Esta página foi traduzida pela API Cloud Translation.

Sobre a criptografia de disco

Por padrão, o Compute Engine criptografa o conteúdo do cliente em repouso. O Compute Engine usa automaticamente Google-owned and Google-managed encryption keys para criptografar seus dados.

No entanto, é possível personalizar a criptografia que o Compute Engine usa para seus recursos fornecendo chaves de criptografia de chaves (KEKs). Essas chaves não criptografam diretamente seus dados, mas sim oGoogle-owned and managed keys que o Compute Engine usa para criptografá-los.

Você tem duas opções para fornecer chaves de criptografia de chaves:

Recomendado. Use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com o Compute Engine. O uso de chaves do Cloud KMS permite controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. O uso do Cloud KMS também permite que você monitore o uso de chaves, visualize registros de auditoria e controle ciclos de vida importantes. Em vez de o Google ser proprietário e gerente das chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.

É possível criar CMEKs manualmente ou usar a chave automática do Cloud KMS para que elas sejam criadas automaticamente em seu nome.

Na maioria dos casos, depois de criar um disco criptografado por CMEK, não é necessário especificar a chave ao trabalhar com ele.
É possível gerenciar suas próprias chaves de criptografia de chaves fora do Compute Engine e fornecê-las sempre que criar ou gerenciar um disco. Essa opção é conhecida como Chaves de criptografia fornecidas pelo cliente (CSEKs, na sigla em inglês). Ao gerenciar recursos criptografados por CSEKs, é preciso sempre especificar a chave usada ao criptografar o recurso.

Para mais informações sobre cada tipo de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente e Chaves de criptografia fornecidas pelo cliente.

Para adicionar outra camada de segurança aos seus discos Hyperdisk Balanced, ative o modo confidencial. O modo confidencial adiciona criptografia baseada em hardware aos seus discos Hyperdisk Balanced.

Tipos de disco compatíveis

Nesta seção, listamos os tipos de criptografia compatíveis com discos e outras opções de armazenamento oferecidas pelo Compute Engine.

Os volumes do Persistent Disk são compatíveis com Google-owned and managed keys, CMEKs e CSEKs.
O Google Cloud Hyperdisk é compatível com CMEKs e Google-owned and managed keys. Não é possível usar CSEKs para criptografar Hyperdisks.
Os discos SSD locais são compatíveis apenas com Google-owned and managed keys. Não é possível usar CSEKs ou CMEKs para criptografar discos SSD locais.
Clones de disco e imagens de máquina são compatíveis com Google-owned and managed keys, CMEKs e CSEKs.
Os snapshots padrão e os instant snapshots são compatíveis comGoogle-owned and managed keys, CMEKs e CSEKs.

CMEK com o Cloud KMS Autokey

Se você optar por usar chaves do Cloud KMS para proteger seus recursos do Compute Engine, é possível criar CMEKs manualmente ou usar a chave automática do Cloud KMS. Com o Autokey, keyrings e chaves são gerados sob demanda como parte da criação de recursos no Compute Engine. Os agentes de serviço que usam as chaves para operações de criptografia e descriptografia são criados se ainda não existirem e receberem os papéis necessários do Identity and Access Management (IAM). Para mais informações, consulte Visão geral das chaves automáticas.

Para saber como usar as CMEKs criadas pelo Autokey do Cloud KMS para proteger seus recursos do Compute Engine, consulte Usar o Autokey com recursos do Compute Engine.

Snapshots

Ao usar o Autokey para criar chaves e proteger seus recursos do Compute Engine, ele não cria novas chaves para snapshots. É preciso criptografar um instantâneo com a mesma chave usada para criptografar o disco de origem. Se você criar um snapshot usando o console Google Cloud , a chave de criptografia usada pelo disco será aplicada automaticamente ao snapshot. Se você criar um snapshot usando a CLI gcloud, o Terraform ou a API Compute Engine, será necessário receber o identificador de recurso da chave usada para criptografar o disco e usar essa chave para criptografar o snapshot.

Criptografar discos com chaves de criptografia gerenciadas pelo cliente

Para mais informações sobre como usar chaves de criptografia gerenciadas pelo cliente (CMEK) criadas manualmente para criptografar discos e outros recursos do Compute Engine, consulte Proteger recursos usando chaves do Cloud KMS.

Criptografar discos com chaves fornecidas pelo cliente

Para saber como usar Chaves de criptografia fornecidas pelo cliente (CSEK) para criptografar discos e outros recursos do Compute Engine, consulte Como criptografar discos com Chaves de criptografia fornecidas pelo cliente.

Ver informações sobre a criptografia de um disco

Os discos no Compute Engine são criptografados com um dos seguintes tipos de chaves de criptografia:

Google-owned and managed keys
Chaves de criptografia gerenciadas pelo cliente (CMEKs)
Chaves de criptografia fornecidas pelo cliente (CSEKs)

Por padrão, o Compute Engine usa Google-owned and managed keys.

Para ver o tipo de criptografia de um disco, use a CLI gcloud, o console Google Cloud ou a API Compute Engine.

Console

No console Google Cloud , acesse a página Discos.

