Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)

Questa pagina descrive il funzionamento delle chiavi di crittografia gestite dal cliente (CMEK) con Datastream.

CMEK è la scelta giusta per te?

CMEK è destinato alle organizzazioni che hanno dati sensibili o regolamentati che richiedono la gestione delle chiavi di crittografia.

Confronto tra crittografia gestita da Google e crittografia gestita dal cliente

La funzionalità CMEK ti consente di utilizzare le tue chiavi di crittografia per i dati at-rest in Datastream. Dopo aver aggiunto CMEK, ogni volta che viene effettuata una chiamata API, Datastream utilizza la tua chiave per accedere ai dati.

Per criptare Datastream, Datastream utilizza chiavi di crittografia dei dati (DEK) e chiavi di crittografia della chiave (KEK) gestite da Google. Esistono due livelli di crittografia:

  1. La DEK cripta i dati.
  2. La KEK cripta la DEK.

Datastream archivia la DEK criptata insieme ai dati criptati e Google gestisce la KEK di Google. Con CMEK, crei una chiave che racchiude la KEK di Google. CMEK ti consente di creare, revocare ed eliminare la chiave KEK.

Le chiavi CMEK, incluse quelle software, hardware ed esterne, vengono gestite tramite l'API Cloud Key Management Service (KMS).

Quali località supportano gli stream di Datastream abilitati per CMEK?

Le chiavi CMEK sono disponibili in tutte le località in cui è disponibile Datastream.

Informazioni sugli account di servizio

Quando gli stream di Datastream hanno CMEK abilitato, devi utilizzare un account di servizio per richiedere l'accesso alle chiavi da Cloud Key Management Service.

Per utilizzare un CMEK in un progetto, devi disporre di un account di servizio e devi concedere alla chiave l'accesso all'account di servizio. L'account di servizio deve esistere all'interno del progetto. L'account di servizio è visibile in tutte le regioni.

Se utilizzi la console per creare uno stream, Datastream crea automaticamente l'account di servizio quando scegli per la prima volta l'opzione Chiave gestita dal cliente (se non esiste già un account di servizio). Non è necessario disporre di autorizzazioni speciali per il tuo account utente quando Datastream crea automaticamente l'account di servizio.

Informazioni sulle chiavi

In Cloud Key Management Service, devi creare un keyring con una chiave di crittografia impostata con una posizione. Quando crei un nuovo stream in Datastream, seleziona questa chiave per criptarlo.

Devi conoscere l'ID chiave e la regione della chiave quando crei nuovi stream che utilizzano CMEK. Devi inserire i nuovi stream nella stessa regione della chiave CMEK associata. Puoi creare un progetto sia per le chiavi sia per gli stream oppure progetti diversi per ciascuno.

CMEK utilizza il seguente formato:

projects/[CMEK_ENABLED_PROJECT]/locations/[REGION]/keyRings/[RING_NAME]/cryptoKeys/[KEYNAME]

Se Datastream non riesce ad accedere alla chiave (ad esempio, se disattivi la versione della chiave), imposta lo stato dello stream su FAILED e viene visualizzato un messaggio di errore associato. Dopo aver risolto eventuali problemi associati al messaggio di errore in modo che la chiave diventi di nuovo accessibile, Datastream riprende automaticamente lo stream.

Gestori delle chiavi esterni

Puoi utilizzare le chiavi archiviate in gestori di chiavi esterni, come Fortanix, Ionic o Thales, come chiavi CMEK. Per scoprire come utilizzare le chiavi esterne con Cloud Key Management Service, consulta Cloud External Key Manager.

Come faccio a rendere inaccessibili definitivamente i dati criptati con CMEK?

Potresti trovarti in situazioni in cui vuoi distruggere definitivamente i dati criptati con CMEK. Per farlo, devi distruggere la versione CMEK. Non puoi distruggere il portachiavi o la chiave, ma puoi distruggere le versioni della chiave.

Limitazioni

Quando utilizzi le chiavi CMEK, si applicano le seguenti limitazioni:

  • Non puoi aggiornare CMEK in uno stream in esecuzione.

  • Sebbene tu possa utilizzare le chiavi CMEK per criptare le righe del database di origine, non puoi utilizzarle per criptare i metadati dello stream, ad esempio l'ID stream, l'indirizzo IP del database di origine, i nomi delle tabelle del database di origine e così via.

Utilizzo di CMEK

Ora che conosci CMEK, puoi configurare un account di servizio e le chiavi per CMEK. Inoltre, imparerai a configurare Datastream per utilizzare CMEK.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  5. Make sure that billing is enabled for your Google Cloud project.

  6. Installa e inizializza Cloud SDK.
  7. Assicurati di avere il ruolo Amministratore Datastream assegnato al tuo account utente.

