใช้จ่ายจะ ต่ำ เนื่องจากจำนวนการดำเนินการเข้ารหัสที่คาดไว้ซึ่งสร้างโดย Cloud Firestore ที่มีความเข้ากันได้กับ MongoDB ค่าใช้จ่ายสำหรับบันทึก Cloud Audit เป็นค่าใช้จ่ายเพิ่มเติม แต่คาดว่าโดยทั่วไปจะต่ำ เนื่องจากจำนวนการดำเนินการเข้ารหัสที่คาดไว้

ไม่มีค่าใช้จ่ายเพิ่มเติมสำหรับ Cloud Firestore ที่เข้ากันได้กับ MongoDB ในการใช้ฐานข้อมูลที่ได้รับการปกป้องด้วย CMEK และราคา Cloud Firestore ที่เข้ากันได้กับ MongoDB จะยังคงมีผลต่อไป

หากเพิกถอนคีย์ไปยังฐานข้อมูล ระบบจะเรียกเก็บค่าพื้นที่เก็บข้อมูลตาม ขนาดของวันที่ล่าสุดที่คีย์พร้อมใช้งาน คุณจะยังคงมีค่าใช้จ่ายในการจัดเก็บข้อมูลที่ขนาดฐานข้อมูลนั้นจนกว่าจะมีการลบฐานข้อมูลหรือคีย์พร้อมใช้งานอีกครั้ง

สิ่งที่ได้รับการปกป้องด้วย CMEK

เมื่อสร้าง Cloud Firestore ที่มีฐานข้อมูลที่เข้ากันได้กับ MongoDB ซึ่งได้รับการปกป้องด้วย CMEK ระบบจะใช้คีย์ Cloud KMS เพื่อปกป้องข้อมูลที่ไม่ได้ใช้งาน ซึ่งรวมถึงข้อมูลที่คุณจัดเก็บไว้ในดิสก์หรือแฟลชไดรฟ์ รวมถึงดัชนีและการสำรองข้อมูล โดยมีข้อยกเว้นบางประการ ระบบจะเข้ารหัสข้อมูลประเภทต่อไปนี้ด้วยการเข้ารหัสเริ่มต้นของ Google และไม่ได้เข้ารหัสด้วยคีย์ CMEK

• ข้อมูลที่อยู่ระหว่างการส่งหรือในหน่วยความจำ
• ข้อมูลเมตาของฐานข้อมูล

วิธีจัดการสถานะคีย์ที่ใช้งานไม่ได้

ระบบจะไม่ดำเนินการเข้ารหัสและถอดรหัสในคำขอข้อมูลทุกรายการ แต่ระบบ Cloud Firestore ที่เข้ากันได้กับ MongoDB จะสำรวจ Cloud KMS ทุกๆ 5 นาทีเพื่อ ตรวจสอบว่าคีย์ยังใช้งานได้หรือไม่ จากนั้นจะดำเนินการเข้ารหัสและถอดรหัส หากคีย์ใช้งานได้

หากระบบตรวจพบว่าคีย์ไม่พร้อมใช้งาน ภายใน 10 นาที การเรียกใช้ Cloud Firestore ที่มีฐานข้อมูลที่เข้ากันได้กับ MongoDB ครั้งต่อๆ ไป รวมถึงการอ่าน การเขียน และการค้นหา จะแสดงข้อผิดพลาด INVALID_ARGUMENT พร้อมข้อความต่อไปนี้

The customer-managed encryption key required by the requested
resource is not accessible.

