Usar chaves de criptografia gerenciadas pelo cliente

Por padrão, o Google criptografa os dados armazenados em repouso. O Google Cloud processa e gerencia essa criptografia padrão para você sem que você precise fazer nada.

Se você tiver requisitos regulatórios ou de compliance específicos relacionados à proteção dos seus dados, poderá usar chaves de criptografia gerenciadas pelo cliente (CMEK). A CMEK permite que você proteja o Eventarc e os dados associados em repouso usando uma chave de criptografia que só você pode acessar e que pode ser criada e gerenciada usando o Cloud Key Management Service (Cloud KMS). Como a chave pertence a você e não é controlada pelo Google, se ela for desativada ou destruída, ninguém (incluindo você) poderá acessar os dados protegidos por ela.

As chaves de criptografia gerenciadas pelo cliente são armazenadas como chaves de software, em um cluster do Cloud HSM ou externamente, usando o Cloud External Key Manager.

O Cloud KMS produz registros de auditoria quando as chaves são ativadas, desativadas ou usadas por recursos do canal do Eventarc para criptografar e descriptografar mensagens. Para mais informações, consulte Informações sobre registros de auditoria do Cloud KMS.

O que é protegido com a CMEK

É possível configurar a CMEK para um canal que o Eventarc usa e criptografar os eventos que passam pelo canal.

A ativação de um canal com a CMEK protege os dados associados a ele (por exemplo, o tópico do Pub/Sub usado como uma camada de transporte) usando uma chave de criptografia que só você pode acessar.

Quando você ativa a CMEK para o canal do Google em um projeto do Google Cloud, todos os gatilhos do Eventarc para tipos de evento do Google nesse projeto e região são totalmente criptografados com essa chave de CMEK. As chaves CMEK não podem ser aplicadas por acionador.

Antes de começar

Antes de usar esse recurso no Eventarc, você precisa:

Console

  1. Enable the Cloud KMS and Eventarc APIs.

    Enable the APIs

  2. Crie um keyring.
  3. Crie uma chave para um keyring especificado.

gcloud

  1. Atualize os componentes gcloud.
    gcloud components update
  2. Ative as APIs Cloud KMS e Eventarc no projeto que armazenará as chaves de criptografia.
    gcloud services enable cloudkms.googleapis.com eventarc.googleapis.com
  3. Crie um keyring.
  4. Crie uma chave para um keyring especificado.

Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help.

Observe que o Cloud KMS e o Eventarc são serviços regionais. A região da chave do Cloud KMS e do canal protegido do Eventarc precisa ser a mesma.

Conceder acesso a conta de serviço do Eventarc a uma chave

Para conceder à conta de serviço do Eventarc acesso à chave do Cloud KMS, adicione a conta de serviço como principal da chave e conceda à conta de serviço o papel Criptografador/descriptografador da CryptoKey do Cloud KMS:

Console

Ao ativar a CMEK para um canal do Google ou de terceiros por meio do console, você precisa conceder o papel Criptografador/Descriptografador de CryptoKey do Cloud KMS à conta de serviço. Para mais informações, neste documento, consulte Ativar CMEK para tipos de evento do Google ou Ativar CMEK para um canal de evento de terceiros.

gcloud

 gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member serviceAccount:SERVICE_AGENT_EMAIL \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter

Substitua:

  • KEY_NAME: o nome da chave; Por exemplo, my-key.
  • KEY_RING: o nome do keyring; Por exemplo, my-keyring.
  • LOCATION: a localização da chave; Por exemplo, us-central1.
  • SERVICE_AGENT_EMAIL: o endereço de e-mail da conta de serviço com o papel eventarc.serviceAgent.

    Por exemplo, service-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com. Para mais informações, consulte Agentes de serviço.

Ativar CMEK para tipos de eventos do Google

Os gatilhos do Eventarc que encaminham tipos de evento do Google publicam eventos para um canal virtual conhecido como canal do Google, que é específico do projeto e da região. Esse canal virtual está disponível em todas as regiões do Eventarc.

