Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)

Per impostazione predefinita, Eventarc cripta i contenuti inattivi dei clienti. Eventarc gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google.

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con i servizi integrati con CMEK, tra cui Eventarc. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il loro livello di protezione, la posizione, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i confini di crittografia. L'utilizzo di Cloud KMS ti consente inoltre di visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece che essere di proprietà e gestite da Google, le chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati sono sotto il tuo controllo e vengono gestite in Cloud KMS.

Dopo aver configurato le risorse con le CMEK, l'esperienza di accesso alle risorse Eventarc è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Le chiavi di crittografia gestite dal cliente vengono memorizzate come chiavi software in un cluster Cloud HSM o esternamente utilizzando Cloud External Key Manager.

Che cosa viene protetto con CMEK

Puoi configurare CMEK per criptare i messaggi degli eventi che passano attraverso le seguenti risorse Eventarc Advanced:

  • MessageBus: un bus Eventarc Advanced
  • Pipeline: una pipeline Eventarc Advanced
  • GoogleApiSource: una risorsa Eventarc Advanced che rappresenta un abbonamento agli eventi dell'API Google per un determinato bus

Per ulteriori informazioni, consulta la panoramica di Eventarc Advanced.

Quando attivi CMEK per una risorsa, questa protegge i dati associati alla risorsa nella regione utilizzando una chiave di crittografia a cui solo tu puoi accedere.

Cloud KMS ed Eventarc sono servizi regionali. La regione della chiave Cloud KMS e della risorsa Eventarc Advanced protetta deve essere la stessa.

Prima di iniziare

Prima di utilizzare questa funzionalità in Eventarc, devi eseguire le seguenti azioni:

Console

  1. Enable the Cloud KMS and Eventarc APIs.

    Enable the APIs

  2. Crea un keyring.
  3. Crea una chiave per un keyring specificato.

gcloud

  1. Aggiorna i componenti gcloud. 
    gcloud components update
  2. Abilita le API Cloud KMS ed Eventarc per il progetto che memorizzerà le chiavi di crittografia. 
    gcloud services enable cloudkms.googleapis.com eventarc.googleapis.com
  3. Crea un keyring.
  4. Crea una chiave per un keyring specificato.

Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help.

Concedi all'account di servizio Eventarc l'accesso a una chiave

Per concedere all'account di servizio Eventarc l'accesso alla chiave Cloud KMS, aggiungi l'account di servizio come entità della chiave e concedi all'account di servizio il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS:

Console

Quando attivi CMEK per un bus o una pipeline utilizzando la console Google Cloud, ti viene chiesto di concedere all'account di servizio il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS. Per ulteriori informazioni, consulta Abilitare CMEK per un bus o Abilitare CMEK per una pipeline in questo documento.

gcloud 

 gcloud kms keys add-iam-policy-binding KEY_NAME \
     --keyring KEY_RING \
     --location REGION \
     --member serviceAccount:SERVICE_AGENT_EMAIL \
     --role roles/cloudkms.cryptoKeyEncrypterDecrypter

Sostituisci quanto segue:

  • KEY_NAME: il nome della chiave, ad esempio my-key
  • KEY_RING: il nome della chiave automatizzata, ad esempio my-keyring
  • REGION: la posizione della chiave, ad esempio us-central1

  • SERVICE_AGENT_EMAIL: l'indirizzo email dell'account di servizio con il ruolo eventarc.serviceAgent

    Ad esempio, service-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com. Per ulteriori informazioni, consulta Agenti di servizio.

Attivare CMEK per un bus

Quando attivi CMEK per un bus Eventarc Advanced, tutti i messaggi che passano attraverso il bus vengono criptati completamente con la chiave CMEK.

Console

  1. Nella console Google Cloud, vai alla pagina Eventarc > Bus.

    Vai a Bus

  2. Puoi creare un bus o, se stai aggiornando un bus, fai clic sul nome del bus.

  3. Nella pagina Dettagli bus, fai clic su Modifica.

  4. Nella pagina Modifica bus, per Crittografia, seleziona Chiave Cloud KMS.

  5. Nell'elenco Tipo di chiave, seleziona un metodo per gestire le chiavi.

    Puoi gestire le tue chiavi manualmente o utilizzare Autokey, che ti consente di generare chiavi normali e automatizzate on demand. Se l'opzione Autokey è disabilitata, significa che non è ancora integrata nel tipo di risorsa attuale.

