Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sulla crittografia del disco

Per impostazione predefinita, Compute Engine cripta i contenuti dei clienti riposo. Handle Compute Engine e la gestisce per te senza che tu debba fare altro. Questa opzione è nota come crittografia gestita da Google.

Tuttavia, se hai requisiti specifici relativi alla conformità o alla località di materiale crittografico, puoi personalizzare la crittografia per le tue risorse. Puoi personalizzare la crittografia fornendo chiavi di crittografia delle chiavi. Le chiavi di crittografia della chiave non criptano direttamente i tuoi dati, ma crittografare le chiavi generate da Google utilizzate da Compute Engine crittografare i dati.

Hai due opzioni per fornire chiavi di crittografia della chiave:

Consigliato. Utilizzare Cloud Key Management Service (Cloud KMS) in Compute Engine per creare e gestire le chiavi di crittografia delle chiavi.

Le chiavi gestite da Cloud Key Management Service sono note come chiavi di crittografia gestite dal cliente (CMEK). Dopo il giorno creando una chiave, puoi utilizzarla come chiave di crittografia della chiave di un disco.

Puoi creare direttamente CMEK oppure puoi utilizzare Cloud KMS Autokey per crearle automaticamente. Per ulteriori informazioni, vedi Cloud KMS con Autokey.

Nella maggior parte dei casi, dopo aver creato un disco criptato con CMEK, non è necessario specifica la chiave quando lavori con il disco.
Puoi gestire le tue chiavi di crittografia della chiave al di fuori di Compute Engine, e fornire la chiave ogni volta per creare o gestire un disco. Questa opzione è nota come chiavi di crittografia fornite dal cliente (CSEK). Se gestisci la crittografia CSEK devi sempre utilizzare le risorse specificare la chiave utilizzata per criptare la risorsa.

Per saperne di più, consulta Chiavi di crittografia gestite dal cliente e Chiavi di crittografia fornite dal cliente.

Tipi di disco supportati

Questa sezione elenca i tipi di crittografia supportati per i dischi e altre opzioni di archiviazione offerti da Compute Engine.

I volumi Persistent Disk supportano il valore predefinito di Google CMEK e CSEK.
Google Cloud Hyperdisk supporta le CMEK e la crittografia predefinita di Google. Non puoi utilizzare le CSEK per criptare gli Hyperdisk.
I dischi SSD locali supportano solo la crittografia predefinita di Google. Non puoi utilizzare CSEK o CMEK per criptare i dischi SSD locali.
cloni di dischi e le immagini delle macchine supportano crittografia, CMEK e CSEK.
Snapshot standard e Gli snapshot istantanei supportano la crittografia predefinita di Google, le CMEK e le CSEK.

Cripta i dischi con chiavi di crittografia gestite dal cliente

Per saperne di più su come utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per criptare i dischi e altre risorse Compute Engine, Proteggi le risorse utilizzando chiavi Cloud KMS.

Cripta i dischi con chiavi di crittografia fornite dal cliente

Scopri come utilizzare le chiavi di crittografia fornite dal cliente (CSEK) per criptare dischi e altre risorse Compute Engine, Crittografia dei dischi con chiavi di crittografia fornite dal cliente.

Visualizza le informazioni sulla crittografia di un disco

I dischi in Compute Engine sono criptati con metodi gestiti da Google, o chiavi di crittografia fornite dal cliente. La crittografia gestita da Google è l'impostazione predefinita.

Per visualizzare il tipo di crittografia di un disco, puoi usare gcloud CLI, la console Google Cloud o l'API Compute Engine.

Console

Nella console Google Cloud, vai alla pagina Dischi.

Vai a dischi
Nella colonna Nome, fai clic sul nome del disco.
Nella tabella Proprietà, la riga Crittografia indica il tipo della crittografia: gestita da Google, gestita dal cliente o fornito dal cliente.

gcloud

Nella console Google Cloud, attiva Cloud Shell.

Attiva Cloud Shell

Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Usa il comando gcloud compute disks describe:
```
    gcloud compute disks describe DISK_NAME \
      --zone=ZONE \
      --format="json(diskEncryptionKey)"
  
```
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto.
- ZONE: la zona in cui si trova il disco.
- DISK_NAME: il nome del disco.
  
  Output comando
  
  Se l'output è null, il disco utilizza la crittografia gestita da Google, che è l'impostazione predefinita.
  
  In caso contrario, l'output è un oggetto JSON.
  
  Se l'oggetto JSON contiene un campo denominato diskEncryptionKey, il disco è criptato. L'oggetto diskEncryptionKey contiene informazioni che indicano se il disco è Con crittografia CMEK o CSEK:
  - Se è presente la proprietà diskEncryptionKey.kmsKeyName, il disco viene Criptata con CMEK. La proprietà kmsKeyName indica il nome della risorsa chiave utilizzata per criptare il disco:
```
{
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
```
  - Se è presente la proprietà diskEncryptionKey.sha256, il disco è criptato con CSEK. La proprietà sha256 è l'hash SHA-256 della crittografia fornita dal cliente chiave che protegge il disco.
```
  {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }
    
```

API

Invia una richiesta POST a Metodo compute.disks.get.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME

Sostituisci quanto segue:

PROJECT_ID: il tuo ID progetto.
ZONE: la zona in cui si trova il disco.
DISK_NAME: il nome del disco

Richiedi risposta

Se la risposta è null, il disco utilizza la crittografia gestita da Google, che è l'impostazione predefinita.

In caso contrario, la risposta è un oggetto JSON.

Se l'oggetto JSON contiene un campo denominato diskEncryptionKey, il disco è criptato. L'oggetto diskEncryptionKey contiene informazioni che indicano se il disco è Con crittografia CMEK o CSEK:

Se è presente la proprietà diskEncryptionKey.kmsKeyName, il disco viene Criptata con CMEK. La proprietà kmsKeyName indica il nome della risorsa chiave utilizzata per criptare il disco:
```
{
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
```
Se è presente la proprietà diskEncryptionKey.sha256, il disco è criptato con CSEK. La proprietà sha256 è l'hash SHA-256 della crittografia fornita dal cliente chiave che protegge il disco.
```
  {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }
    
```

Se il disco utilizza la crittografia CMEK, puoi trovare informazioni dettagliate sul chiave, il relativo keyring e la posizione seguendo i passaggi Visualizza chiavi per progetto.

Se il disco utilizza la crittografia CSEK, contatta l'amministratore della tua organizzazione per informazioni dettagliate sulla chiave. Con CMEK, puoi anche vedere quali risorse chiave protegge con il monitoraggio dell'uso delle chiavi. Per ulteriori informazioni, vedi Visualizza l'utilizzo delle chiavi.

Passaggi successivi

Per scoprire come automatizzare la creazione di CMEK, vedi Cloud KMS con Autokey (anteprima).
Per scoprire come creare CMEK, vedi Creare chiavi di crittografia con Cloud KMS.
Cripta un disco con le chiavi di crittografia gestite dal cliente (CMEK).
Scopri di più sul formato e sulle specifiche per le CSEK.