Chaves de encriptação geridas do cliente

Por predefinição, os Integration Connectors encriptam o conteúdo do cliente em repouso. Os conectores de integração processam a encriptação por si, sem necessidade de ações adicionais da sua parte. Esta opção chama-se Encriptação predefinida da Google.

Se quiser controlar as suas chaves de encriptação, pode usar chaves de encriptação geridas pelo cliente (CMEK) no Cloud KMS com serviços integrados com CMEK, incluindo os Integration Connectors. A utilização de chaves do Cloud KMS dá-lhe controlo sobre o respetivo nível de proteção, localização, programação de rotação, utilização, autorizações de acesso e limites criptográficos. A utilização do Cloud KMS também permite ver registos de auditoria e controlar os ciclos de vida das chaves. Em vez de a Google possuir e gerir as chaves de encriptação de chaves (KEKs) simétricas que protegem os seus dados, controla e gere estas chaves no Cloud KMS.

Depois de configurar os seus recursos com CMEKs, a experiência de acesso aos recursos dos Integration Connectors é semelhante à utilização da encriptação predefinida da Google. Para mais informações acerca das suas opções de encriptação, consulte o artigo Chaves de encriptação geridas pelo cliente (CMEK).

Antes de começar

Certifique-se de que as seguintes tarefas estão concluídas antes de usar as CMEK para os conectores de integração:

  1. Ative a API Cloud KMS para o projeto que vai armazenar as suas chaves de encriptação.

    Ative a API Cloud KMS

  2. Atribua a função da IAM Administrador do Cloud KMS ou conceda as seguintes autorizações da IAM para o projeto que vai armazenar as suas chaves de encriptação:
    • cloudkms.cryptoKeys.setIamPolicy
    • cloudkms.keyRings.create
    • cloudkms.cryptoKeys.create

    Para ver informações sobre a concessão de funções ou autorizações adicionais, consulte o artigo Conceder, alterar e revogar o acesso.

  3. Crie um conjunto de chaves e uma chave.

Adicione uma conta de serviço à chave CMEK

Para usar uma chave CMEK nos Integration Connectors, tem de garantir que a sua conta de serviço predefinida (com o formato service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com) é adicionada e atribuída com a função da IAM Encriptador/desencriptador de CryptoKey para essa chave CMEK.

  1. Na Google Cloud consola, aceda à página Inventário principal.

    Aceda à página Inventário principal

  2. Selecione a caixa de verificação da chave CMEK pretendida.

    O separador Autorizações no painel da janela do lado direito fica disponível.

  3. Clique em Adicionar principal e introduza o endereço de email da conta de serviço predefinida.
  4. Clique em Selecionar uma função e selecione a função Encriptador/desencriptador de CryptoKey do Cloud KMS na lista pendente disponível.
  5. Clique em Guardar.

Ative a encriptação CMEK para uma região do Integration Connectors existente

Pode usar a CMEK para encriptar e desencriptar os dados suportados armazenados numa região (também denominada localização). Para ativar a encriptação CMEK para uma região dos Integration Connectors existente, siga estes passos:

  1. Na Google Cloud consola, aceda à página Integration Connectors > Connections.

    Aceda à página de todas as associações.

  2. Filtre as associações pela Localização necessária.

    É apresentada uma lista de todas as ligações para a localização (região) especificada.

  3. Suspender todas as associações na região.
  4. Aceda à página Conetores de integração > Regiões. Esta lista apresenta todas as regiões onde os Integration Connectors estão disponíveis.
  5. Para a região na qual quer ativar a CMEK, clique em Editar encriptação no menu Ações. É apresentado o painel Editar encriptação.
  6. Selecione Chave de encriptação gerida pelo cliente (CMEK) e, de seguida, selecione a chave necessária na lista pendente Chave gerida pelo cliente.

    Isto pode pedir-lhe que conceda a função de cloudkms.cryptoKeyEncrypterDecrypter à conta de serviço. Clique em Conceder.

  7. Clique em Concluído.

Ative a encriptação CMEK para uma nova região dos Integration Connectors

Pode usar a CMEK para encriptar e desencriptar os dados suportados armazenados numa região (também denominada localização). Para ativar a encriptação CMEK para uma nova região dos Integration Connectors, siga estes passos:

  1. Na Google Cloud consola, aceda à página Integration Connectors > Regions.

    Aceda à página Regiões.

  2. Clique em Aprovisionar nova região. É apresentada a página de criação de regiões.
  3. Selecione a região necessária na lista pendente Região.
  4. Na secção Definições avançadas, selecione Chave de encriptação gerida pelo cliente (CMEK) e, de seguida, selecione a chave necessária na lista pendente Chave gerida pelo cliente

    Isto pode pedir-lhe que conceda a função de cloudkms.cryptoKeyEncrypterDecrypter à conta de serviço. Clique em Conceder.

  5. Clique em Concluído.

Quotas do Cloud KMS e Integration Connectors

Quando usa CMEK nos Integration Connectors, os seus projetos podem consumir quotas de pedidos criptográficos do Cloud KMS. Por exemplo, as chaves CMEK podem consumir estas quotas para cada chamada de encriptação e desencriptação.

As operações de encriptação e desencriptação com chaves CMEK afetam as quotas do Cloud KMS das seguintes formas:

  • Para chaves CMEK de software geradas no Cloud KMS, não é consumida nenhuma quota do Cloud KMS.
  • Para chaves CMEK de hardware, por vezes denominadas chaves do Cloud HSM, as operações de encriptação e desencriptação são contabilizadas para as quotas do Cloud HSM no projeto que contém a chave.
  • Para chaves CMEK externas, por vezes denominadas chaves do Cloud EKM, as operações de encriptação e desencriptação são contabilizadas em função das quotas do Cloud EKM no projeto que contém a chave.

Para mais informações, consulte as cotas do Cloud KMS.