Ative chaves de encriptação geridas pelo cliente

Este documento descreve como encriptar os dados do catálogo universal do Dataplex com chaves de encriptação geridas pelo cliente (CMEK).

Vista geral

Por predefinição, o Dataplex Universal Catalog encripta o conteúdo do cliente em repouso. O Dataplex Universal Catalog processa a encriptação por si sem ações adicionais da sua parte. Esta opção chama-se Encriptação predefinida da Google.

Se quiser controlar as suas chaves de encriptação, pode usar chaves de encriptação geridas pelo cliente (CMEK) no Cloud KMS com serviços integrados com CMEK, incluindo o Dataplex Universal Catalog. A utilização de chaves do Cloud KMS dá-lhe controlo sobre o respetivo nível de proteção, localização, programação de rotação, utilização, autorizações de acesso e limites criptográficos. A utilização do Cloud KMS também permite monitorizar a utilização das chaves, ver registos de auditoria e controlar os ciclos de vida das chaves. Em vez de a Google possuir e gerir as chaves de encriptação de chaves (KEKs) simétricas que protegem os seus dados, controla e gere estas chaves no Cloud KMS.

Depois de configurar os seus recursos com CMEKs, a experiência de acesso aos recursos do catálogo universal do Dataplex é semelhante à utilização da encriptação predefinida da Google. Para mais informações acerca das suas opções de encriptação, consulte o artigo Chaves de encriptação geridas pelo cliente (CMEK).

O Dataplex Universal Catalog usa uma CMEK por localização para todos os recursos do Dataplex Universal Catalog.

Pode configurar uma chave CMEK ao nível da organização no Dataplex Universal Catalog.

Para mais informações sobre as CMEK em geral, incluindo quando e por que motivo ativá-las, consulte o artigo Chaves de encriptação geridas pelo cliente (CMEKs).

Vantagens da CMEK

As CMEK permitem-lhe fazer o seguinte:

  • Faça a gestão das principais operações do ciclo de vida e das autorizações de acesso.
  • Acompanhe a utilização de chaves com a API Key Inventory e os painéis de controlo de utilização de chaves no Cloud KMS, que lhe permitem ver as chaves que protegem os recursos. O Cloud Logging indica quando as chaves foram acedidas e por quem.
  • Cumpra requisitos regulamentares específicos gerindo as suas chaves de encriptação.

Como funciona a CMEK com o Dataplex Universal Catalog

Os administradores de encriptação do Dataplex Universal Catalog no seu Google Cloud projeto podem configurar a CMEK para o Dataplex Universal Catalog fornecendo a chave do Cloud KMS. Em seguida, o catálogo universal do Dataplex usa a chave do Cloud KMS especificada para encriptar todos os dados, incluindo os dados existentes e quaisquer novos recursos criados no catálogo universal do Dataplex.

Funcionalidades suportadas

  • O Dataplex Universal Catalog suporta a encriptação CMEK para as seguintes funcionalidades:
  • A origem dos dados não armazena conteúdo essencial do cliente nem dados confidenciais e, por isso, não requer a encriptação CMEK.
  • Os clientes do Assured Workloads não podem usar outras funcionalidades do catálogo universal do Dataplex porque a encriptação CMEK não é suportada para eles.
  • Os clientes que não usam o Assured Workloads podem usar outras funcionalidades, mas os dados são encriptados através da encriptação predefinida da Google.

Considerações

  • Por predefinição, cada organização é aprovisionada através da encriptação predefinida da Google.
  • O administrador da organização pode mudar para CMEK no Dataplex Universal Catalog para qualquer localização.
  • O catálogo universal do Dataplex suporta chaves do Cloud KMS, chaves do Cloud HSM e chaves do Cloud External Key Manager.
  • A rotação de chaves é suportada e, após a sua disponibilidade, a nova versão da chave é usada automaticamente para a encriptação de dados. Os dados existentes também são encriptados com esta nova versão.
  • O catálogo universal do Dataplex retém cópias de segurança de dados durante um máximo de 15 dias. Todas as cópias de segurança criadas depois de ativar a CMEK são encriptadas com a chave do KMS especificada. Os dados dos quais foi feita uma cópia de segurança antes de ativar a CMEK permanecem encriptados com a encriptação predefinida da Google durante um máximo de 15 dias.

Limitações

  • A mudança para CMEK é um processo irreversível. Depois de optar pelas CMEK, não pode reverter para a encriptação predefinida da Google.
  • Depois de configurar uma chave do Cloud KMS para o Dataplex Universal Catalog, não é possível atualizá-la nem alterá-la.
  • O Dataplex Universal Catalog só suporta encriptação ao nível da organização. Como resultado, a configuração de encriptação é definida ao nível da organização para uma determinada localização e é usada para encriptar os dados do catálogo universal do Dataplex para todos os projetos nessa organização e localização. A encriptação CMEK não é suportada para projetos específicos numa organização ou numa pasta. A definição de políticas organizacionais relacionadas com a CMEK requer uma consideração cuidadosa.
  • O catálogo universal do Dataplex não suporta CMEK na região global.
  • A proteção CMEK não está disponível para metadados capturados em aspetos e glossários.

