Nutzerdaten verschlüsseln

Die Data Manager API unterstützt die Verschlüsselung von Daten mit den folgenden Key Management Services:

• Google Cloud Key Management Service
• AWS Key Management Service

Die Unterstützung für einige Anwendungsfälle variiert je nach Key Management Service (KMS):

Google Cloud KMS einrichten

So richten Sie Google Cloud KMS-Ressourcen für die Verschlüsselung ein:

Google Cloud-Befehlszeile einrichten

1. Installieren und initialisieren Sie die Google Cloud-Befehlszeile.

2. Wenn Sie ein Google Cloud-Projekt auswählen oder erstellen und den Cloud Key Management Service aktivieren möchten, klicken Sie auf Cloud KMS aktivieren.

   Cloud KMS aktivieren

3. Verwenden Sie den Befehl gcloud config set, um Ihr Projekt in Ihrer Umgebung festzulegen. Mit dem Befehl gcloud config list können Sie prüfen, ob das Projekt bereits in Ihrer Umgebung festgelegt ist.

   Wenn kein project festgelegt ist oder Sie ein anderes Projekt für Ihren Schlüssel verwenden möchten, führen Sie gcloud config set aus:

   gcloud config set project PROJECT_ID
   

Schlüssel erstellen

Weitere Informationen finden Sie unter Cloud Key Management Service – Übersicht.

1. Schlüsselbund erstellen

   gcloud kms keyrings create KEY_RING_NAME \
       --location KEY_RING_LOCATION
   

   Weitere Informationen finden Sie unter Schlüsselbund erstellen.

2. Erstellen Sie einen Schlüssel im Schlüsselbund. ROTATION_PERIOD gibt das Intervall für die Rotation des Schlüssels an und NEXT_ROTATION_TIME das Datum und die Uhrzeit der ersten Rotation.

   Wenn Sie den Schlüssel beispielsweise alle 30 Tage rotieren und die erste Rotation in einer Woche durchführen möchten, legen Sie ROTATION_PERIOD auf 30d und NEXT_ROTATION_TIME auf $(date --utc --date="next week" --iso-8601=seconds) fest.

   gcloud kms keys create KEY_NAME \
       --keyring KEY_RING_NAME \
       --location KEY_RING_LOCATION \
       --purpose "encryption" \
       --rotation-period ROTATION_PERIOD \
       --next-rotation-time "NEXT_ROTATION_TIME"
   

   Weitere Informationen finden Sie unter Schlüssel erstellen.

Workload Identity-Poolanbieter erstellen

Dieser Abschnitt bietet einen kurzen Überblick über die Workload Identity-Föderation. Weitere Informationen finden Sie unter Workload Identity-Föderation.

1. Erstellen Sie einen Workload Identity-Pool (WIP). Der location für den Pool muss global sein.

   gcloud iam workload-identity-pools create WIP_ID \
      --location=global \
      --display-name="WIP_DISPLAY_NAME" \
      --description="WIP_DESCRIPTION"
   

   Weitere Informationen finden Sie unter Workload Identity-Pools und Anbieter verwalten.

2. Erstellen Sie einen Workload Identity-Poolanbieter. Das Argument --attribute-condition verifiziert, dass der Aufrufer ein Dienstkonto für den vertraulichen Abgleich ist.

   gcloud iam workload-identity-pools providers create-oidc PROVIDER_ID \
      --location=global \
      --workload-identity-pool=WIP_ID \
      --display-name="PROVIDER_DISPLAY_NAME" \
      --description="PROVIDER_DESCRIPTION" \
      --attribute-mapping="google.subject=assertion.sub,google.groups=[\"PROVIDER_ID\"]" \
      --attribute-condition="assertion.swname == 'CONFIDENTIAL_SPACE' &&
        'STABLE' in assertion.submods.confidential_space.support_attributes &&
        ['cfm-services@admcloud-cfm-services.iam.gserviceaccount.com'].exists(
            a, a in assertion.google_service_accounts) &&
        'ECDSA_P256_SHA256:6b1f357b59e9407fb017ca0e3e783b2bd5acbfea6c83dd82971a4150df5b25f9'
        in assertion.submods.container.image_signatures.map(sig, sig.signature_algorithm+':'+sig.key_id)" \
      --issuer-uri="https://confidentialcomputing.googleapis.com" \
      --allowed-audiences="https://sts.googleapis.com"
   