หากฐานข้อมูลมีนโยบาย Time-To-Live (TTL) และหากเวลาหมดอายุใดๆ เกินขณะที่คีย์ไม่พร้อมใช้งาน การลบข้อมูลตาม TTL จะล่าช้าจนกว่าจะมีการคืนสิทธิคีย์ หากฐานข้อมูลมีการดำเนินการที่ใช้เวลานานซึ่งกำลังดำเนินการอยู่ การดำเนินการเหล่านั้นจะได้รับผลกระทบดังนี้

• การดำเนินการสร้างดัชนีและการดำเนินการที่เปิดใช้นโยบาย TTL ใหม่ จะหยุดดำเนินการ ระบบจะลองดำเนินการที่หยุดไปแล้วอีกครั้งหากมีการคืนสิทธิคีย์

ระบบจะถือว่าคีย์ไม่พร้อมใช้งานในทุกกรณีที่ตั้งใจไม่อนุญาตให้ Cloud Firestore ที่มีความเข้ากันได้กับ MongoDB เข้าถึงคีย์ ซึ่งรวมถึงเนื้อหาต่อไปนี้

• ปิดใช้หรือทำลายคีย์ที่ใช้งานอยู่ เวอร์ชัน โปรดใช้ความระมัดระวังเมื่อทำลายเวอร์ชันคีย์ เนื่องจากอาจทำให้ข้อมูลสูญหายและกู้คืนไม่ได้
• การนำสิทธิ์ในการเข้าถึงคีย์ออกจาก บัญชีบริการ Cloud Firestore ที่เข้ากันได้กับ MongoDB

หากมีการคืนสิทธิคีย์ การดำเนินการสำรวจจะตรวจพบว่าคีย์พร้อมใช้งานอีกครั้ง ระบบจะเปิดใช้สิทธิ์เข้าถึงอีกครั้ง โดยปกติจะใช้เวลาไม่กี่นาที แต่ในบางกรณีอาจใช้เวลาถึง 2-3 ชั่วโมง โปรดทราบว่าการดำเนินการบางอย่างในคีย์ Cloud KMS เช่น การปิดใช้หรือทำลายคีย์ อาจใช้เวลาถึง 3 ชั่วโมงในการเผยแพร่ Cloud Firestore ที่มีความเข้ากันได้กับ MongoDB จะไม่ตรวจพบการเปลี่ยนแปลงใดๆ จนกว่าการเปลี่ยนแปลงจะมีผลใน Cloud KMS

การคืนสิทธิของคีย์เกี่ยวข้องกับสิ่งต่อไปนี้ ทั้งนี้ขึ้นอยู่กับสถานการณ์

• เปิดใช้เวอร์ชันคีย์ที่ปิดใช้อีกครั้ง
• การกู้คืนเวอร์ชันคีย์ที่ถูกทำลาย ก่อนที่จะถูกทำลายอย่างถาวร ระบบจะกำหนดเวลาการทำลายเวอร์ชันคีย์ คุณจะกู้คืนคีย์ได้ในช่วงเวลาที่กำหนดเวลาการทำลายเวอร์ชันคีย์ไว้เท่านั้น คุณจะกู้คืนคีย์ที่ถูกทำลายถาวรไปแล้วไม่ได้
• การให้สิทธิ์Cloud Firestoreตัวแทนบริการ ในการเข้าถึงคีย์อีกครั้ง

ข้อควรพิจารณาเกี่ยวกับการหมุนเวียนคีย์

เมื่อหมุนเวียนคีย์ CMEK แล้ว Cloud Firestore ที่มีความเข้ากันได้กับ MongoDB จะเข้ารหัสฐานข้อมูลอีกครั้ง ด้วยเวอร์ชันหลักล่าสุดของคีย์ CMEK ในระหว่างกระบวนการเข้ารหัสซ้ำ ให้เก็บทั้งเวอร์ชันคีย์ก่อนหน้าและเวอร์ชันคีย์ใหม่ไว้ เมื่อการเข้ารหัสอีกครั้งเสร็จสิ้น การปิดใช้หรือลบเวอร์ชันก่อนหน้าของคีย์ CMEK จะไม่ปิดใช้การเข้าถึงฐานข้อมูลเนื่องจากมีการเข้ารหัสด้วยเวอร์ชันคีย์หลักใหม่

นอกจากนี้ คุณยังดูเวอร์ชันคีย์ที่ใช้เพื่อปกป้องฐานข้อมูลได้ด้วย ดูข้อมูลเพิ่มเติมได้ที่ดูคีย์ที่ใช้งานอยู่

