Esta página foi traduzida pela API Cloud Translation.

Criptografar dados com chaves de criptografia gerenciadas pelo cliente

Nesta página, mostramos como criptografar os dados no Filestore instâncias e backups usando suas próprias chaves de criptografia.

Por padrão, o Google Cloud criptografa automaticamente os dados quando rest usando chaves de criptografia que pertencem e são gerenciados pelo Google. Se você precisar de mais controle que protegem seus dados, é possível usar chaves de criptografia gerenciadas pelo cliente no Filestore.

Opções de chave de criptografia gerenciada pelo cliente

O Cloud Key Management Service dá suporte a serviços gerenciados de criptografia de dados (CMEK, na sigla em inglês), que podem ser armazenadas como chaves de software, em um cluster HSM ou externamente Gerenciador de chaves externas do Cloud (Cloud EKM). Várias opções estão disponíveis.

Para mais informações, consulte Cloud Key Management Service.

Cloud External Key Manager

Disponibilidade geral do suporte do Cloud EKM para o Filestore (disponibilidade geral). Para mais informações, consulte Gerenciador de chaves externo do Cloud.

Interrupções no serviço do EKM

Desde a concepção, as chaves externas são gerenciadas por terceiros. nessas circunstâncias, O Google Cloud não é responsável pela disponibilidade de chaves.

Se o Cloud Key Management Service (Cloud KMS) é notificado pelo Gerenciador de chaves externas (EKM, na sigla em inglês). que uma chave externa está inacessível, os usuários recebem uma solicitação ekm_key_unreachable_detected notificação. Por até uma hora, os usuários têm acesso limitado às operações na instância. Depois de uma hora, se o status da chave não for alterado, as ações a seguir aplicar:

A chave está desativada.
Todas as operações de criptografia e descriptografia falham.
A instância do Filestore está suspensa.

Em alguns casos, como um evento não planejado, como uma reinicialização da VM, o acesso ao do Compute Engine podem ser interrompidas antes de uma hora.

As notificações de chave inacessível podem ser visualizadas na instância do Filestore página de detalhes:

Acessar a página de instâncias do Filestore

Os usuários também recebem ekm_key_unreachable_detected notificações em qualquer um dos operações a seguir se realizadas até uma hora após a primeira denúncia notificação:

Níveis compatíveis

A tabela a seguir mostra os níveis de serviço do Filestore. com suporte a chaves de criptografia gerenciadas pelo cliente:

Nível	Suporte a CMEK
HDD básico	Não
SSD básico	Não
Zonal	Sim
Regional	Sim
Enterprise	Sim

Criar um keyring e uma chave para usar com sua instância

O keyring e a chave podem estar em um projeto diferente da instância do Filestore, mas precisam estar no mesmo local. Se você já tiver um keyring e uma chave do Cloud KMS que quer usar com o Filestore, pule para a próxima seção. Caso contrário, siga as instruções em Como criar chaves de criptografia simétricas para criar um keyring e uma chave.

Conceder permissão de acesso de chave à conta de serviço do Filestore

Antes de criar uma instância do Filestore que usa uma a chave de criptografia gerenciada pelo cliente, a conta de serviço do Filestore precisa ter o papel criptografador/descriptografador de CryptoKey do Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter).

Uma conta de serviço do Filestore é criada na primeira vez que você cria uma instância do Filestore no projeto. Se você ainda não tiver um conta de serviço do Filestore, execute o seguinte services identity create comando:
```
gcloud beta services identity create --service=file.googleapis.com --project=INSTANCE_PROJECT_NUMBER_OR_ID
```
Substitua INSTANCE_PROJECT_NUMBER_OR_ID pelo número ou ID do projeto em que você quer criar a instância do Filestore.
Atribuir a CryptoKey do Cloud KMS à conta de serviço do Filestore Criptografador/Descriptografador executando o comando projects add-iam-policy-binding:
```
gcloud projects add-iam-policy-binding KMS_PROJECT_NUMBER_OR_ID \
    --member serviceAccount:service-INSTANCE_PROJECT_NUMBER@cloud-filer.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter
```
Substitua:
- KMS_PROJECT_NUMBER_OR_ID pelo número ou ID do projeto que contém a chave do Cloud KMS que você quer usar.
- INSTANCE_PROJECT_NUMBER pelo número (não o ID) do projeto em que você quer criar a instância do Filestore.

Criar uma instância que usa a chave do Cloud KMS

Console do Google Cloud

Criar uma instância que usa a chave do Cloud KMS para dados criptografia:

No console do Google Cloud, acesse as instâncias do Filestore página.

Acessar a página de instâncias do Filestore
Clique em Criar instância.
Selecione um nível de instância que ofereça suporte a CMEKs e preencha todos outros campos obrigatórios e opcionais, como você faria normalmente.
Clique em Exibir opções avançadas.
Marque a caixa de seleção Usar uma chave de criptografia gerenciada pelo cliente (CMEK).
Selecione a chave do Cloud KMS que você quer usar para a instância.
Clique em Criar.