3. Weisen Sie dem WIP-Anbieter die Rolle „Entschlüsselungstool für Schlüssel“ zu.

   # Grants the role to the WIP provider.
   gcloud kms keys add-iam-policy-binding KEY_NAME \
       --keyring KEY_RING_NAME \
       --location KEY_RING_LOCATION \
       --member "principalSet://iam.googleapis.com/projects/PROJECT_ID/locations/global/workloadIdentityPools/WIP_ID/group/PROVIDER_ID" \
       --role "roles/cloudkms.cryptoKeyDecrypter"
   

4. Wenn Sie Ereignisdaten für Offline-Conversions und erweiterte Conversions für Leads verschlüsseln möchten, weisen Sie dem Google-Dienstkonto datamanager-api@datamanager-ga.iam.gserviceaccount.com die Rolle „Schlüsselentschlüsseler“ zu.

   # Grants the role to the Google service account.
   gcloud kms keys add-iam-policy-binding KEY_NAME \
       --keyring KEY_RING_NAME \
       --location KEY_RING_LOCATION \
       --member "serviceAccount:datamanager-api@datamanager-ga.iam.gserviceaccount.com" \
       --role "roles/cloudkms.cryptoKeyDecrypter"
   

Fahren Sie mit dem Abschnitt Daten verschlüsseln fort.

AWS KMS einrichten

So richten Sie AWS KMS-Ressourcen für die Verschlüsselung ein:

AWS-Befehlszeile einrichten

1. Installieren Sie die AWS-Befehlszeile.

2. Führen Sie den folgenden Befehl aus, um die Installation zu prüfen:

   aws --version
   

   Hier sehen Sie einen Ausschnitt der Ausgabe für eine erfolgreiche Installation:

   aws-cli/2.31.12 Python/3.13.7 ...
   

AWS-Nutzer einrichten und anmelden

1. Erfüllen Sie die Voraussetzungen für die Verwendung der AWS-Befehlszeile.
2. Melden Sie sich bei einer IAM Identity Center-Sitzung an.

Schlüssel erstellen

1. Erstellen Sie einen symmetrischen KMS-Schlüssel (KEK).

   aws kms create-key \
     --key-usage ENCRYPT_DECRYPT \
     --key-spec SYMMETRIC_DEFAULT \
     --description "KEK for Confidential Matching Data Encryption"
   

   Notieren Sie sich den Arn unter KeyMetadata in der Ausgabe. Sie benötigen diesen Amazon Resource Name (ARN) in anderen Schritten.

   AWS_KEY_ARN
   

2. Optional: Erstellen Sie einen Schlüsselalias mit einem Aliasnamen Ihrer Wahl.

   aws kms create-alias \
     --alias-name "alias/AWS_KEY_ALIAS" \
     --target-key-id AWS_KEY_ARN
   

   Ein Alias ist nicht erforderlich, aber nützlich, um AWS-Befehlszeilenbefehle zu erstellen. Sie können beispielsweise den Schlüssel-ARN mit dem Alias abrufen:

   aws kms describe-key --key-id "alias/AWS_KEY_ALIAS" \
     --query 'KeyMetadata.Arn' \
     --output text
   

OpenID Connect-Identitätsanbieter erstellen

OpenID Connect-Identitätsanbieter (OIDC) erstellen Sie müssen diesen Schritt nur einmal pro AWS-Konto ausführen.

aws iam create-open-id-connect-provider \
  --url https://confidentialcomputing.googleapis.com \
  --client-id-list AUDIENCE \
  --thumbprint-list "08745487e891c19e3078c1f2a07e452950ef36f6"

Notieren Sie sich den OIDC-Anbieter-ARN aus der Ausgabe. Sie benötigen diese Angabe in anderen Schritten.

AWS_OIDC_PROVIDER_ARN

IAM-Richtlinie erstellen

1. Erstellen Sie eine JSON-Datei mit dem Namen kms-decrypt-policy.json und folgendem Inhalt:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "kms:Decrypt",
         "Resource": "AWS_KEY_ARN"
       }
     ]
   }
   

2. Erstellen Sie eine IAM-Richtlinie mit der JSON-Datei und einem Richtliniennamen Ihrer Wahl.

   aws iam create-policy \
     --policy-name "AWS_POLICY_NAME" \
     --policy-document file://kms-decrypt-policy.json
   

   Notieren Sie sich den ARN der IAM-Richtlinie in der Ausgabe. Sie benötigen diese Angabe in anderen Schritten.

