Consulta i connettori supportati per Application Integration.

Chiavi di crittografia gestite dal cliente

Per impostazione predefinita, l'Application Integration cripta automaticamente i dati quando sono in stato at-rest utilizzando le chiavi di crittografia gestite da Google. Se hai requisiti di conformità o normativi specifici relativi alle chiavi che proteggono i tuoi dati o se vuoi controllare e gestire autonomamente la crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK). Le chiavi CMEK possono essere archiviate come chiavi software, in un cluster HSM o esternamente in Cloud External Key Manager (Cloud EKM).

Per ulteriori informazioni sulle chiavi CMEK, consulta la documentazione di Cloud Key Management Service.

Prima di iniziare

Prima di utilizzare CMEK per lApplication Integration, assicurati di aver completato le seguenti attività:

  1. Abilita l'API Cloud KMS per il progetto che memorizzerà le tue chiavi di crittografia.

    Abilita l'API Cloud KMS

  2. Assegna il ruolo IAM Amministratore Cloud KMS o concedi le seguenti autorizzazioni IAM per il progetto che memorizzerà le chiavi di crittografia:
    • cloudkms.cryptoKeys.setIamPolicy
    • cloudkms.keyRings.create
    • cloudkms.cryptoKeys.create

    Per informazioni su come concedere ruoli o autorizzazioni aggiuntivi, consulta Concedere, modificare e revocare l'accesso.

  3. Crea un keyring e una chiave.

Aggiungere un account di servizio alla chiave CMEK

Per utilizzare una chiave CMEK in Application Integration, devi assicurarti che il tuo account di servizio predefinito sia aggiunto e assegnato con il ruolo IAM CryptoKey Encrypter/Decrypter per la chiave CMEK.

  1. Nella console Google Cloud, vai alla pagina Inventario chiavi.

    Vai alla pagina Inventario chiavi

  2. Seleziona la casella di controllo per la chiave CMEK che ti interessa.

    La scheda Autorizzazioni nel riquadro della finestra a destra diventa disponibile.

  3. Fai clic su Aggiungi entità e inserisci l'indirizzo email dell'account di servizio predefinito.
  4. Fai clic su Seleziona un ruolo e seleziona il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS dall'elenco a discesa disponibile.
  5. Fai clic su Salva.

Attivare la crittografia CMEK per una regione di Application Integration

CMEK può essere utilizzato per criptare e decriptare i dati archiviati sui dischi permanenti nell'ambito della regione di provisioning.

Per attivare la crittografia CMEK per una regione di Application Integration nel tuo progetto Google Cloud, svolgi i seguenti passaggi:
  1. Nella console Google Cloud, vai alla pagina Integrazione delle applicazioni.

    Vai ad Application Integration

  2. Nel menu di navigazione, fai clic su Regioni.

    Viene visualizzata la pagina Regioni, che elenca le regioni di cui è stato eseguito il provisioning per Application Integration.

  3. Per l'integrazione esistente con cui vuoi utilizzare la CMEK, fai clic su Azioni e seleziona Modifica crittografia.
  4. Nel riquadro Modifica crittografia, espandi la sezione Impostazioni avanzate.
  5. Seleziona Utilizza una chiave di crittografia gestita dal cliente (CMEK) e segui questi passaggi:
    1. Seleziona una chiave CMEK dall'elenco a discesa disponibile. Le chiavi CMEK elencate nel menu a discesa si basano sulla regione di cui è stato eseguito il provisioning. Per creare una nuova chiave, consulta la sezione Creare una nuova chiave CMEK.
    2. Fai clic su Verifica per verificare se il tuo account di servizio predefinito ha accesso alla chiave CMEK selezionata.
    3. Se la verifica della chiave CMEK selezionata non va a buon fine, fai clic su Concedi per assegnare il ruolo IAM Autore crittografia/decrittografia CryptoKey all'account di servizio predefinito.
  6. Fai clic su Fine.

Creare una nuova chiave CMEK

Puoi creare una nuova chiave CMEK se non vuoi utilizzare quella esistente o se non ne hai una nella regione specificata.

Per creare una nuova chiave di crittografia simmetrica, svolgi i seguenti passaggi nella finestra di dialogo Crea una nuova chiave:
  1. Seleziona Portachiavi:
    1. Fai clic su Portachiavi e scegli un portachiavi esistente nella regione specificata.
    2. Se vuoi creare un nuovo portachiavi per la tua chiave, fai clic sul pulsante di attivazione/disattivazione Crea portachiavi e segui questi passaggi:
      1. Fai clic su Nome del keyring e inserisci un nome per il keyring.
      2. Fai clic su Posizione del keyring e scegli la posizione regionale del keyring.
    3. Fai clic su Continua.
  2. Crea chiave:
    1. Fai clic su Nome chiave e inserisci un nome per la nuova chiave.
    2. Fai clic su Livello di protezione e seleziona Software o HSM.

      Per informazioni sui livelli di protezione, consulta Livelli di protezione di Cloud KMS.

  3. Controlla i dettagli della chiave e del portachiavi e fai clic su Continua.
  4. Fai clic su Crea.

Quote di Cloud KMS e Application Integration

Quando utilizzi CMEK nell'Application Integration, i tuoi progetti possono consumare le quote per le richieste crittografiche di Cloud KMS. Ad esempio, le chiavi CMEK possono consumare queste quote per ogni chiamata di crittografia e decrittografia.

Le operazioni di crittografia e decrittografia che utilizzano le chiavi CMEK influiscono sulle quote di Cloud KMS nei seguenti modi:

  • Per le chiavi CMEK software generate in Cloud KMS, non viene consumata alcuna quota Cloud KMS.
  • Per le chiavi CMEK hardware, a volte chiamate chiavi Cloud HSM, le operazioni di crittografia e decrittografia vengono conteggiate ai fini delle quote Cloud HSM nel progetto che contiene la chiave.
  • Per le chiavi CMEK esterne, a volte chiamate chiavi Cloud EKM, le operazioni di crittografia e decrittografia vengono conteggiate ai fini delle quote Cloud EKM nel progetto che contiene la chiave.

Per ulteriori informazioni, consulta Quote di Cloud KMS.