CLI da gcloud

Para criar uma instância do Filestore que use a chave do Cloud KMS para criptografia de dados, especifique a sinalização --kms-key no comando filestore instances create:

gcloud filestore instances create nfs-server \
    --tier=<var>TIER</var> \
    --location=us-central1 \
    --file-share=name="vol1",capacity=1TiB \
    --network=name="default" \
    --kms-key=KMS_KEY

Substitua:

TIER por um nível do Filestore que dá suporte de criptografia gerenciadas pelo cliente.
KMS_KEY pelo nome totalmente qualificado do Cloud KMS a chave que você quer usar. Como alternativa, especifique cada argumento separadamente no formato:

--kms-key=KMS_KEY : --kms-keyring=KEY_RING --kms-location=KMS_REGION --kms-project=KMS_PROJECT_NUMBER_OR_ID

Substitua:

KMS_KEY pelo nome da chave do Cloud KMS.
KMS_PROJECT_NUMBER_OR_ID pelo número ou ID do projeto em que a chave foi criada.
KMS_KEY_RING pelo nome do keyring;
KMS_REGION pela região do keyring. O keyring e precisa estar localizada na mesma região.

Ver uma lista de chaves

Para conferir uma lista de chaves, execute o comando kms keys list comando:

  gcloud kms keys list \
  --project=KMS_PROJECT_NUMBER_OR_ID \
  --keyring=KEY_RING \
  --location=KMS_REGION

Substitua:

KMS_PROJECT_NUMBER_OR_ID pelo número ou ID do projeto em que a chave foi criada.
KEY_RING pelo nome do keyring;
KMS_REGION pela região do keyring.

A coluna Nome da saída mostra o nome totalmente qualificado das chaves atuais. Exemplo:

projects/example-project/locations/us-central1/keyRings/example-ring/cryptoKeys/example-key

Receber informações da chave da instância

As seções a seguir abordam como receber informações da chave da instância.

Listar instâncias que usam uma chave específica do Cloud KMS

Para listar instâncias do Filestore que usam uma chave específica, executando o instances list comando:

gcloud filestore instances list --filter="kmsKeyName=KMS_KEY"

Substitua KMS_KEY pelo nome totalmente qualificado da chave que você quer usar.

Exemplo:

gcloud filestore instances list \
    --filter="kmsKeyName=projects/example-project/locations/us-central1/keyRings/example-ring/cryptoKeys/example-key"

A saída é semelhante a esta:

INSTANCE_NAME LOCATION    TIER       CAPACITY_GB FILE_SHARE_NAME IP_ADDRESS   STATE CREATE_TIME
nfs-server    us-central1 ENTERPRISE 1024        vol1            10.166.108.2 READY 2021-08-12T11:38:56

Receber informações da chave do Cloud KMS de uma instância

Use um dos métodos a seguir para receber informações da chave do Cloud KMS de um Instância do Filestore:

Console do Google Cloud

Acessar a página de instâncias do Filestore.

Acessar a página de instâncias do Filestore
Clique no código da instância para abrir a página de detalhes da instância.
Clique na guia Visão geral.

Se a instância criptografar dados usando uma chave do Cloud KMS em vez de uma de propriedade e gerenciada pelo Google, o nome da chave será exibido Chave de criptografia.

CLI da gcloud

Execute este comando instances describe:

gcloud filestore instances describe INSTANCE_ID \
   --location=INSTANCE_LOCATION

Substitua:

INSTANCE_ID pelo ID da instância do Filestore de que você quer receber informações.
INSTANCE_LOCATION pela região ou zona em que a instância está localizado.

A saída é semelhante a esta:

createTime: '2021-08-12T11:38:56.851157387Z'
fileShares:
- capacityGb: '1024'
  name: vol1
kmsKeyName: projects/example-project/locations/us-central1/keyRings/example-ring/cryptoKeys/example-key
labels:
  key: val
name: projects/consumer-project/locations/us-central1/instances/nfs-server
networks:
- ipAddresses:
  - 10.0.100.2
  modes:
  - MODE_IPV4
  network: network
  reservedIpRange: 10.166.108.0/23
state: READY
tier: ENTERPRISE

Desativar ou destruir uma chave do Cloud KMS usada por uma instância

Se uma alteração no estado da chave do Cloud KMS for detectada, a instância interrompe automaticamente a veiculação de dados. Veja alguns exemplos:

Desativar uma chave ou a versão dela.
Destruir uma chave ou versão de chave.
Modificar as permissões de uma chave.

A detecção geralmente ocorre alguns minutos após a mudança no estado da chave, mas em alguns casos pode levar até uma hora.

Quando uma instância é interrompida, todo o acesso aos dados do compartilhamento de arquivos e a qualquer snapshot é bloqueado. Instâncias interrompidas continuam sendo cobradas até serem excluídas.

Como iniciar uma instância parada

Se uma instância interrompida do Filestore usar uma chave do Cloud KMS para criptografia de dados, todas as versões de chave ativada ou restaurado antes de reiniciar a instância.

Quando o status da chave do Cloud KMS for ativado, a instância detectar automaticamente mudanças-chave e reiniciar sem qualquer ação adicional, geralmente em 20 minutos.

Suporte a CMEK para cadeias de backup

É possível usar CMEKs para criptografar não apenas suas instâncias do Filestore, suas cadeias de backup.

As cadeias de backup residem em um único bucket e região. Armazenar e criptografar backups dados em uma região fora da instância de origem, os usuários precisam aplicar duas CMEKs: uma para a instância e outra para a cadeia de backup. Alguns requisitos são aplicáveis:

Uma CMEK precisa residir na mesma região que a cadeia de backup criptografada.
Uma única CMEK é aplicada ao bucket em que a cadeia de backup está armazenada e não podem ser combinados ou substituídos.
Para criar um backup usando uma nova CMEK, toda a cadeia de backup atual precisam ser excluídos.

O suporte a CMEK não está disponível para backups de nível básico.

Para mais informações, consulte Backups.

A seguir

Saiba como aplicar uma política da organização de CMEK.
Saiba mais sobre o CMEK.
Saiba mais sobre criptografia em trânsito no Google Cloud.