  6. Nell'elenco Seleziona una chiave Cloud KMS, seleziona una chiave.

  7. (Facoltativo) Per inserire manualmente il nome della risorsa della chiave, nell'elenco Seleziona una chiave Cloud KMS, fai clic su Inserisci chiave manualmente e inserisci il nome della chiave nel formato specificato.

  8. Se richiesto, concedi il ruolo cloudkms.cryptoKeyEncrypterDecrypter all'agente di servizio Eventarc.

  9. Fai clic su Salva.

gcloud

Utilizza il comando gcloud beta eventarc message-buses update per attivare CMEK per il bus:

gcloud beta eventarc message-buses update BUS_NAME \
    --location=REGION \
    --crypto-key=KEY

Sostituisci quanto segue:

  • BUS_NAME: l'ID o l'identificatore completo del bus
  • REGION: un'ubicazione Eventarc Advanced supportata

  • KEY: il nome della chiave Cloud KMS completa nel formatoprojects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME

    Il valore REGION della chiave deve corrispondere alla posizione del bus da proteggere.

Verificare l'utilizzo di Cloud KMS

Verifica che il bus sia ora conforme a CMEK.

Console

  1. Nella console Google Cloud, vai alla pagina Eventarc > Bus.

    Vai a Bus

  2. Fai clic sul nome del bus che hai protetto utilizzando CMEK.

  3. Nella pagina Dettagli bus, lo stato Crittografia indica la chiave di crittografia gestita dal cliente in uso. Puoi fare clic sulla chiave per accedervi in Security Command Center.

    In caso contrario, il messaggio di stato è Event messages encrypted using Google-managed encryption keys.

gcloud

Utilizza il comando gcloud beta eventarc message-buses describe per descrivere il bus:

 gcloud beta eventarc message-buses describe BUS_NAME \
     --location=REGION

L'output dovrebbe essere simile al seguente:

 cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
 name: projects/PROJECT_ID/locations/REGION/messageBuses/BUS_NAME
 updateTime: '2022-06-28T17:24:56.365866104Z'

Il valore cryptokeyName mostra la chiave Cloud KMS utilizzata per il bus.

Disattivare CMEK per un bus

Puoi disattivare la protezione CMEK associata a un bus. Gli eventi che vengono inviati tramite il bus sono comunque protetti da Google-owned and Google-managed encryption keys.

Console

  1. Nella console Google Cloud, vai alla pagina Eventarc > Bus.

    Vai a Bus

  2. Fai clic sul nome dell'autobus.

  3. Nella pagina Dettagli bus, fai clic su Modifica.

  4. Nella pagina Modifica bus, per Crittografia, seleziona Chiave di crittografia gestita da Google.

  5. Fai clic su Salva.

gcloud

Utilizza il comando gcloud beta eventarc message-buses update per disattivare CMEK per il tuo bus:

gcloud beta eventarc message-buses update BUS_NAME \
    --location=REGION \
    --clear-crypto-key

Attivare CMEK per una pipeline

Quando attivi CMEK per una pipeline Eventarc Advanced, tutti i messaggi che passano attraverso la pipeline vengono criptati completamente con la chiave CMEK.

Console

  1. Nella console Google Cloud, vai alla pagina Eventarc > Pipeline.

    Vai a Pipeline

  2. Puoi creare una pipeline o, se stai aggiornando una pipeline, fai clic sul nome della pipeline.

  3. Nella pagina Dettagli della pipeline, fai clic su Modifica.

  4. Nella pagina Modifica pipeline, per Crittografia, seleziona Chiave Cloud KMS.

  5. Nell'elenco Tipo di chiave, seleziona un metodo per gestire le chiavi.

    Puoi gestire le tue chiavi manualmente o utilizzare Autokey, che ti consente di generare chiavi automatizzate e chiavi on demand. Se l'opzione Autokey è disabilitata, significa che non è ancora integrata nel tipo di risorsa attuale.

