CMEK für MCS-Kataloge in GCP konfigurieren
Sie können vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) für MCS-Kataloge verwenden. Wenn Sie dieses Feature verwenden, weisen Sie dem Compute Engine Service Agent die Rolle “Google Cloud Key Management Service CryptoKey Encrypter/Decrypter” zu. Das Citrix DaaS-Konto muss über die richtigen Berechtigungen in dem Projekt verfügen, in dem der Schlüssel gespeichert ist. Weitere Informationen finden Sie unter Berechtigungen zum Citrix DaaS-Konto zuweisen. Weitere Informationen finden Sie unter Ressourcen mit Cloud KMS-Schlüsseln schützen.
Ihr Compute Engine Service Agent hat die folgende Form: service-<Project _Number>@compute-system.iam.gserviceaccount.com. Dieses unterscheidet sich von dem standardmäßigen Compute Engine Service-Konto.
Hinweis
Dieses Compute Engine Service-Konto wird möglicherweise nicht in den IAM-Berechtigungen der Google-Konsole angezeigt. Verwenden Sie in solchen Fällen den Befehl
gcloud, wie unter Schützen von Ressourcen durch die Verwendung von Cloud KMS-Schlüsseln beschrieben.
Zuweisen von Berechtigungen zum Citrix DaaS-Konto
Google Cloud KMS-Berechtigungen können auf verschiedene Art und Weise konfiguriert werden. Sie können entweder die KMS-Berechtigungen auf Projektebene oder auf Ressourcenebene bereitstellen. Weitere Informationen finden Sie unter Berechtigungen und Rollen.
KMS-Berechtigungen auf Projektebene
Sie können dem Citrix DaaS-Konto Berechtigungen auf Projektebene zum Durchsuchen von Cloud KMS-Ressourcen zuweisen. Erstellen Sie dazu eine benutzerdefinierte Rolle und fügen Sie die folgenden Berechtigungen hinzu:
cloudkms.keyRings.listcloudkms.keyRings.getcloudkms.cryptokeys.listcloudkms.cryptokeys.get
Weisen Sie die benutzerdefinierte Rolle Ihrem Citrix DaaS-Konto zu. Dadurch können Sie regionale Schlüssel im relevanten Projekt im Bestand durchsuchen.
KMS-Berechtigungen auf Ressourcenebene
Für die andere Option, Berechtigungen auf Ressourcenebene, navigieren Sie in der Google Cloud Console zu dem cryptoKey, den Sie für die MCS-Bereitstellung verwenden. Fügen Sie das Citrix DaaS-Konto einem Schlüsselbund oder Schlüssel hinzu, den Sie für die Katalogbereitstellung verwenden.
Tipp
Mit dieser Option können Sie keine regionalen Schlüssel für Ihr Projekt im Bestand durchsuchen, da das Citrix DaaS-Konto keine Listenberechtigungen auf Projektebene für die Cloud KMS-Ressourcen hat. Sie können jedoch weiterhin einen Katalog mit CMEK bereitstellen, indem Sie die richtige
CryptoKeyIdin den benutzerdefinierten Eigenschaften vonprovSchemeangeben. Weitere Informationen finden Sie unter Katalog mit CMEK und benutzerdefinierten Eigenschaften erstellen.
Wechsel vom Kunden verwalteter Schlüssel
Google Cloud does not support rotating keys on existing persistent disks or images. Sobald eine Maschine bereitgestellt ist, ist sie an die zum Zeitpunkt ihrer Erstellung verwendete Schlüsselversion gebunden. Es kann jedoch eine neue Schlüsselversion erstellt werden, die dann für neu bereitgestellte Maschinen bzw. Ressourcen verwendet, die erstellt werden, wenn ein Katalog mit einem neuen Masterimage aktualisiert wird.
Wichtige Überlegungen zu Schlüsselbunden
Schlüsselbunde können nicht umbenannt oder gelöscht werden. Außerdem können bei ihrer Konfiguration unerwartete Gebühren anfallen. Wenn Sie einen Schlüsselbund löschen, zeigt Google Cloud eine Fehlermeldung an:
Sorry, you can't delete or rename keys or key rings. We were concerned about the security implications of allowing multiple keys or key versions over time to have the same resource name, so we decided to make names immutable. (And you can't delete them, because we wouldn't be able to do a true deletion--there would still have to be a tombstone tracking that this name had been used and couldn't be reused).
We're aware that this can make things untidy, but we have no immediate plans to change this.
If you want to avoid getting billed for a key or otherwise make it unavailable, you can do so by deleting all the key versions; neither keys nor key rings are billed for, just the active key versions within the keys.
<!--NeedCopy-->
Tipp
Weitere Informationen finden Sie unter Bearbeiten oder Löschen eines Schlüsselbunds von der Konsole.
Katalog mit CMEK und benutzerdefinierten Eigenschaften erstellen
Wenn Sie Ihr Bereitstellungsschema über PowerShell erstellen, geben Sie eine CryptoKeyId-Eigenschaft in ProvScheme CustomProperties an. Beispiel:
'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="CryptoKeyId" Value="<yourCryptoKeyId>" />
</CustomProperties>'
<!--NeedCopy-->
Die cryptoKeyId muss im folgenden Format angegeben werden:
projectId:location:keyRingName:cryptoKeyName
Wenn Sie beispielsweise den Schlüssel my-example-key im Schlüsselring my-example-key-ring in der Region us-east1 und im Projekt mit der ID my-example-project-1 verwenden möchten, würden Ihre benutzerdefinierten Einstellungen ProvScheme folgendermaßen aussehen:
'<CustomProperties xmlns="http://schemas.citrix.com/2014/xd/machinecreation" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:us-east1:my-example-key-ring:my-example-key" />
</CustomProperties>'
<!--NeedCopy-->
Alle zu dem Provisioningschema gehörenden, per MCS bereitgestellten Datenträger und Images verwenden diesen kundenverwalteten Verschlüsselungsschlüssel.
Tipp
Wenn Sie globale Schlüssel verwenden, muss der Standort der Kundeneigenschaften
globallauten und nicht der Name der Region sein, der im obigen Beispiel us-east1 lautet. Beispiel:<Property xsi:type="StringProperty" Name="CryptoKeyId" Value="my-example-project-1:global:my-example-key-ring:my-example-key" />.