Acessar "Discos"
Na coluna Nome, clique no nome do disco.
Na tabela Propriedades, a linha com o rótulo Criptografia indica o tipo de criptografia: Gerenciada pelo Google, Gerenciada pelo cliente ou Fornecida pelo cliente.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Use o comando gcloud compute disks describe:
```
    gcloud compute disks describe DISK_NAME \
      --zone=ZONE \
      --format="json(diskEncryptionKey)"
  
```
Substitua:
- PROJECT_ID: o ID do projeto.
- ZONE: zona em que o disco está.
- DISK_NAME: o nome do disco.
  
  Resposta ao comando
  
  Se a saída for null, o disco usará um Google-owned and managed key.
  
  Caso contrário, a saída será um objeto JSON.
  
  Se o objeto JSON tiver um campo chamado diskEncryptionKey, o disco será criptografado. O objeto diskEncryptionKey contém informações indicando se o disco é criptografado por CMEKs ou CSEKs:
  - Se a property diskEncryptionKey.kmsKeyName estiver presente, o disco será criptografado por CMEKs. A property kmsKeyName indica o nome da chave específica usada para criptografar o disco:
```
{
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
```
  - Se a property diskEncryptionKey.sha256 estiver presente, o disco será criptografado por CSEKs. A property sha256 é o hash SHA-256 da chave de criptografia fornecida pelo cliente que protege o disco.
```
  {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }
    
```

REST

Faça uma solicitação POST ao método compute.disks.get.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME

Substitua:

PROJECT_ID: o ID do projeto.
ZONE: zona em que o disco está.
DISK_NAME: o nome do disco.

Resposta da solicitação

Se a resposta for null, o disco usará um Google-owned and managed key.

Caso contrário, a resposta será um objeto JSON.

Se o objeto JSON tiver um campo chamado diskEncryptionKey, o disco será criptografado. O objeto diskEncryptionKey contém informações indicando se o disco é criptografado por CMEKs ou CSEKs:

Se a property diskEncryptionKey.kmsKeyName estiver presente, o disco será criptografado por CMEKs. A property kmsKeyName indica o nome da chave específica usada para criptografar o disco:
```
{
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
```
Se a property diskEncryptionKey.sha256 estiver presente, o disco será criptografado por CSEKs. A property sha256 é o hash SHA-256 da chave de criptografia fornecida pelo cliente que protege o disco.
```
  {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }
    
```

Quando o disco usa CMEKs, é possível encontrar informações detalhadas sobre a chave, o keyring e o local seguindo as etapas em Ver chaves por projeto.

Se o disco usar CSEKs, entre em contato com o administrador da organização para mais detalhes sobre a chave. Com a CMEK, também é possível ver quais recursos essa chave protege com o rastreamento de uso da chave. Para mais informações, consulte Conferir o uso da chave.

Modo confidencial para Hyperdisk Balanced

Se você usa a Computação confidencial, é possível estender a criptografia baseada em hardware aos volumes do Hyperdisk equilibrado ativando o modo confidencial.

Com o modo confidencial para volumes do Hyperdisk Balanced, é possível ativar mais segurança sem precisar refatorar o aplicativo. O modo confidencial é uma propriedade que pode ser especificada ao criar um volume do Hyperdisk Balanced.

Os volumes do Hyperdisk equilibrado no modo confidencial só podem ser usados com VMs confidenciais.

Para criar um volume do Hyperdisk Balanced no modo confidencial, siga as etapas em Criar um volume do Hyperdisk Balanced no modo confidencial.

Tipos de máquina compatíveis com volumes do Hyperdisk equilibrado no modo confidencial

Os volumes do Hyperdisk equilibrado no modo confidencial só podem ser usados com VMs confidenciais que usam o tipo de máquina N2D.

Regiões com suporte para volumes do Hyperdisk equilibrado no modo confidencial

O modo confidencial para volumes do Hyperdisk equilibrado está disponível nas seguintes regiões:

europe-west4
us-central1
us-east4
us-east5
us-south1
us-west4

Limitações para volumes do Hyperdisk Balanced no modo confidencial

O modo confidencial não é compatível com o Hyperdisk Extreme, o Hyperdisk Throughput, o Hyperdisk ML e o Hyperdisk Balanced High Availability.
Não é possível suspender ou retomar uma VM que usa volumes do Hyperdisk equilibrado no modo confidencial.
Não é possível usar pools de armazenamento de hiperdisco com volumes do Hyperdisk Balanced no modo confidencial.
Não é possível criar uma imagem de máquina ou personalizada com base em um volume do Hyperdisk Balanced no modo confidencial.

A seguir

Para saber como automatizar a criação de CMEKs, consulte Cloud KMS com chave automática (pré-lançamento).
Para saber como criar CMEKs, consulte Criar chaves de criptografia com o Cloud KMS.
Criptografe um disco com chaves de criptografia gerenciadas pelo cliente (CMEKs).
Para criar um volume do Hyperdisk Balanced no modo confidencial, consulte Criar um volume do Hyperdisk Balanced no modo confidencial.
Saiba mais sobre o formato e a especificação das CSEKs.

Sobre a criptografia de disco Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.