  6. Nell'elenco Seleziona una chiave Cloud KMS, seleziona una chiave.

  7. (Facoltativo) Per inserire manualmente il nome della risorsa della chiave, nell'elenco Seleziona una chiave Cloud KMS, fai clic su Inserisci chiave manualmente e inserisci il nome della chiave nel formato specificato.

  8. Se richiesto, concedi il ruolo cloudkms.cryptoKeyEncrypterDecrypter all'agente di servizio Eventarc.

  9. Fai clic su Salva.

gcloud

Utilizza il comando gcloud beta eventarc pipelines update per attivare CMEK per una pipeline:

 gcloud beta eventarc pipelines update PIPELINE_NAME \
     --location=REGION \
     --crypto-key=KEY

Sostituisci quanto segue:

  • PIPELINE_NAME: l'ID o l'identificatore completamente qualificato della pipeline
  • REGION: un'ubicazione Eventarc Advanced supportata

  • KEY: il nome della chiave Cloud KMS completa nel formatoprojects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME

    Il REGION della chiave deve corrispondere alla posizione della pipeline da difendere.

Verificare l'utilizzo di Cloud KMS

Verifica che la pipeline sia ora conforme a CMEK.

Console

  1. Nella console Google Cloud, vai alla pagina Eventarc > Pipeline.

    Vai a Pipeline

  2. Fai clic sul nome della pipeline che hai protetto utilizzando CMEK.

  3. Nella pagina Dettagli pipeline, lo stato Crittografia indica la chiave di crittografia gestita dal cliente in uso. Puoi fare clic sulla chiave per accedervi in Security Command Center.

    In caso contrario, il messaggio di stato è Event messages encrypted using Google-managed encryption keys.

gcloud

Utilizza il comando gcloud beta eventarc pipelines describe per verificare il CMEK per la pipeline:

 gcloud beta eventarc pipelines describe PIPELINE_NAME \
     --location=REGION

L'output dovrebbe essere simile al seguente:

 createTime: '2022-06-28T18:05:52.403999904Z'
 cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
 destinations: ...
 name: projects/PROJECT_ID/locations/REGION/pipelines/PIPELINE_NAME
 uid: 5ea277f9-b4b7-4e7f-a8e0-6ca9d7204fa3
 updateTime: '2022-06-28T18:09:18.650727516Z'

Il valore cryptokeyName mostra la chiave Cloud KMS utilizzata per la pipeline.

Disattivare CMEK per una pipeline

Puoi disattivare la protezione CMEK associata a una pipeline. Gli eventi che vengono pubblicati tramite la pipeline sono comunque protetti da Google-owned and Google-managed encryption keys.

Console

  1. Nella console Google Cloud, vai alla pagina Eventarc > Pipeline.

    Vai a Pipeline

  2. Fai clic sul nome della pipeline.

  3. Nella pagina Dettagli della pipeline, fai clic su Modifica.

  4. Nella pagina Modifica pipeline, per Crittografia, seleziona Chiave di crittografia gestita da Google.

  5. Fai clic su Salva.

gcloud

Utilizza il comando gcloud beta eventarc pipelines update per disattivare CMEK per la pipeline:

gcloud beta eventarc pipelines update PIPELINE_NAME \
    --location=REGION \
    --clear-crypto-key

Attivare CMEK per le origini API Google

Quando attivi CMEK per una risorsa GoogleApiSource, tutti i messaggi raccolti per quella risorsa vengono criptati completamente con la chiave CMEK.

Console

  1. Nella console Google Cloud, vai alla pagina Eventarc > Bus.

    Vai a Bus

  2. Puoi creare un bus o, se stai aggiornando un bus, fai clic sul nome del bus.

  3. Nella pagina Dettagli bus, fai clic su Modifica.

  4. Per aggiungere un'origine messaggio, fai clic su Aggiungi origine.

    Se esiste già un'origine messaggio, devi prima eliminarla e poi aggiungerne una nuova.

  5. Nel riquadro Aggiungi origine messaggio, per il fornitore di messaggi dell'API Google, accetta il valore predefinito google-api-source.

