Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sulla crittografia del disco

Per impostazione predefinita, Compute Engine cripta i contenuti inattivi dei clienti. Compute Engine utilizza automaticamente Google-owned and Google-managed encryption keys per criptare i tuoi dati.

Tuttavia, puoi personalizzare la crittografia che Compute Engine utilizza per le tue risorse fornendo chiavi di crittografia della chiave (KEK). Le chiavi di crittografia delle chiavi non criptano direttamente i tuoi dati, ma criptano la Google-owned and managed keys che Compute Engine utilizza per criptare i tuoi dati.

Hai due opzioni per fornire le chiavi di crittografia delle chiavi:

Consigliato. Utilizza le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con Compute Engine. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la posizione, la pianificazione della rotazione, l'utilizzo e le autorizzazioni di accesso e i limiti crittografici. L'utilizzo di Cloud KMS ti consente anche di monitorare l'utilizzo delle chiavi, visualizzare i log di controllo e controllare i cicli di vita delle chiavi. Anziché essere di proprietà di Google e gestite da Google, le chiavi di crittografia delle chiavi (KEK) simmetriche che proteggono i tuoi dati vengono controllate e gestite in Cloud KMS.

Puoi creare le CMEK manualmente oppure utilizzare Cloud KMS Autokey per farle creare automaticamente per tuo conto.

Nella maggior parte dei casi, dopo aver creato un disco criptato con CMEK, non è necessario specificare la chiave quando lavori con il disco.
Puoi gestire le tue chiavi di crittografia delle chiavi al di fuori di Compute Engine e fornire la chiave ogni volta che crei o gestisci un disco. Questa opzione è nota come chiavi di crittografia fornite dal cliente (CSEK). Quando gestisci risorse criptate con CSEK, devi sempre specificare la chiave che hai utilizzato per criptare la risorsa.

Per saperne di più su ciascun tipo di crittografia, vedi Chiavi di crittografia gestite dal cliente e Chiavi di crittografia fornite dal cliente.

Per aggiungere un ulteriore livello di sicurezza ai tuoi dischi Hyperdisk Balanced, attiva la modalità riservata. La modalità riservata aggiunge la crittografia basata sull'hardware ai dischi Hyperdisk bilanciati.

Tipi di dischi supportati

Questa sezione elenca i tipi di crittografia supportati per i dischi e altre opzioni di archiviazione offerte da Compute Engine.

I volumi Persistent Disk supportano Google-owned and managed keys, CMEK e CSEK.
Google Cloud Hyperdisk supporta le CMEK e Google-owned and managed keys. Non puoi utilizzare le chiavi CSEK per criptare gli hyperdisk.
I dischi SSD locali supportano solo Google-owned and managed keys. Non puoi utilizzare chiavi di crittografia fornite dal cliente o chiavi di crittografia gestite dal cliente per criptare i dischi SSD locali.
Le clonazioni del disco e le immagini macchina supportanoGoogle-owned and managed keys, CMEK e CSEK.
Gli snapshot standard e gli snapshot istantanei supportano Google-owned and managed keys, CMEK e CSEK.

CMEK con Autokey di Cloud KMS

Se scegli di utilizzare le chiavi Cloud KMS per proteggere le tue risorse Compute Engine, puoi creare CMEK manualmente o utilizzare Cloud KMS Autokey per creare le chiavi. Con Autokey, le chiavi automatizzate e le chiavi vengono generate on demand durante la creazione delle risorse in Compute Engine. Gli agenti di servizio che utilizzano le chiavi per le operazioni di crittografia e decrittografia vengono creati se non esistono già e vengono concessi i ruoli Identity and Access Management (IAM) richiesti. Per ulteriori informazioni, consulta la panoramica di Autokey.

Per scoprire come utilizzare le chiavi CMEK create da Cloud KMS Autokey per proteggere le risorse di Compute Engine, consulta Utilizzo di Autokey con le risorse di Compute Engine.

Snapshot

Quando utilizzi Autokey per creare chiavi per proteggere le risorse Compute Engine, Autokey non crea nuove chiavi per gli snapshot. Devi criptare uno snapshot con la stessa chiave utilizzata per criptare il disco di origine. Se crei uno snapshot utilizzando la console Google Cloud , la chiave di crittografia utilizzata dal disco viene applicata automaticamente allo snapshot. Se crei uno snapshot utilizzando gcloud CLI, Terraform o l'API Compute Engine, devi recuperare l'identificatore della risorsa della chiave utilizzata per criptare il disco e poi utilizzare questa chiave per criptare lo snapshot.

Cripta i dischi con chiavi di crittografia gestite dal cliente

Per ulteriori informazioni su come utilizzare le chiavi di crittografia gestite dal cliente (CMEK) create manualmente per criptare dischi e altre risorse Compute Engine, consulta Proteggi le risorse utilizzando le chiavi Cloud KMS.

Cripta i dischi con chiavi di crittografia fornite dal cliente

Per scoprire come utilizzare le chiavi di crittografia fornite dal cliente (CSEK) per criptare dischi e altre risorse Compute Engine, consulta Criptare i dischi con chiavi di crittografia fornite dal cliente.

Visualizzare le informazioni sulla crittografia di un disco

I dischi in Compute Engine sono criptati con uno dei seguenti tipi di chiavi di crittografia:

Google-owned and managed keys
Chiavi di crittografia gestite dal cliente (CMEK)
Chiavi di crittografia fornite dal cliente (CSEK)

Per impostazione predefinita, Compute Engine utilizza Google-owned and managed keys.

Per visualizzare il tipo di crittografia di un disco, puoi utilizzare gcloud CLI, la console Google Cloud o l'API Compute Engine.