ข้อควรพิจารณาเกี่ยวกับคีย์ภายนอก

เมื่อใช้คีย์ Cloud EKM Google จะควบคุมความพร้อมใช้งานคีย์ที่จัดการภายนอกในระบบพาร์ทเนอร์การจัดการคีย์ภายนอกไม่ได้

หากคีย์ที่จัดการภายนอกไม่พร้อมใช้งาน Cloud Firestore ที่มีความเข้ากันได้กับ MongoDB จะยังคงรองรับการดำเนินการกับฐานข้อมูลทั้งหมดโดยใช้คีย์เวอร์ชันที่แคชไว้เป็นเวลาสูงสุด 1 ชั่วโมง

หลังจากผ่านไป 1 ชั่วโมง หาก Cloud Firestore ที่เข้ากันได้กับ MongoDB ยังคงเชื่อมต่อกับ Cloud KMS ไม่ได้ Cloud Firestore ที่เข้ากันได้กับ MongoDB จะเริ่มนำฐานข้อมูลออกจากระบบเพื่อเป็นการป้องกัน การเรียกฐานข้อมูลจะล้มเหลวพร้อมข้อผิดพลาด INVALID_ARGUMENT ซึ่งมีรายละเอียดเพิ่มเติม

ดูข้อควรพิจารณาเพิ่มเติมเมื่อใช้คีย์ภายนอกได้ในเอกสารประกอบของ Cloud External Key Manager

สำรองข้อมูลและกู้คืน

ข้อมูลสำรองจะใช้กลไกการเข้ารหัสเดียวกับฐานข้อมูลที่คุณสร้างข้อมูลสำรอง เมื่อ Cloud Firestore ที่มีการป้องกันด้วย CMEK ที่มีฐานข้อมูลความเข้ากันได้กับ MongoDB สร้างข้อมูลสำรอง ระบบจะเข้ารหัสข้อมูลสำรองด้วยเวอร์ชันคีย์หลักที่ใช้ในขณะที่สร้างข้อมูลสำรอง

Cloud Firestore ที่เข้ากันได้กับ MongoDB จะสร้างข้อมูลสำรองแรกของฐานข้อมูล CMEK หลังจากผ่านไป 24 ชั่วโมงนับจากเวลาที่คุณเปิดใช้กำหนดเวลาสำรองข้อมูล

ดูข้อมูลเพิ่มเติมเกี่ยวกับการสำรองข้อมูล Cloud Firestore ที่เข้ากันได้กับ MongoDB ได้ที่ สำรองและกู้คืนข้อมูล

ฐานข้อมูลที่กู้คืนจากข้อมูลสำรองจะใช้กลไกการเข้ารหัสเดียวกันกับข้อมูลสำรองโดยค่าเริ่มต้น เมื่อกู้คืนฐานข้อมูล คุณสามารถระบุประเภทการเข้ารหัสอื่นได้โดยใช้วิธีใดวิธีหนึ่งต่อไปนี้

• กู้คืนไปยังฐานข้อมูล CMEK ด้วยคีย์ที่ระบุใหม่
• กู้คืนไปยังฐานข้อมูลที่ไม่ใช่ CMEK ซึ่งใช้การเข้ารหัสเริ่มต้นของ Google
• กู้คืนไปยังฐานข้อมูลที่ใช้การเข้ารหัสเดียวกันกับข้อมูลสำรอง

ดูข้อมูลเพิ่มเติมเกี่ยวกับการกู้คืน Cloud Firestore ที่มีฐานข้อมูลที่เข้ากันได้กับ MongoDB จากข้อมูลสำรองได้ที่กู้คืนข้อมูลจากข้อมูลสำรองของฐานข้อมูล ดูข้อมูลเพิ่มเติมเกี่ยวกับการกู้คืน Cloud Firestore ที่มีการป้องกันด้วย CMEK ซึ่งมีฐานข้อมูลที่เข้ากันได้กับ MongoDB จากข้อมูลสำรองได้ที่กู้คืนฐานข้อมูลที่ป้องกันด้วย CMEK

