Consulte os conectores compatíveis com a Application Integration.

Chaves de criptografia gerenciadas pelo cliente

Por padrão, o Application Integration criptografa os dados automaticamente quando estão em repouso usando chaves de criptografia gerenciadas pelo Google. Se você tiver requisitos regulamentares ou de compliance específicos relacionados às chaves que protegem seus dados ou quiser controlar e gerenciar a criptografia por conta própria, use as chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). As chaves CMEK podem ser armazenadas como chaves de software, em um cluster HSM ou externamente no Cloud External Key Manager (Cloud EKM).

Para mais informações sobre CMEK, consulte a documentação do Cloud Key Management Service.

Antes de começar

Verifique se as seguintes tarefas foram concluídas antes de usar a CMEK para a Application Integration:

Ative a API Cloud KMS no projeto que vai armazenar as chaves de criptografia.
Ativar a API Cloud KMS
Dica:é possível executar a Application Integration e o Cloud KMS no mesmo projeto do Google Cloud ou em projetos diferentes.
Atribua o papel Administrador do Cloud KMS do IAM ou conceda as seguintes permissões do IAM para o projeto que vai armazenar suas chaves de criptografia:
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
Para mais informações sobre como conceder outros papéis ou permissões, consulte Como conceder, alterar e revogar acesso.

Cuidado : o papel de administrador do Cloud KMS contém permissões para manutenção da chave e destruição da versão da chave. Para proteger os recursos do Cloud KMS, esse papel só deve ser atribuído a pessoas responsáveis pela administração de chaves.
Crie um keyring e uma chave.
Observação : o keyring precisa ser criado na mesma região em que você configurou a Application Integration.

Adicionar conta de serviço à chave CMEK

Para usar uma chave CMEK na Application Integration, você precisa garantir que sua conta de serviço padrão seja adicionada e atribuída com o papel do IAM Criptografador/Descriptografador CryptoKey para essa chave CMEK.

No console do Google Cloud, acesse a página Inventário de chaves.
Acessar a página "Inventário principal"
Marque a caixa de seleção da chave CMEK desejada.
A guia Permissões fica disponível no painel da janela à direita.
Clique em Adicionar principal e digite o endereço de e-mail da conta de serviço padrão.
Clique em Selecionar um papel e escolha o papel Criptografador/Descriptografador de CryptoKey do Cloud KMS na lista suspensa disponível.
Clique em Save.

Ativar a criptografia CMEK para uma região do Application Integration

A CMEK pode ser usada para criptografar e descriptografar dados armazenados em DPs no escopo da região provisionada.

Para ativar a criptografia da CMEK em uma região do Application Integration no seu projeto do Google Cloud, siga estas etapas:

No console do Google Cloud, acesse a página Application Integration.
Acessar o Application Integration
No menu de navegação, clique em Regiões.
A página Regiões aparece, listando as regiões provisionadas para o Application Integration.
Na integração atual que você quer usar a CMEK, clique em Ações e selecione Editar criptografia.
No painel Editar criptografia, expanda a seção Configurações avançadas.
Selecione Usar uma chave de criptografia gerenciada pelo cliente (CMEK) e faça o seguinte:
1. Selecione uma chave CMEK na lista suspensa disponível. As chaves CMEK listadas no menu suspenso são baseadas na região provisionada. Para criar uma nova chave, consulte Criar nova chave CMEK.
2. Clique em Verificar para conferir se a conta de serviço padrão tem acesso por chave criptográfica à chave CMEK selecionada.
3. Se a verificação da chave CMEK selecionada falhar, clique em Conceder para atribuir o papel do IAM Criptografador/Descriptografador da CryptoKey à conta de serviço padrão.
Clique em Concluído.

Criar nova chave CMEK

É possível criar uma nova chave CMEK se você não quiser usar sua chave atual ou se não tiver uma chave na região especificada.

Para criar uma nova chave de criptografia simétrica, execute as seguintes etapas na caixa de diálogo Criar uma nova chave:

Selecione um keyring:
1. Clique em Keyring e escolha um keyring atual na região especificada.
2. Se você quiser criar um novo keyring para sua chave, clique no botão de alternância Criar keyring e siga estas etapas:
  1. Clique em Nome do keyring e digite o nome dele.
  2. Clique em Local do keyring e escolha o local regional dele.
    Observação:para criptografia da CMEK, o keyring precisa ser criado na mesma região que a Application Integration.
3. Clique em Continuar.
Criar chave:
1. Clique em Nome da chave e insira um nome para a nova chave.
2. Clique em Nível de proteção e selecione Software ou HSM.
  Para saber mais sobre os níveis de proteção, consulte Níveis de proteção do Cloud KMS.
Revise os detalhes da chave e do keyring e clique em Continuar.
Clique em Criar.

Cotas do Cloud KMS e Application Integration

Quando você usa CMEK na Application Integration, seus projetos podem consumir cotas de solicitações criptográficas do Cloud KMS. Por exemplo, as chaves CMEK podem consumir essas cotas para cada chamada de criptografia e descriptografia.

As operações de criptografia e descriptografia com chaves CMEK afetam as cotas do Cloud KMS destas maneiras:

Para chaves CMEK de software geradas no Cloud KMS, nenhuma cota do Cloud KMS é consumida.
Para chaves CMEK de hardware, às vezes chamadas de chaves do Cloud HSM, as operações de criptografia e descriptografia são descontadas das cotas do Cloud HSM no projeto que contém a chave.
Para chaves CMEK externas, às vezes chamadas de chaves do Cloud EKM, as operações de criptografia e descriptografia são descontadas das cotas do Cloud EKM no projeto que contém a chave.

Para mais informações, consulte Cotas do Cloud KMS.