Chiavi di crittografia gestite dal cliente

Per impostazione predefinita, Integration Connectors cripta i contenuti inattivi dei clienti. Integration Connectors gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google.

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con i servizi integrati con CMEK, tra cui Integration Connectors. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il loro livello di protezione, la posizione, la pianificazione della rotazione, le autorizzazioni di utilizzo e accesso e i confini di crittografia. L'utilizzo di Cloud KMS ti consente inoltre di visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece che essere di proprietà e gestite da Google, le chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati sono sotto il tuo controllo e vengono gestite in Cloud KMS.

Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse di Integration Connectors è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Prima di iniziare

Prima di utilizzare CMEK per i connettori di integrazione, assicurati di aver completato le seguenti attività:

  1. Abilita l'API Cloud KMS per il progetto che memorizzerà le tue chiavi di crittografia.

    Abilita l'API Cloud KMS

  2. Assegna il ruolo IAM Amministratore Cloud KMS o concedi le seguenti autorizzazioni IAM per il progetto che memorizzerà le chiavi di crittografia:
    • cloudkms.cryptoKeys.setIamPolicy
    • cloudkms.keyRings.create
    • cloudkms.cryptoKeys.create

    Per informazioni su come concedere ruoli o autorizzazioni aggiuntivi, consulta Concedere, modificare e revocare l'accesso.

  3. Crea un keyring e una chiave.

Aggiungere un account di servizio alla chiave CMEK

Per utilizzare una chiave CMEK in Integration Connectors, devi assicurarti che il tuo account di servizio predefinito (con il formato service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com) sia aggiunto e assegnato con il ruolo IAM Autore crittografia/decriptazione CryptoKey per la chiave CMEK.

  1. Nella console Google Cloud, vai alla pagina Inventario chiavi.

    Vai alla pagina Inventario chiavi

  2. Seleziona la casella di controllo per la chiave CMEK che ti interessa.

    La scheda Autorizzazioni nel riquadro della finestra a destra diventa disponibile.

  3. Fai clic su Aggiungi entità e inserisci l'indirizzo email dell'account di servizio predefinito.
  4. Fai clic su Seleziona un ruolo e seleziona il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS dall'elenco a discesa disponibile.
  5. Fai clic su Salva.

Attivare la crittografia CMEK per una regione Integration Connectors esistente

Puoi utilizzare le chiavi CMEK per criptare e decriptare i dati supportati memorizzati in una regione (chiamata anche posizione). Per attivare la crittografia CMEK per una regione di Integration Connectors esistente, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina Connettori di integrazione > Connessioni.

    Vai a Tutte le connessioni.

  2. Filtra le connessioni in base alla posizione richiesta.

    Verrà visualizzato un elenco di tutte le connessioni per la località (regione) specificata.

  3. Sospendi tutte le connessioni nella regione.
  4. Vai alla pagina Integration Connectors > Regions (Integration Connectors > Regioni). Vengono elencate tutte le regioni in cui è disponibile Integration Connectors.
  5. Per la regione in cui vuoi attivare la crittografia lato client lato client, fai clic su Modifica crittografia nel menu Azioni. Viene visualizzato il riquadro Modifica crittografia.
  6. Seleziona Chiave di crittografia gestita dal cliente (CMEK), quindi seleziona la chiave richiesta dall'elenco a discesa Chiave gestita dal cliente.

    Potresti dover concedere il ruolo cloudkms.cryptoKeyEncrypterDecrypter all'account di servizio. Fai clic su Concedi.

  7. Fai clic su Fine.

Attivare la crittografia CMEK per una nuova regione di Integration Connectors

Puoi utilizzare le chiavi CMEK per criptare e decriptare i dati supportati memorizzati in una regione (chiamata anche posizione). Per attivare la crittografia CMEK per una nuova regione di Integration Connectors:

  1. Nella console Google Cloud, vai alla pagina Connettori di integrazione > Regioni.

    Vai alla pagina Regioni.

  2. Fai clic su Esegui il provisioning di una nuova regione. Viene visualizzata la pagina di creazione della regione.
  3. Seleziona la regione richiesta dall'elenco a discesa Regione.
  4. Nella sezione Impostazioni avanzate, seleziona Chiave di crittografia gestita dal cliente (CMEK), quindi seleziona la chiave richiesta dall'elenco a discesa Chiave gestita dal cliente.

    Potresti dover concedere il ruolo cloudkms.cryptoKeyEncrypterDecrypter all'account di servizio. Fai clic su Concedi.

  5. Fai clic su Fine.

Quote di Cloud KMS e Cloud Integration Connectors

Quando utilizzi CMEK in Integration Connectors, i tuoi progetti possono consumare le quote per le richieste crittografiche di Cloud KMS. Ad esempio, le chiavi CMEK possono consumare queste quote per ogni chiamata di crittografia e decrittografia.

Le operazioni di crittografia e decrittografia che utilizzano le chiavi CMEK influiscono sulle quote di Cloud KMS nei seguenti modi:

  • Per le chiavi CMEK software generate in Cloud KMS, non viene consumata alcuna quota Cloud KMS.
  • Per le chiavi CMEK hardware, a volte chiamate chiavi Cloud HSM, le operazioni di crittografia e decrittografia vengono conteggiate ai fini delle quote Cloud HSM nel progetto che contiene la chiave.
  • Per le chiavi CMEK esterne, a volte chiamate chiavi Cloud EKM, le operazioni di crittografia e decrittografia vengono conteggiate ai fini delle quote Cloud EKM nel progetto che contiene la chiave.

Per ulteriori informazioni, consulta Quote di Cloud KMS.