Informazioni sulla crittografia del disco

Per impostazione predefinita, Compute Engine cripta i contenuti at-rest dei clienti. Compute Engine gestisce questa crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata crittografia gestita da Google.

Tuttavia, se hai requisiti specifici relativi alla conformità o alla località del materiale crittografico, puoi personalizzare la crittografia utilizzata da Compute Engine per le tue risorse.

È possibile personalizzare la crittografia fornendo chiavi di crittografia della chiave. Le chiavi di crittografia della chiave non criptano direttamente i tuoi dati, ma criptano le chiavi generate da Google che Compute Engine utilizza per criptare i tuoi dati.

Per fornire le chiavi di crittografia della chiave sono disponibili due opzioni:

Consigliato. Utilizza Cloud Key Management Service (Cloud KMS) in Compute Engine per creare e gestire le chiavi di crittografia delle chiavi.

Le chiavi gestite da Cloud Key Management Service sono note come chiavi di crittografia gestite dal cliente (CMEK). Dopo aver creato una chiave, puoi utilizzarla come chiave di crittografia della chiave del disco.

Nella maggior parte dei casi, dopo aver creato un disco criptato con CMEK, non è necessario specificare la chiave quando lavori con il disco, poiché Cloud Key Management Service sa quale chiave hai utilizzato. L'eccezione è creare un disco da uno snapshot istantaneo criptato con CMEK.
Puoi gestire le tue chiavi di crittografia all'esterno di Compute Engine e fornire la chiave ogni volta che crei o gestisci un disco. Questa opzione è nota come chiavi di crittografia fornite dal cliente (CSEK). Quando gestisci le risorse criptate con CSEK, devi sempre specificare la chiave utilizzata per criptare la risorsa.

Per ulteriori informazioni, consulta Chiavi di crittografia gestite dal cliente e Chiavi di crittografia fornite dal cliente.

Tipi di disco supportati

Questa sezione elenca i tipi di crittografia supportati per i dischi e altre opzioni di archiviazione offerte da Compute Engine.

I volumi di dischi permanenti supportano la crittografia predefinita, le CMEK e le CSEK predefinite di Google.
Google Cloud Hyperdisk supporta le CMEK e la crittografia predefinita di Google. Non puoi utilizzare le CSEK per criptare gli Hyperdisk.
I dischi SSD locali supportano solo la crittografia predefinita di Google. Non puoi utilizzare CSEK o CMEK per criptare i dischi SSD locali.
I cloni di dischi e le immagini macchina supportano la crittografia predefinita, le CMEK e le CSEK predefinite di Google.
Gli snapshot standard e gli snapshot istantanei supportano la crittografia predefinita di Google, le CMEK e le CSEK.

Cripta i dischi con chiavi di crittografia gestite dal cliente

Per saperne di più su come utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per criptare i dischi e altre risorse di Compute Engine, consulta Proteggere le risorse utilizzando chiavi Cloud KMS.

Cripta i dischi con chiavi di crittografia fornite dal cliente

Per informazioni su come utilizzare le chiavi di crittografia fornite dal cliente (CSEK) per criptare i dischi e altre risorse di Compute Engine, consulta Crittografia dei dischi con chiavi di crittografia fornite dal cliente.

Visualizzare le informazioni sulla crittografia di un disco

I dischi in Compute Engine sono criptati con chiavi di crittografia gestite da Google, dal cliente o fornite dal cliente. La crittografia gestita da Google è l'impostazione predefinita.

Per visualizzare il tipo di crittografia di un disco, puoi utilizzare gcloud CLI, la console Google Cloud o l'API Compute Engine.

Console

Nella console Google Cloud, vai alla pagina Dischi.

Vai a Dischi
Nella colonna Nome, fai clic sul nome del disco.
Nella tabella Proprietà, la riga Crittografia indica il tipo di crittografia: Gestita da Google, Gestita dal cliente o Fornita dal cliente.

gcloud

Nella console Google Cloud, attiva Cloud Shell.

Attiva Cloud Shell

Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Utilizza il comando gcloud compute disks describe:
```
    gcloud compute disks describe DISK_NAME \
      --zone=ZONE \
      --format="json(diskEncryptionKey)"
  
```
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto.
- ZONE: la zona in cui si trova il disco.
- DISK_NAME: il nome del disco.
  
  Output comando
  
  Se l'output è null, il disco utilizza la crittografia gestita da Google, che è l'impostazione predefinita.
  
  In caso contrario, l'output è un oggetto JSON.
  
  Se l'oggetto JSON contiene un campo denominato diskEncryptionKey, il disco è criptato. L'oggetto diskEncryptionKey contiene informazioni che indicano se il disco è criptato tramite CMEK o CSEK:
  - Se la proprietà diskEncryptionKey.kmsKeyName è presente, il disco è criptato tramite CMEK. La proprietà kmsKeyName indica il nome della chiave specifica utilizzata per criptare il disco:
```
{
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
```
  - Se è presente la proprietà diskEncryptionKey.sha256, il disco è criptato con CSEK. La proprietà sha256 è l'hash SHA-256 della chiave di crittografia fornita dal cliente che protegge il disco.
```
  {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }
    
```

API

Invia una richiesta POST al metodo compute.disks.get.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME

Sostituisci quanto segue:

PROJECT_ID: il tuo ID progetto.
ZONE: la zona in cui si trova il disco.
DISK_NAME: il nome del disco

Richiedi risposta

Se la risposta è null, il disco utilizza la crittografia gestita da Google, che è l'impostazione predefinita.

In caso contrario, la risposta è un oggetto JSON.

Se l'oggetto JSON contiene un campo denominato diskEncryptionKey, il disco è criptato. L'oggetto diskEncryptionKey contiene informazioni che indicano se il disco è criptato tramite CMEK o CSEK:

Se la proprietà diskEncryptionKey.kmsKeyName è presente, il disco è criptato tramite CMEK. La proprietà kmsKeyName indica il nome della chiave specifica utilizzata per criptare il disco:
```
{
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
```
Se è presente la proprietà diskEncryptionKey.sha256, il disco è criptato con CSEK. La proprietà sha256 è l'hash SHA-256 della chiave di crittografia fornita dal cliente che protegge il disco.
```
  {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }
    
```

Se il disco utilizza la crittografia CMEK, puoi trovare informazioni dettagliate sulla chiave, sul keyring e sulla posizione seguendo i passaggi descritti in Visualizzare le chiavi per progetto.

Se il disco utilizza la crittografia CSEK, contatta l'amministratore della tua organizzazione per informazioni dettagliate sulla chiave.

Passaggi successivi

Per scoprire come creare CMEK, vedi Creare chiavi di crittografia con Cloud KMS.
Cripta un disco con chiavi di crittografia gestite dal cliente (CMEK).
Scopri di più sul formato e sulle specifiche per le CSEK.