  6. In Crittografia, seleziona Chiave Cloud KMS e procedi come segue:

    1. Nell'elenco Tipo di chiave, seleziona un metodo per gestire le chiavi.

      Puoi gestire le tue chiavi manualmente o utilizzare Autokey, che ti consente di generare chiavi e chiavi automatizzate on demand. Se l'opzione Autokey è disabilitata, significa che non è ancora integrata nel tipo di risorsa attuale.

    2. In Seleziona una chiave Cloud KMS, seleziona una chiave.

      Devi selezionare una regione prima di poter visualizzare le chiavi gestite dal cliente.

    3. (Facoltativo) Per inserire manualmente il nome della risorsa della chiave, nell'elenco Seleziona una chiave Cloud KMS, fai clic su Inserisci chiave manualmente e inserisci il nome della chiave nel formato specificato.

    4. Se richiesto, concedi il ruolo cloudkms.cryptoKeyEncrypterDecrypter all'agente di servizio Eventarc.

  7. Fai clic su Crea.

    In questo modo, viene attivata la raccolta automatica degli eventi provenienti direttamente dalle origini Google e tutti i messaggi di evento vengono criptati completamente con la chiave CMEK.

    Vengono pubblicati solo gli eventi delle risorse nello stesso Google Cloud progetto del GoogleApiSource. Per ulteriori informazioni, consulta Pubblicare eventi dalle origini Google.

  8. Fai clic su Salva.

gcloud

Utilizza il comando gcloud beta eventarc google-api-sources update per attivare CMEK per la risorsa GoogleApiSource:

gcloud beta eventarc google-api-sources update GOOGLE_API_SOURCE_NAME \
    --location=REGION \
    --crypto-key=KEY

Sostituisci quanto segue:

  • GOOGLE_API_SOURCE_NAME: l'ID o l'identificatore completo della risorsa GoogleApiSource
  • REGION: un'ubicazione Eventarc Advanced supportata

  • KEY: il nome della chiave Cloud KMS completa nel formatoprojects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME

    Il valore REGION della chiave deve corrispondere alla posizione della risorsa da difendere.

Verificare l'utilizzo di Cloud KMS

Verifica che la risorsa sia ora conforme a CMEK.

Console

  1. Nella console Google Cloud, vai alla pagina Eventarc > Bus.

    Vai a Bus

  2. Fai clic sul nome dell'autobus di cui hai protetto l'origine messaggio utilizzando una chiave Cloud KMS.

  3. Nella pagina Dettagli bus, fai clic su Modifica.

    Dovrebbe essere elencata la chiave che cripta l'origine del messaggio. Puoi fare clic sulla chiave per accedervi in Security Command Center.

    In caso contrario, il messaggio di stato Crittografia è Event messages encrypted using Google-managed encryption keys.

gcloud

Utilizza il comando gcloud beta eventarc google-api-sources describe per verificare il CMEK per la tua risorsa GoogleApiSource:

  gcloud beta eventarc google-api-sources describe GOOGLE_API_SOURCE_NAME \
      --location=REGION

L'output dovrebbe essere simile al seguente:

  createTime: '2022-06-28T18:05:52.403999904Z'
  cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
  destination: projects/PROJECT_ID/locations/REGION/messageBuses/BUS_NAME
  name: projects/PROJECT_ID/locations/REGION/googleApiSources/GOOGLE_API_SOURCE_NAME
  uid: 5ea277f9-b4b7-4e7f-a8e0-6ca9d7204fa3
  updateTime: '2022-06-28T18:09:18.650727516Z'

Il valore cryptokeyName mostra la chiave Cloud KMS utilizzata per la pipeline.

Disattivare CMEK per le origini API Google

Puoi disattivare la protezione CMEK associata alle origini API di Google. Gli eventi raccolti tramite la risorsa GoogleApiSource sono ancora protetti da Google-owned and Google-managed encryption keys.