Quando você ativa a CMEK para o canal do Google em um projeto do Google Cloud, todos os gatilhos do Eventarc para tipos de evento do Google nesse projeto e região são totalmente criptografados com essa chave de CMEK. É possível adicionar várias chaves CMEK e associar cada uma a uma região específica para o canal do Google. Não é possível aplicar chaves CMEK por acionador.

Console

  1. No console do Google Cloud, acesse a página Eventarc > Canais.

    Acessar o Eventarc

  2. Clique em um canal com um provedor do Google.

  3. Na página Editar canal, marque a caixa de seleção Usar uma chave de criptografia gerenciada pelo cliente (CMEK).

  4. Clique em Adicionar chave de criptografia.

  5. Selecione uma Região e, na lista Chave de criptografia CMEK, selecione um keyring que você criou para a região. Observe que você pode adicionar apenas uma chave de criptografia por região para um canal.

  6. Opcional: para inserir manualmente o nome do recurso da chave, na lista Chave de criptografia CMEK, clique em Não encontrou sua chave? Insira o nome do recurso da chave e insira-o no formato especificado.

  7. Se solicitado, conceda o papel cloudkms.cryptoKeyEncrypterDecrypter à conta de serviço do Eventarc com o papel eventarc.serviceAgent.

  8. Opcional: clique em Adicionar chave de criptografia para adicionar outro keyring criado para uma região diferente.

  9. Clique em Salvar.

gcloud

 gcloud eventarc google-channels update \
    --location=LOCATION \
    --crypto-key=KEY

Substitua:

  • LOCATION: o local do canal do Google a ser protegido. Ele precisa corresponder ao local da chave usada.
  • KEY: o nome da chave do Cloud KMS totalmente qualificado no formato projects/PROJECT_NAME/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME.

Se você estiver criando gatilhos do Pub/Sub usando seus próprios tópicos atuais, para proteção abrangente da CMEK, recomendamos que você também configure a chave KMS no tópico. Para mais informações, consulte Como configurar tópicos do Pub/Sub.

Verificar o uso do Cloud KMS

Para verificar se o canal agora é compatível com CMEK:

Console

  1. No console do Google Cloud, acesse a página Eventarc > Gatilhos.

    Acessar o Eventarc

  2. Clique em um gatilho que lista uma origem do Google Cloud como seu Provedor de eventos e uma Região que você protegeu com CMEK.

  3. Na página Detalhes do gatilo, o status de Criptografia exibe a mensagem Events encrypted using Customer-managed encryption keys.

gcloud

 gcloud eventarc google-channels describe \
    --location=LOCATION

A saída será semelhante a esta:

 cryptoKeyName: projects/PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
 name: projects/PROJECT_ID/locations/LOCATION/googleChannelConfig
 updateTime: '2022-06-28T17:24:56.365866104Z'

O valor cryptokeyName mostra a chave do Cloud KMS usada para o canal do Google.

Ativar CMEK para um canal de terceiros

Um canal do Eventarc para terceiros é um recurso que as entidades que não são do Google Cloud que oferecem uma origem do Eventarc podem interagir com os destinos. Esse canal é específico de uma região, e só é possível adicionar uma chave por canal de terceiros.

Para ativar o CMEK para um canal de terceiros:

Console

  1. No console do Google Cloud, acesse a página Eventarc > Canais.

    Acessar o Eventarc

  2. Clique em um canal com um Provedor de terceiros.

  3. Na página Detalhes do canal, clique em Editar.

  4. Na página Editar canal, marque a caixa de seleção Usar uma chave de criptografia gerenciada pelo cliente (CMEK).

  5. Na lista de chaves de criptografia CMEK, selecione um keyring que você criou para a região. Observe que só é possível adicionar uma chave de criptografia por região para um canal.

  6. Opcional: para inserir manualmente o nome do recurso da chave que quer usar, na lista Chave de criptografia CMEK, clique em Inserir chave manualmente e insira o valor nome da chave no formato especificado.

  7. Se solicitado, conceda o papel cloudkms.cryptoKeyEncrypterDecrypter à conta de serviço do Eventarc com o papel eventarc.serviceAgent.