   AWS_IAM_POLICY_ARN
   

IAM-Rolle erstellen und anhängen

1. Erstellen Sie eine JSON-Datei mit dem Namen role-trust-policy.json und folgendem Inhalt sowie dem OIDC-Anbieter-ARN aus dem vorherigen Schritt:

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Federated": "AWS_OIDC_PROVIDER_ARN"
               },
               "Action": [
                   "sts:AssumeRoleWithWebIdentity",
                   "sts:TagSession"
               ],
               "Condition": {
                   "StringEquals": {
                       "confidentialcomputing.googleapis.com:aud": "cfm-awsresource",
                       "aws:RequestTag/swname": "CONFIDENTIAL_SPACE",
                       "aws:RequestTag/container.signatures.key_ids": "6b1f357b59e9407fb017ca0e3e783b2bd5acbfea6c83dd82971a4150df5b25f9"
                   },
                   "StringLike": {
                       "aws:RequestTag/confidential_space.support_attributes": "*STABLE*"
                   }
               }
           }
       ]
   }
   

2. Erstellen Sie eine IAM-Rolle mit einem Rollennamen Ihrer Wahl.

   aws iam create-role \
     --role-name "AWS_IAM_ROLE_NAME" \
     --assume-role-policy-document file://role-trust-policy.json
   

3. Hängen Sie die Rollenrichtlinie an die IAM-Richtlinie an.

   aws iam attach-role-policy \
     --role-name "AWS_IAM_ROLE_NAME" \
     --policy-arn "AWS_IAM_POLICY_ARN"
   

Daten verschlüsseln

Für die Verschlüsselung in der Data Manager API ist ein Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) erforderlich. Ein DEK ist ein symmetrischer Schlüssel, den Sie zum Verschlüsseln von Daten verwenden. Ihr DEK wird mit Ihrem Google Cloud- oder AWS KMS-Schlüssel verschlüsselt. Sie senden den verschlüsselten DEK als Teil der Anfrage.

Wenn Sie die Daten in der Anfrage für die Verschlüsselung vorbereiten möchten, folgen Sie denselben Formatierungs- und Hashing-Richtlinien, die Sie auch für unverschlüsselte Daten verwenden würden.

Verschlüsseln Sie keine nicht gehashten Werte. Beispiel: region_code oder postal_code einer AddressInfo.

Nachdem die Daten für jedes Feld formatiert und gehasht wurden, verschlüsseln Sie den gehashten Wert so:

1. Codieren Sie die Hash-Bytes mit Base64-Codierung.
2. Verschlüsseln Sie den Base64-codierten Hash mit Ihrem DEK.
3. Codieren Sie die Ausgabe des Verschlüsselungsprozesses entweder mit Hex- oder Base64-Codierung.
4. Verwenden Sie den codierten Wert für das Feld.
5. Legen Sie encryption_info und encoding für die Anfrage fest.

Um den letzten Schritt abzuschließen, ändern Sie die IngestAudienceMembersRequest- oder IngestEventsRequest-Datei, um anzugeben, dass Sie Ihre Daten verschlüsselt haben:

• Legen Sie das Feld encryption_info fest.
• Setzen Sie das Feld encoding auf die Codierung, die zum Codieren der verschlüsselten Feldwerte verwendet wurde.

Hier sehen Sie einen Ausschnitt aus einer Anfrage mit einem Google Cloud KMS-Schlüssel und mit festgelegten Verschlüsselungs- und Codierungsfeldern:

{
  ...
  "encryptionInfo": {
    "gcpWrappedKeyInfo": {
      "kekUri": "gcp-kms://projects/PROJECT_ID/locations/KEY_RING_LOCATION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME",
      "wipProvider": "projects/PROJECT_ID/locations/global/workloadIdentityPools/WIP_ID/providers/PROVIDER_ID",
      "keyType": "XCHACHA20_POLY1305",
      "encryptedDek": "ENCRYPTED_DEK"
    }
  },
  "encoding": "ENCODING"
}

Informationen zum Erstellen und Senden einer Anfrage mit der Bibliothek und den Dienstprogrammen der Data Manager API finden Sie im IngestAudienceMembersWithEncryption-Codebeispiel für Java oder im ingest_audience_members_with_encryption-Codebeispiel für Python.