Console

  1. Nella console Google Cloud, vai alla pagina Eventarc > Bus.

    Vai a Bus

  2. Fai clic sul nome del bus di cui hai protetto l'origine messaggio utilizzando CMEK.

  3. Nella pagina Dettagli bus, fai clic su Modifica.

  4. Per eliminare l'origine messaggio criptata da una chiave Cloud KMS, fai clic su Elimina risorsa.

  5. Se necessario, aggiungi di nuovo l'origine del messaggio.

gcloud

Utilizza il comando gcloud beta eventarc google-api-sources update per disattivare CMEK per la risorsa GoogleApiSource:

gcloud beta eventarc google-api-sources update GOOGLE_API_SOURCE_NAME \
    --location=REGION \
    --clear-crypto-key

Applicare una policy dell'organizzazione CMEK

Eventarc è integrato con due limitazioni delle policy dell'organizzazione per contribuire a garantire l'utilizzo di CMEK in un'organizzazione:

  • constraints/gcp.restrictNonCmekServices viene utilizzato per richiedere la protezione CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects viene utilizzato per limitare le chiavi Cloud KMS utilizzate per la protezione CMEK.

Questa integrazione ti consente di specificare i seguenti requisiti di conformità alla crittografia per le risorse Eventarc nella tua organizzazione:

Considerazioni sull'applicazione dei criteri dell'organizzazione

Prima di applicare i criteri dell'organizzazione CMEK, devi tenere presente quanto segue.

  • Preparati a un ritardo di propagazione

    Dopo aver impostato o aggiornato un criterio dell'organizzazione, l'applicazione del nuovo criterio può richiedere fino a 15 minuti.

  • Valuta le risorse esistenti

    Le risorse esistenti non sono soggette ai criteri dell'organizzazione appena creati. Ad esempio, un criterio dell'organizzazione non viene applicato in modo retroattivo alle pipeline esistenti. Queste risorse sono ancora accessibili senza una chiave CMEK e, se applicabile, sono ancora criptate con le chiavi esistenti.

  • Verificare le autorizzazioni necessarie per impostare un criterio dell'organizzazione

    L'autorizzazione per impostare o aggiornare il criterio dell'organizzazione potrebbe essere difficile da acquisire per scopi di test. Devi disporre del ruolo Amministratore criteri dell'organizzazione, che può essere concesso solo a livello di organizzazione (anziché a livello di progetto o cartella).

    Sebbene il ruolo debba essere concesso a livello di organizzazione, è comunque possibile specificare un criterio che si applichi solo a un progetto o a una cartella specifici.

Richiedere CMEK per le nuove risorse Eventarc

Puoi utilizzare il vincolo constraints/gcp.restrictNonCmekServices per richiedere l'utilizzo delle chiavi CMEK per proteggere le nuove risorse Eventarc in un' organizzazione.

Se impostato, questo criterio dell'organizzazione fa sì che tutte le richieste di creazione di risorse senza una chiave Cloud KMS specificata non vadano a buon fine.

Una volta impostato, questo criterio si applica solo alle nuove risorse del progetto. Le eventuali risorse esistenti a cui non sono state applicate chiavi Cloud KMS continuano a esistere e sono accessibili senza problemi.

Console

  1. Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Utilizzando Filtra, cerca il seguente vincolo:

    constraints/gcp.restrictNonCmekServices

  3. Nella colonna Nome, fai clic su Limita i servizi che possono creare risorse senza CMEK.

  4. Fai clic su Gestisci criteri.

  5. Nella pagina Modifica criterio, in Origine criterio, seleziona Sostituisci criterio della risorsa padre.

  6. In Regole, fai clic su Aggiungi una regola.

  7. Nell'elenco Valori criterio, seleziona Personalizzato.

  8. Nell'elenco Tipo di criterio, seleziona Rifiuta.

  9. Nel campo Valori personalizzati, inserisci quanto segue:

    is:eventarc.googleapis.com

  10. Fai clic su Fine, quindi su Imposta criteri.

gcloud

  1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:

      name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
  spec:
    rules:
    - values:
        deniedValues:
        - is:eventarc.googleapis.com

    Sostituisci PROJECT_ID con l'ID del progetto in cui stai applicando questa limitazione.

  2. Esegui il comando org-policies set-policy:

    gcloud org-policies set-policy /tmp/policy.yaml

Per verificare che il criterio sia stato applicato correttamente, puoi provare a creare una pipeline Eventarc Advanced nel progetto. Il processo non va a buon fine se non specifichi una chiave Cloud KMS.