โคลน

โดยค่าเริ่มต้น ฐานข้อมูลที่โคลนจากฐานข้อมูลอื่นจะใช้กลไกการเข้ารหัสเดียวกันกับฐานข้อมูลต้นทาง เมื่อโคลนฐานข้อมูล คุณจะระบุ ประเภทการเข้ารหัสอื่นได้ด้วยวิธีใดวิธีหนึ่งต่อไปนี้

• โคลนไปยังฐานข้อมูล CMEK ด้วยคีย์ที่ระบุใหม่
• โคลนไปยังฐานข้อมูลที่ไม่ใช่ CMEK ซึ่งใช้การเข้ารหัสเริ่มต้นของ Google
• (ค่าเริ่มต้น) โคลนไปยังฐานข้อมูลที่ใช้การเข้ารหัสเดียวกับฐานข้อมูลต้นทาง

ดูข้อมูลเพิ่มเติมเกี่ยวกับการโคลนฐานข้อมูล Cloud Firestore ที่เข้ากันได้กับ MongoDB ได้ที่ โคลนฐานข้อมูล ดูข้อมูลเพิ่มเติมเกี่ยวกับการโคลน Cloud Firestore ที่ได้รับการปกป้องด้วย CMEK ที่มีฐานข้อมูลที่เข้ากันได้กับ MongoDB ได้ที่โคลนฐานข้อมูลที่ได้รับการปกป้องด้วย CMEK

การติดตามคีย์

คุณใช้การติดตามคีย์เพื่อดูทรัพยากร เช่น ฐานข้อมูล Cloud Firestore ที่เข้ากันได้กับ MongoDB ซึ่งคีย์ปกป้องได้ ดูข้อมูลเพิ่มเติมเกี่ยวกับการติดตามคีย์ได้ที่ ดูการใช้งานคีย์

ความพร้อมใช้งานของ CMEK และคีย์

เมื่อคีย์ไม่พร้อมใช้งานหรือถูกปิดใช้ โปรดทราบลักษณะการทำงานต่อไปนี้ที่อาจเกิดขึ้นในฐานข้อมูลที่เปิดใช้ CMEK

• คุณสามารถลบฐานข้อมูล CMEK ที่มีคีย์ที่ไม่พร้อมใช้งานได้

• เมื่อสร้างฐานข้อมูลที่เปิดใช้ CMEK คีย์ที่ปิดใช้จะไม่แสดงในรายการ คีย์ที่พร้อมใช้งานในคอนโซล Google Cloud หากคุณป้อนคีย์ที่ปิดใช้ด้วยตนเอง กระบวนการสร้างฐานข้อมูลจะล้มเหลวพร้อมINVALID_ARGUMENT ข้อผิดพลาด 400

ข้อจำกัด

• คุณเปลี่ยนคีย์สำหรับฐานข้อมูลที่ป้องกันด้วย CMEK ไม่ได้ คุณหมุน เปิดใช้ และปิดใช้คีย์ได้

• คุณเปิดใช้ CMEK ในฐานข้อมูลที่มีอยู่ไม่ได้ คุณเปิดใช้ CMEK ได้เฉพาะในฐานข้อมูลใหม่ และต้องเปิดใช้เมื่อสร้างฐานข้อมูล หากต้องการย้ายข้อมูลในฐานข้อมูลที่ไม่ใช่ CMEK ที่มีอยู่ไปยังฐานข้อมูลที่ป้องกันด้วย CMEK ให้ส่งออกข้อมูล แล้วนำเข้าข้อมูลไปยังฐานข้อมูลใหม่ที่ป้องกันด้วย CMEK นอกจากนี้ คุณยังกู้คืนหรือโคลนข้อมูลจากฐานข้อมูลที่ไม่ใช่ CMEK ไปยังฐานข้อมูล CMEK ได้ด้วย

• Cloud Firestoreรองรับฐานข้อมูลที่ป้องกันด้วย CMEK จำนวนจำกัด

ขั้นตอนถัดไป

• ดูวิธีใช้ CMEK กับ Cloud Firestore ที่มีความเข้ากันได้กับ MongoDB