设置Google Query时最好的安全做法是什么?

时间:2019-06-03 16:28:33

标签: google-cloud-platform google-bigquery vpc google-iam

我在AWS方面有一些经验,但是对Google云平台(特别是Google Big Query)非常陌生。我阅读了许多文档,但是对于大量信息感到有些困惑和不知所措。     如果要设置大型查询,该查询将用于连接到多个不同的第三方平台。 (使用Big查询作为连接器)从安全角度(网络方面),我应该遵循什么最佳实践来确保数据在传输中是安全的?

我已经设置了一个服务帐户,该帐户只能访问Big Query。我将为需要进行大查询的用户分配“服务帐户用户”角色。 据我了解,服务帐户的密钥每两周自动旋转一次。这是否意味着连接器每两周会断开一次? 如果是这样,是否有更好的方法可以将其永久化? 设置项目时,还有一个默认的VPC。我应该了解Google Cloud平台提供的任何服务以使其更加安全吗?

1 个答案:

答案 0 :(得分:0)

我将尝试总结到目前为止所讨论的内容,并解决您的最新问题:默认情况下,使用Google托管密钥对数据进行静态和静态加密。这是推荐的设置,因为可以避免复杂性和数据安全性。

用户帐户(Google Accounts)供开发人员使用:如果您决定使用customer-managed encryption keys (CMEK),他们将设置加密密钥,并且通常通过UI或命令行工具。

正如Graham提到的,

Service accounts是用于机器的,因此脚本和自动化内容应与服务帐户一起运行。

CryptoKeys是GCP中的资源,因此可以并且应该在其上设置IAM策略,因此与CryptoKeys进行交互的任何服务帐户或用户帐户都应具有适当的权限级别。您可以看到可用权限列表here。例如,要使用客户管理的键在BigQuery中创建表,必须将Encrypter/Decrypter role授予BigQuery系统服务帐户(这是默认情况下创建的服务帐户,BigQuery才能正常工作在您的项目中)。

要解决您的最新担忧,只要您组织中至少有2位用户拥有管理密钥的适当权限,您就不必担心员工离职(此外,项目所有者基本上拥有所有权限所有资源)。此外,project owner and the cloudkms.admin role可以将密钥的权限授予其他用户或服务帐户。