Chaves de criptografia gerenciadas pelo cliente

Por padrão, a integração de aplicativos criptografa automaticamente os dados em repouso usando chaves de criptografia gerenciadas pelo Google. Se você tiver requisitos regulatórios ou de compliance específicos relacionados às chaves que protegem seus dados ou se quiser controlar e gerenciar a criptografia, use as chaves de criptografia gerenciadas pelo cliente (CMEKs). As chaves CMEK podem ser armazenadas como chaves de software, em um cluster do HSM ou externamente no Cloud External Key Manager (Cloud EKM).

Para mais informações sobre a CMEK, consulte a documentação do Cloud Key Management Service.

Antes de começar

Antes de usar o CMEK para integração de aplicativos, verifique se as seguintes tarefas foram concluídas:

Ative a API Cloud KMS para o projeto que armazenará as chaves de criptografia.
Ativar a API Cloud KMS
Dica:é possível executar o Application Integration e o Cloud KMS no mesmo projeto do Google Cloud ou em projetos diferentes.
Atribua o papel do IAM Administrador do Cloud KMS ou conceda as seguintes permissões do IAM ao projeto que vai armazenar as chaves de criptografia:
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
Para informações sobre como conceder papéis ou permissões adicionais, consulte Como conceder, alterar e revogar o acesso.

Cuidado : a função de administrador do Cloud KMS contém permissões para manutenção de chaves e destruição de versões de chaves. Para proteger seus recursos do Cloud KMS, essa função só pode ser atribuída a pessoas responsáveis pela administração de chaves.
Crie um keyring e uma chave.
Observação : o chaveiro precisa ser criado na mesma região em que você configurou a integração de aplicativos.

Adicionar a conta de serviço à chave CMEK

Para usar uma chave CMEK no Application Integration, é necessário adicionar e atribuir a conta de serviço padrão ao papel do IAM Criptografador/Descriptografador de CryptoKey para essa chave CMEK.

No console do Google Cloud, acesse a página Inventário de chaves.
Acessar a página "Inventário de chaves"
Marque a caixa de seleção da chave CMEK desejada.
A guia Permissões fica disponível no painel da janela à direita.
Clique em Adicionar principal e insira o endereço de e-mail da conta de serviço padrão.
Clique em Selecionar uma função e selecione a função Criptografador/Descriptografador de CryptoKey do Cloud KMS na lista suspensa disponível.
Clique em Salvar.

Ativar a criptografia CMEK para uma região de integração de aplicativos

A CMEK pode ser usada para criptografar e descriptografar dados armazenados em PDs no escopo da região provisionada.

Para ativar a criptografia CMEK em uma região de integração de aplicativos no seu projeto do Google Cloud, siga estas etapas:

No console do Google Cloud, acesse a página Application Integration.
Acessar o Application Integration
No menu de navegação, clique em Regiões.
A página Regiões aparece, listando as regiões provisionadas para a Application Integration.
Na integração atual em que você quer usar a CMEK, clique em Ações e selecione Editar criptografia.
No painel Editar criptografia, expanda a seção Configurações avançadas.
Selecione Usar uma chave de criptografia gerenciada pelo cliente (CMEK) e faça o seguinte:
1. Selecione uma chave CMEK na lista suspensa disponível. As chaves CMEK listadas no menu suspenso são baseadas na região provisionada. Para criar uma chave, consulte Criar uma chave CMEK.
2. Clique em Verificar para conferir se a conta de serviço padrão tem acesso à chave criptográfica da chave CMEK selecionada.
3. Se a verificação da chave CMEK selecionada falhar, clique em Conceder para atribuir o papel de IAM Criptografador/Descriptografador do CryptoKey à conta de serviço padrão.
Clique em Concluído.

Criar uma nova chave CMEK

Você pode criar uma nova chave CMEK se não quiser usar a chave atual ou se não tiver uma chave na região especificada.

Acesse a caixa de diálogo Criar uma nova chave e siga estas etapas para criar uma chave de criptografia simétrica:

Selecione o keyring:
1. Clique em Key ring e escolha um keyring na região especificada.
2. Se você quiser criar um novo keyring para a chave, clique no botão Criar keyring e siga estas etapas:
  1. Clique em Nome do keyring e digite o nome do keyring.
  2. Clique em Local do keyring e escolha o local regional do keyring.
    Observação:para a criptografia CMEK, o keyring precisa ser criado na mesma região da integração de aplicativos.
3. Clique em Continuar.
Criar chave:
1. Clique em Nome da chave e digite um nome para a nova chave.
2. Clique em Nível de proteção e selecione Software ou HSM.
  Para informações sobre os níveis de proteção, consulte Níveis de proteção do Cloud KMS.
Confira os detalhes da chave e do chaveiro e clique em Continuar.
Clique em Criar.

Cotas do Cloud KMS e integração de aplicativos

Quando você usa a CMEK na integração de aplicativos, seus projetos podem consumir cotas de solicitações criptográficas do Cloud KMS. Por exemplo, as chaves CMEK podem consumir essas cotas para cada chamada de criptografia e descriptografia.

As operações de criptografia e descriptografia com chaves CMEK afetam as cotas do Cloud KMS destas maneiras:

Para chaves CMEK de software geradas no Cloud KMS, nenhuma cota do Cloud KMS é consumida.
Para chaves CMEK de hardware, às vezes chamadas de chaves do Cloud HSM, as operações de criptografia e descriptografia são descontadas das cotas do Cloud HSM no projeto que contém a chave.
Para chaves CMEK externas, às vezes chamadas de chaves do Cloud EKM, as operações de criptografia e descriptografia são descontadas das cotas do Cloud EKM no projeto que contém a chave.

Para mais informações, consulte Cotas do Cloud KMS.