Limitare le chiavi Cloud KMS per un progetto Eventarc

Puoi utilizzare il vincolo constraints/gcp.restrictCmekCryptoKeyProjects per limitare le chiavi Cloud KMS che puoi utilizzare per proteggere una risorsa in un progetto Eventarc.

Ad esempio, puoi specificare una regola simile alla seguente: "Per le risorse Eventarc applicabili in projects/my-company-data-project, le chiavi Cloud KMS utilizzate in questo progetto devono provenire da projects/my-company-central-keys OPPURE projects/team-specific-keys".

Console

  1. Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Utilizzando Filtra, cerca il seguente vincolo:

    constraints/gcp.restrictCmekCryptoKeyProjects

  3. Nella colonna Nome, fai clic su Limita i progetti che possono fornire CryptoKey KMS per CMEK.

  4. Fai clic su Gestisci criteri.

  5. Nella pagina Modifica criterio, in Origine criterio, seleziona Sostituisci criterio della risorsa padre.

  6. In Regole, fai clic su Aggiungi una regola.

  7. Nell'elenco Valori criterio, seleziona Personalizzato.

  8. Nell'elenco Tipo di criterio, seleziona Consenti.

  9. Nel campo Valori personalizzati, inserisci quanto segue:

    under:projects/KMS_PROJECT_ID

    Sostituisci KMS_PROJECT_ID con l'ID del progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare.

    Ad esempio, under:projects/my-kms-project.

  10. Fai clic su Fine, quindi su Imposta criteri.

gcloud

  1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:

      name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
  spec:
    rules:
    - values:
        allowedValues:
        - under:projects/KMS_PROJECT_ID

    Sostituisci quanto segue

    • PROJECT_ID: l'ID del progetto in cui stai applicando questo vincolo.
    • KMS_PROJECT_ID: l'ID del progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare.

  2. Esegui il comando org-policies set-policy:

    gcloud org-policies set-policy /tmp/policy.yaml

Per verificare che il criterio sia stato applicato correttamente, puoi provare a creare una pipeline Eventarc Advanced utilizzando una chiave Cloud KMS di un altro progetto. Il processo non andrà a buon fine.

Disattivazione e attivazione delle chiavi Cloud KMS

Una versione della chiave memorizza il materiale della chiave di crittografia utilizzato per criptare, decriptare, firmare e verificare i dati. Puoi disattivare questa versione della chiave in modo che non sia possibile accedere ai dati criptati con la chiave.

Quando Eventarc non riesce ad accedere alle chiavi Cloud KMS, il routing degli eventi non va a buon fine con errori FAILED_PRECONDITION e la distribuzione degli eventi si interrompe. Puoi attivare una chiave nello stato Disattivata in modo da poter accedere nuovamente ai dati criptati.

Disattivare le chiavi Cloud KMS

Per impedire a Eventarc di utilizzare la chiave per criptare o decriptare i dati sugli eventi, svolgi una delle seguenti operazioni:

Sebbene nessuna delle due operazioni garantisca la revoca immediata dell'accesso, le modifiche di Identity and Access Management (IAM) in genere si propagano più velocemente. Per ulteriori informazioni, consulta Coerenza delle risorse Cloud KMS e Propagazione della modifica di accesso.

Riattivare le chiavi Cloud KMS

Per riprendere l'invio e il routing degli eventi, ripristina l'accesso a Cloud KMS.

Audit logging e risoluzione dei problemi

Cloud KMS genera audit log quando le chiavi vengono attivate, disattivate o utilizzate dalle risorse Eventarc Advanced per criptare e decriptare i messaggi. Per ulteriori informazioni, consulta le informazioni sui log di controllo di Cloud KMS.

Per risolvere i problemi che potresti riscontrare quando utilizzi le chiavi con gestione esterna tramite Cloud External Key Manager (Cloud EKM), consulta il riferimento agli errori di Cloud EKM.

Prezzi

L'integrazione del bus non comporta costi aggiuntivi oltre alle operazioni chiave, che vengono fatturate al tuo Google Cloud progetto. L'utilizzo di CMEK per una pipeline comporta l'addebito dell'accesso al servizio Cloud KMS in base ai prezzi di Pub/Sub.

Per ulteriori informazioni sui prezzi più aggiornati, consulta Prezzi di Cloud KMS.

Passaggi successivi