Proteja as suas chaves de encriptação

Para garantir o acesso contínuo aos dados encriptados pela CMEK, siga estas práticas recomendadas:

  • Certifique-se de que as chaves CMEK permanecem ativadas e acessíveis. Se uma chave for desativada ou destruída, os dados do catálogo universal do Dataplex tornam-se inacessíveis. Se a chave estiver indisponível durante mais de 30 dias, os dados encriptados com essa chave são eliminados automaticamente e não podem ser recuperados.
  • Se a chave do Cloud KMS for destruída e não for recuperável, todos os dados do catálogo universal do Dataplex associados são perdidos permanentemente.
  • Nos casos em que o Cloud KMS está temporariamente indisponível, o catálogo universal do Dataplex continua a suportar operações completas com base no melhor esforço durante, no máximo, uma hora. Após este período, os dados ficam temporariamente inacessíveis como medida de proteção.
  • Quando usar o EKM da nuvem, tenha em atenção que a Google não controla a disponibilidade das suas chaves geridas externamente. A indisponibilidade da chave a curto prazo resulta na inacessibilidade temporária dos dados. A indisponibilidade de chaves que se prolongue por 30 dias resulta na perda permanente de dados.
  • Depois de ativar a CMEK, não mova projetos de uma organização para outra, porque esta ação resulta na perda de dados.

Disponibilidade do Dataplex Universal Catalog

As secções seguintes descrevem o processo e o impacto operacional esperado quando ativa a CMEK para a organização do catálogo universal do Dataplex.

Aprovisionamento inicial da infraestrutura

Depois de guardar a configuração de encriptação, o Dataplex Universal Catalog configura a infraestrutura necessária. Normalmente, este processo demora entre 6 e 8 horas. Durante esta fase de aprovisionamento, mantém o acesso total a todas as funcionalidades do Dataplex Universal Catalog e os dados permanecem encriptados através da encriptação gerida pela Google. Se a política da organização constraints/gcp.restrictNonCmekServices estiver definida, os pedidos de criação de recursos falham até a fase de aprovisionamento estar concluída.

Encriptação de dados e disponibilidade da API

Após o aprovisionamento da infraestrutura, o catálogo universal do Dataplex começa a encriptar os dados existentes armazenados na organização. Para garantir a integridade dos dados e evitar potenciais inconsistências durante este processo de encriptação, os métodos da API Dataplex estão temporariamente indisponíveis. Esta restrição impede as operações de atualização de dados. Quando ativa inicialmente a CMEK para o Dataplex Universal Catalog, todos os dados existentes são encriptados. Esta operação única demora até duas horas.

Operações pós-encriptação

Após a conclusão bem-sucedida da encriptação de dados existente, os métodos da API Dataplex ficam totalmente disponíveis. A criação ou a modificação de dados no catálogo universal do Dataplex é encriptada automaticamente através da CMEK configurada, sem interrupções operacionais nem restrições de API.

Crie uma chave e ative as CMEK

As instruções seguintes explicam como criar uma chave e ativar as CMEK para o Catálogo universal do Dataplex. Pode usar uma chave criada diretamente no Cloud KMS ou uma chave gerida externamente que disponibiliza com o Cloud EKM.

  1. No Google Cloud projeto onde quer gerir as suas chaves, faça o seguinte:

    1. Ative a API Cloud Key Management Service.

    2. Crie um conjunto de chaves do Cloud KMS na localização onde o quer usar.

    3. Crie uma chave através de uma das seguintes opções:

  2. Crie e apresente a conta de serviço gerida pela Google:

    gcloud beta services identity create \
    --service=dataplex.googleapis.com \
    --organization=ORG_ID

    Substitua ORG_ID pelo ID da organização que contém a chave.

    Se lhe for pedido que instale o componente de comandos beta da CLI Google Cloud, introduza Y.

    O comando services identity da CLI gcloud cria ou obtém a conta de serviço gerida pela Google específica que o catálogo universal do Dataplex pode usar para aceder à chave do Cloud KMS.

    O ID da conta de serviço está formatado como service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com. Também é criada uma conta de serviço específica da CMEK, formatada como service-org-ORG_ID@gcp-sa-dataplex-cmek.iam.gserviceaccount.com. A conta de serviço específica da CMEK é usada para encriptar e desencriptar dados armazenados no catálogo universal do Dataplex. Se usar os VPC Service Controls para a chave do Cloud KMS, tem de conceder acesso à conta de serviço específica da CMEK através de uma regra de entrada.

  3. Conceda a função da IAM de encriptador/desencriptador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) à conta de serviço do Dataplex Universal Catalog. Conceda esta autorização na chave que criou.