    Vai alla pagina IAM

  8. Enable the Cloud Key Management Service API.

    Enable the API

  9. Abilita l'API Datastream.

    Abilita l'API

Flusso di lavoro per creare uno stream in Datastream con CMEK

  1. Solo utenti gcloud e API: assicurati di disporre di un account di servizio per ogni progetto che richiede CMEK. In caso contrario, ecco come creare un account di servizio.
  2. Crea un mazzo di chiavi e una chiave e imposta la posizione di ogni chiave. La località è la regione Google Cloud.
  3. Solo utenti gcloud e API: concedi l'accesso con chiave all'account di servizio.
  4. Copia o annota l'ID chiave (KMS_KEY_ID) e la posizione della chiave, nonché l'ID (KMS_KEYRING_ID) per il portachiavi. Queste informazioni sono necessarie per concedere l'accesso con chiave all'account di servizio.
  5. Vai a un progetto e crea uno stream in Datastream con le seguenti opzioni:
    1. Nella stessa posizione del CMEK
    2. La configurazione CMEK
    3. L'ID CMEK

Lo stream in Datastream è ora abilitato con CMEK.

Crea un account di servizio

Devi creare un account di servizio per ogni progetto che richiede CMEK.

Per consentire a un utente di gestire gli account di servizio, concedi uno dei seguenti ruoli:

  • Utente account di servizio (roles/iam.serviceAccountUser): include le autorizzazioni per elencare gli account di servizio, ottenere i dettagli di un account di servizio e rubare l'identità di un account di servizio.
  • Amministratore account di servizio (roles/iam.serviceAccountAdmin): include le autorizzazioni per elencare gli account di servizio e ottenere i dettagli di un account di servizio. Sono incluse anche le autorizzazioni per creare, aggiornare ed eliminare account di servizio, nonché per visualizzare o modificare il criterio Datastream in un account di servizio.

Al momento, puoi utilizzare solo i comandi gcloud per creare il tipo di account di servizio di cui hai bisogno per le CMEK. Se utilizzi la console, Datastream crea automaticamente questo account di servizio.

Per creare un account di servizio con gcloud, esegui il seguente comando:

gcloud beta services identity create \
--service=datastream.googleapis.com \
--project=PROJECT_ID

Il comando precedente restituisce il nome di un account di servizio. Utilizza questo nome dell'account di servizio durante la procedura descritta in Concedere l'accesso alla chiave all'account di servizio.

Crea una chiave

Puoi creare la chiave nello stesso progetto Google Cloud dello stream in Datastream o in un progetto utente separato. La posizione del keyring Cloud KMS deve corrispondere alla regione in cui vuoi creare lo stream. Una chiave per più regioni o una chiave per la regione globale non funzionerà. Se le regioni non corrispondono, non puoi creare lo stream.

Per creare una chiave Cloud KMS:

Console

  1. Nella console Google Cloud, vai alla pagina Chiavi crittografiche.
  2. Fai clic su Crea keyring.
  3. Aggiungi un Nome keyring. Prendi nota di questo nome perché ti servirà quando concedi l'accesso alla chiave all'account di servizio.
  4. Aggiungi una posizione del keyring.
  5. Fai clic su Crea. Viene visualizzata la pagina Crea chiave.
  6. Aggiungi un Nome chiave.
  7. Seleziona uno scopo (simmetrico o asimmetrico).
  8. Seleziona un Periodo di rotazione e una Data di inizio.
  9. Fai clic su Crea.
  10. Nella tabella Chiavi, fai clic sui tre puntini nell'ultima colonna e seleziona Copia ID risorsa o annota l'ID. Questo è il KMS_KEY_ID. Devi disporre del KMS_KEY_ID per concedere alla chiave l'accesso all'account di servizio.

gcloud

  1. Crea un nuovo mazzo di chiavi. 
    gcloud kms keyrings create KMS_KEYRING_ID \
--location=GCP_REGION
    Annota questo nome perché ti servirà quando concederai l'accesso con chiave all'account di servizio.
  2. Crea una chiave nel keyring. 
    gcloud kms keys create KMS_KEY_ID \
--location=GCP_REGION \
--keyring=KMS_KEYRING_ID \
--purpose=encryption
    Annota questo nome perché ti servirà quando concederai l'accesso con chiave all'account di servizio.

Concedi alla chiave l'accesso all'account di servizio

Devi eseguire questa procedura solo se utilizzi gcloud o l'API.

Per concedere l'accesso all'account di servizio, utilizza il seguente codice:

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--location=GCP_REGION \
--keyring=KMS_KEYRING_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-datastream.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Creare uno stream in Datastream con CMEK

Durante la creazione di uno stream in Datastream, puoi utilizzare la chiave CMEK per gestire la crittografia dei dati.

Passaggi successivi