Chaves de criptografia gerenciadas pelo cliente

Por padrão, os Integration Connectors criptografam o conteúdo do cliente em repouso. Os Integration Connectors processam a criptografia para você sem que você precise fazer nada. Essa opção é chamada de Criptografia padrão do Google.

Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo Integration Connectors. O uso de chaves do Cloud KMS permite controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. O uso do Cloud KMS também permite visualizar registros de auditoria e controlar ciclos de vida importantes. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.

Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos dos Integration Connectors é semelhante à criptografia padrão do Google. Para mais informações sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

Antes de começar

Antes de usar o CMEK para Integration Connectors, verifique se as seguintes tarefas foram concluídas:

  1. Ative a API Cloud KMS para o projeto que armazenará as chaves de criptografia.

    Ativar a API Cloud KMS

  2. Atribua o papel do IAM Administrador do Cloud KMS ou conceda as seguintes permissões do IAM ao projeto que vai armazenar as chaves de criptografia:
    • cloudkms.cryptoKeys.setIamPolicy
    • cloudkms.keyRings.create
    • cloudkms.cryptoKeys.create

    Para informações sobre como conceder papéis ou permissões adicionais, consulte Como conceder, alterar e revogar o acesso.

  3. Crie um keyring e uma chave.

Adicionar a conta de serviço à chave CMEK

Para usar uma chave CMEK nos Integration Connectors, é necessário adicionar e atribuir a conta de serviço padrão (com o formato service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com) ao papel do IAM Criptografador/Descriptografador de CryptoKey para essa chave.

  1. No console do Google Cloud, acesse a página Inventário de chaves.

    Acessar a página "Inventário de chaves"

  2. Marque a caixa de seleção da chave CMEK desejada.

    A guia Permissões fica disponível no painel da janela à direita.

  3. Clique em Adicionar principal e insira o endereço de e-mail da conta de serviço padrão.
  4. Clique em Selecionar uma função e selecione a função Criptografador/Descriptografador de CryptoKey do Cloud KMS na lista suspensa disponível.
  5. Clique em Salvar.

Ativar a criptografia CMEK para uma região dos Integration Connectors

É possível usar a CMEK para criptografar e descriptografar os dados com suporte armazenados em uma região (também chamada de local). Para ativar a criptografia CMEK em uma região Integration Connectors, siga estas etapas:

  1. No console do Google Cloud, acesse a página Integration Connectors > Connections.

    Acesse a página Acessar todas as conexões.

  2. Filtre as conexões para o local necessário.

    Você vai receber uma lista de todas as conexões para o local especificado (região).

  3. Suspender todas as conexões na região.
  4. Acesse a página Integration Connectors > Regions. Ela lista todas as regiões em que os Integration Connectors estão disponíveis.
  5. Na região em que você quer ativar a CMEK, clique em Editar criptografia no menu Ações. O painel Editar criptografia é mostrado.
  6. Selecione Chave de criptografia gerenciada pelo cliente (CMEK) e selecione a chave necessária na lista suspensa Chave gerenciada pelo cliente.

    Isso pode solicitar que você conceda o papel cloudkms.cryptoKeyEncrypterDecrypter à conta de serviço. Clique em Conceder.

  7. Clique em Concluído.

Ativar a criptografia CMEK para uma nova região dos Integration Connectors

É possível usar a CMEK para criptografar e descriptografar os dados com suporte armazenados em uma região (também chamada de local). Para ativar a criptografia CMEK em uma nova região dos Integration Connectors, siga estas etapas:

  1. No console do Google Cloud, acesse a página Integration Connectors > Regions.

    Acesse a página Regiões.

  2. Clique em Provisionar nova região. A página de criação da região vai aparecer.
  3. Selecione a região necessária na lista suspensa Região.
  4. Na seção Configurações avançadas, selecione Chave de criptografia gerenciada pelo cliente (CMEK) e selecione a chave necessária na lista suspensa Chave gerenciada pelo cliente.

    Isso pode solicitar que você conceda o papel cloudkms.cryptoKeyEncrypterDecrypter à conta de serviço. Clique em Conceder.

  5. Clique em Concluído.

Cotas do Cloud KMS e Integration Connectors

Quando você usa a CMEK nos Integration Connectors, seus projetos podem consumir cotas de solicitações criptográficas do Cloud KMS. Por exemplo, as chaves CMEK podem consumir essas cotas para cada chamada de criptografia e descriptografia.

As operações de criptografia e descriptografia com chaves CMEK afetam as cotas do Cloud KMS destas maneiras:

  • Para chaves CMEK de software geradas no Cloud KMS, nenhuma cota do Cloud KMS é consumida.
  • Para chaves CMEK de hardware, às vezes chamadas de chaves do Cloud HSM, as operações de criptografia e descriptografia são descontadas das cotas do Cloud HSM no projeto que contém a chave.
  • Para chaves CMEK externas, às vezes chamadas de chaves do Cloud EKM, as operações de criptografia e descriptografia são descontadas das cotas do Cloud EKM no projeto que contém a chave.

Para mais informações, consulte Cotas do Cloud KMS.