    Consola

    1. Aceda à página Gestão de chaves.

      Aceda à gestão de chaves

    2. Clique no porta-chaves.

    3. Na lista de chaves disponíveis, clique na chave que criou.

    4. Clique no separador Autorizações.

    5. Clique em Conceder acesso.

    6. No painel Conceder acesso apresentado, siga estes passos para conceder acesso à conta de serviço do catálogo universal do Dataplex:

      1. Em Adicionar membros, introduza a conta de serviço service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.
      2. Em Atribuir funções, selecione a função de encriptador/desencriptador de CryptoKey do Cloud KMS.
      3. Clique em Guardar.

    gcloud

    Conceda à conta de serviço a função cloudkms.cryptoKeyEncrypterDecrypter:

    gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location=LOCATION \
    --keyring KEY_RING \
    --project=KEY_PROJECT_ID \
    --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter

    Substitua o seguinte:

    • KEY_NAME: o nome da chave
    • LOCATION: a localização
    • KEY_RING: o conjunto de chaves
    • KEY_PROJECT_ID: o ID do projeto da chave

  4. Atribua a função de administrador da encriptação do Dataplex a si mesmo.

    Consola

    Siga as instruções para conceder uma função do IAM.

    gcloud 

    gcloud organizations add-iam-policy-binding ORG_ID \
    --member='user:USER_EMAIL' \
    --role='roles/dataplex.encryptionAdmin'

    Substitua o seguinte:

    • ORG_ID: o ID da organização que contém a chave.
    • USER_EMAIL: o endereço de email do utilizador.

  5. Configure o Dataplex Universal Catalog para usar a sua chave CMEK.

    Consola

    1. Na Google Cloud consola, aceda à página Dataplex.

      Aceder ao Dataplex

    2. Clique em Definições.

    3. Em Selecionar região para CMEK, selecione uma região. A região que selecionar tem de corresponder à localização da chave do Cloud KMS.

    4. Em Selecionar chave de encriptação, selecione a chave que criou.

    5. Clique em Guardar.

      O processo de encriptação de dados demora algum tempo a ser concluído. Quando o processo terminar, é apresentada a seguinte mensagem: Data Encryption is complete. Your selected CMEK key is now protecting your data.

    gcloud

    1. Defina a configuração de encriptação no Dataplex Universal Catalog:

      gcloud dataplex encryption-config create default \
    --location=LOCATION \
    --organization=ORG_ID \
    --key=KEY_RESOURCE_ID

      Substitua o seguinte:

      • ORG_ID: o ID da organização que contém a chave.
      • KEY_RESOURCE_ID: o ID do recurso principal - por exemplo, projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. Substitua PROJECT_ID pelo ID do projeto principal.

    2. Verifique se o processo de encriptação está concluído:

      gcloud dataplex encryption-config describe default \
    --location=LOCATION \
    --organization=ORG_ID

    O processo de encriptação de dados demora algum tempo a ser concluído. Quando o processo estiver concluído, é apresentada a seguinte mensagem: encryptionState: COMPLETED.

Registo e monitorização

Audite os pedidos do Dataplex Universal Catalog ao Cloud KMS ativando o registo de auditoria para a API Cloud KMS.

Políticas da organização de CMEK

OGoogle Cloud fornece restrições da política da organização para aplicar a utilização de CMEK e controlar as chaves do Cloud KMS permitidas na sua organização. Estas restrições ajudam a garantir que os dados no Dataplex Universal Catalog estão sempre protegidos pela CMEK.

  • constraints/gcp.restrictNonCmekServices aplica a utilização obrigatória de CMEK para os recursos do Dataplex Universal Catalog.

    • Adicionar dataplex.googleapis.com à lista de Google Cloud nomes de serviços e definir a restrição como Deny proíbe a criação de recursos do catálogo universal do Dataplex que não tenham proteção CMEK.

    • Se não for especificada uma chave do Cloud KMS para a localização pedida nas definições de encriptação CMEK, os pedidos de criação de recursos no Dataplex Universal Catalog falham.

    • Esta política é validada ao nível do projeto de recurso individual.

  • constraints/gcp.restrictCmekCryptoKeyProjects restringe a seleção de chaves do Cloud KMS para CMEK a hierarquias de recursos designadas.

    • Ao configurar uma lista de indicadores da hierarquia de recursos (projetos, pastas ou organizações) e definir a restrição como Allow, o Dataplex Universal Catalog fica restrito à utilização de chaves CMEK apenas das localizações especificadas.

    • Se for fornecida uma chave do Cloud KMS de um projeto não permitido, os pedidos para criar recursos protegidos por CMEK no catálogo universal do Dataplex falham.

    • Esta política é validada ao nível do projeto de recursos durante a criação de recursos.

    • Esta política é validada ao nível da organização quando configura as definições de encriptação CMEK.

    • Para evitar inconsistências, certifique-se de que as configurações ao nível do projeto estão alinhadas com as políticas ao nível da organização.

Para mais informações sobre a configuração de políticas da organização, consulte as políticas da organização da CMEK.

O que se segue?

  • Saiba mais acerca das CMEK.