Console

Nella console Google Cloud vai alla pagina Dischi.

Vai a Dischi
Nella colonna Nome, fai clic sul nome del disco.
Nella tabella Proprietà, la riga etichettata Crittografia indica il tipo di crittografia: gestita da Google, gestita dal cliente o fornita dal cliente.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Utilizza il comando gcloud compute disks describe:
```
    gcloud compute disks describe DISK_NAME \
      --zone=ZONE \
      --format="json(diskEncryptionKey)"
  
```
Sostituisci quanto segue:
- PROJECT_ID: il tuo ID progetto.
- ZONE: la zona in cui si trova il disco.
- DISK_NAME: il nome del disco.
  
  Output comando
  
  Se l'output è null, il disco utilizza un Google-owned and managed key.
  
  In caso contrario, l'output è un oggetto JSON.
  
  Se l'oggetto JSON contiene un campo denominato diskEncryptionKey, il disco è criptato. L'oggetto diskEncryptionKey contiene informazioni che indicano se il disco è criptato con CMEK o CSEK:
  - Se la proprietà diskEncryptionKey.kmsKeyName è presente, il disco è crittografato con CMEK. La proprietà kmsKeyName indica il nome della chiave specifica utilizzata per criptare il disco:
```
{
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
```
  - Se la proprietà diskEncryptionKey.sha256 è presente, il disco è criptato con CSEK. La proprietà sha256 è l'hash SHA-256 della chiave di crittografia fornita dal cliente che protegge il disco.
```
  {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }
    
```

REST

Invia una richiesta POST al metodo compute.disks.get.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME

Sostituisci quanto segue:

PROJECT_ID: il tuo ID progetto.
ZONE: la zona in cui si trova il disco.
DISK_NAME: il nome del disco

Risposta alla richiesta

Se la risposta è null, il disco utilizza un Google-owned and managed key.

In caso contrario, la risposta è un oggetto JSON.

Se l'oggetto JSON contiene un campo denominato diskEncryptionKey, il disco è criptato. L'oggetto diskEncryptionKey contiene informazioni che indicano se il disco è criptato con CMEK o CSEK:

Se la proprietà diskEncryptionKey.kmsKeyName è presente, il disco è crittografato con CMEK. La proprietà kmsKeyName indica il nome della chiave specifica utilizzata per criptare il disco:
```
{
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
```
Se la proprietà diskEncryptionKey.sha256 è presente, il disco è criptato con CSEK. La proprietà sha256 è l'hash SHA-256 della chiave di crittografia fornita dal cliente che protegge il disco.
```
  {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }
    
```

Se il disco utilizza le CMEK, puoi trovare informazioni dettagliate sulla chiave, sul relativo portachiavi e sulla posizione seguendo i passaggi descritti in Visualizzare le chiavi per progetto.

Se il disco utilizza chiavi di crittografia fornite dal cliente, contatta l'amministratore della tua organizzazione per informazioni dettagliate sulla chiave. Utilizzando CMEK, puoi anche vedere quali risorse protegge la chiave con il monitoraggio dell'utilizzo delle chiavi. Per saperne di più, vedi Visualizzare l'utilizzo delle chiavi.

Modalità riservata per Hyperdisk bilanciato

Se utilizzi Confidential Computing, puoi estendere la crittografia basata sull'hardware ai volumi Hyperdisk bilanciato attivando la modalità riservata.

La modalità riservata per i volumi Hyperdisk bilanciato ti consente di attivare una sicurezza aggiuntiva senza dover eseguire il refactoring dell'applicazione. La modalità riservata è una proprietà che puoi specificare quando crei un nuovo volume Hyperdisk bilanciato.

I volumi Hyperdisk Balanced in modalità riservata possono essere utilizzati solo con Confidential VM.

Per creare un volume Hyperdisk bilanciato in modalità riservata, segui i passaggi descritti in Crea un volume Hyperdisk bilanciato in modalità riservata.

Tipi di macchine supportati per i volumi Hyperdisk bilanciati in modalità riservata

I volumi Hyperdisk bilanciati in modalità riservata possono essere utilizzati solo con le Confidential VM che utilizzano il tipo di macchina N2D.

Regioni supportate per i volumi Hyperdisk bilanciati in modalità riservata

La modalità riservata per i volumi Hyperdisk Balanced è disponibile nelle seguenti regioni:

europe-west4
us-central1
us-east4
us-east5
us-south1
us-west4

Limitazioni per i volumi Hyperdisk bilanciati in modalità riservata

Hyperdisk Extreme, Hyperdisk Throughput, Hyperdisk ML e Hyperdisk bilanciato ad alta affidabilità non supportano la modalità confidenziale.
Non puoi sospendere o riprendere una VM che utilizza volumi Hyperdisk bilanciati in modalità riservata.
Non puoi utilizzare i pool di archiviazione Hyperdisk con i volumi Hyperdisk bilanciato in modalità riservata.
Non puoi creare un'immagine della macchina o un'immagine personalizzata da un volume Hyperdisk Balanced in modalità riservata.

Passaggi successivi

Per scoprire come automatizzare la creazione di CMEK, consulta Cloud KMS con Autokey (anteprima).
Per scoprire come creare CMEK, consulta Creare chiavi di crittografia con Cloud KMS.
Cripta un disco con chiavi di crittografia gestite dal cliente (CMEK).
Per creare un volume Hyperdisk Balanced in modalità riservata, consulta Crea un volume Hyperdisk Balanced in modalità riservata.
Scopri di più sul formato e sulla specifica delle chiavi di crittografia fornite dal cliente.

Informazioni sulla crittografia del disco Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.