  8. Clique em Salvar.

gcloud

 gcloud eventarc channels update CHANNEL_NAME \
    --location=LOCATION \
    --crypto-key=KEY

Substitua:

  • CHANNEL_NAME: o nome do canal de terceiros. Para criar um novo canal de terceiros, consulte Criar um canal.
  • LOCATION: o local do canal de terceiros a ser protegido. Ele precisa corresponder ao local da chave.
  • KEY: o nome da chave do Cloud KMS totalmente qualificado no formato projects/PROJECT_NAME/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME.

Verificar o uso do Cloud KMS

Para verificar se o canal agora é compatível com CMEK:

Console

  1. No console do Google Cloud, acesse a página Eventarc > Gatilhos.

    Acessar o Eventarc

  2. Clique em um acionador com uma fonte de terceiros como o Provedor de eventos e uma Região que você protegeu com CMEK.

  3. Na página Detalhes do gatilho, o status da Criptografia exibe a mensagem Events encrypted using Customer-managed encryption keys.

gcloud

 gcloud eventarc channels describe CHANNEL_NAME \
    --location=LOCATION

A saída será semelhante a esta:

 createTime: '2022-06-28T18:05:52.403999904Z'
 cryptoKeyName: projects/PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
 name: projects/PROJECT_ID/locations/LOCATION/googleChannelConfig
 pubsubTopic: projects/PROJECT_ID/topics/PUBSUB_TOPIC_ID
 state: ACTIVE
 uid: 5ea277f9-b4b7-4e7f-a8e0-6ca9d7204fa3
 updateTime: '2022-06-28T18:09:18.650727516Z'

O valor cryptokeyName mostra a chave do Cloud KMS usada para o canal de terceiros.

Desativar a CMEK

É possível desativar a proteção de CMEK associada a um canal. Os eventos entregues por esses canais ainda estão protegidos por chaves de propriedade e gerenciadas pelo Google. Para excluir a proteção de CMEK associada a um canal:

Console

  1. No console do Google Cloud, acesse a página Eventarc > Canais.

    Acessar o Eventarc

  2. De acordo com o tipo de canal, faça o seguinte:

    Canal do Google

    1. Clique em um canal com um provedor do Google.
    2. Na página Editar canal, mantenha o ponteiro do mouse sobre a lista Chave de criptografia CMEK para ver o botão Excluir item.
    3. Clique em Excluir item.
    4. Clique em Salvar.

    Canal de terceiros

    1. Clique em um canal com um Provedor de terceiros.
    2. Na página Detalhes do canal, clique em Editar.
    3. Na página Editar canal, desmarque a caixa de seleção Usar uma chave de criptografia gerenciada pelo cliente (CMEK).
    4. Clique em Salvar.

gcloud

De acordo com o tipo de canal, faça o seguinte:

Canal do Google

gcloud eventarc google-channels \
    update --clear-crypto-key

Canal de terceiros

gcloud eventarc channels CHANNEL_NAME \
    update --clear-crypto-key

Como desativar e ativar chaves do Cloud KMS

A versão da chave armazena o material da chave criptográfica usado para criptografar, descriptografar, assinar e verificar dados. Desative essa versão da chave para que os dados criptografados com a chave não sejam acessados.

Quando o Eventarc não consegue acessar as chaves do Cloud KMS, a publicação de eventos com canais falha com erros FAILED_PRECONDITION e a entrega de eventos é interrompida. É possível ativar uma chave no estado Disabled para que os dados criptografados possam ser acessados novamente.

Desativar chaves do Cloud KMS

Para impedir que o Eventarc use a chave para criptografar ou descriptografar os dados de eventos, siga um destes procedimentos:

Embora nenhuma das operações garanta a revogação instantânea do acesso, as alterações do Identity and Access Management (IAM) geralmente são propagadas mais rapidamente. Para mais informações, consulte Consistência de recursos do Cloud KMS e Propagação de alterações no acesso.

Reativar as chaves do Cloud KMS

Para retomar a entrega e a publicação de eventos, restaure o acesso ao Cloud KMS.

Preços

Essa integração não gera custos adicionais além das operações com chaves, que são faturadas no seu projeto do Google Cloud. O uso de CMEK em um canal gera cobranças pelo acesso ao serviço do Cloud KMS com base nos preços do Pub/Sub.

Para mais informações sobre os preços mais atuais, consulte Preços do Cloud KMS.

A seguir