Panoramica di AutoKey

Cloud KMS Autokey semplifica la creazione e l'utilizzo della crittografia gestita dal cliente (CMEK) automatizzando il provisioning e l'assegnazione. Con Autokey, keyring e chiavi vengono generati on demand. Gli account di servizio che utilizzano le chiavi per criptare e decriptare le risorse vengono creati e a cui vengono assegnati i ruoli di Identity and Access Management (IAM) quando necessario. Gli amministratori di Cloud KMS mantengono il controllo e la visibilità completi sulle chiavi create da Autokey, senza dover pianificare e creare in anticipo ogni risorsa.

L'utilizzo delle chiavi generate da Autokey può aiutarti ad allinearti in modo coerente con standard di settore e pratiche consigliate per la sicurezza dei dati, tra cui Livello di protezione HSM, separazione dei compiti, rotazione della chiave, località e chiave specificità. Autokey crea chiavi conformi a entrambe le linee guida generali e linee guida specifiche per il tipo di risorsa per i servizi Google Cloud che si integrano con Cloud KMS Autokey. Dopo la creazione, le chiavi richiesta utilizzando la funzione Autokey in modo identico ad altre Chiavi Cloud HSM con le stesse impostazioni.

Autokey può anche semplificare l'utilizzo di Terraform per la gestione delle chiavi, eliminando la necessità di eseguire Infrastructure as Code con privilegi elevati per la creazione di chiavi.

Per utilizzare Autokey, devi disporre di una risorsa organizzazione che contenga una risorsa cartella. Per ulteriori informazioni sulle risorse per l'organizzazione e le cartelle, consulta Gerarchia delle risorse.

Cloud KMS Autokey è disponibile in tutte le località di Google Cloud in cui è disponibile Cloud HSM. Per ulteriori informazioni sulle località Cloud KMS, consulta Località di Cloud KMS. L'utilizzo di Autokey di Cloud KMS non comporta costi aggiuntivi. Le chiavi create utilizzando Autokey hanno lo stesso prezzo di qualsiasi altra chiave Cloud HSM. Per maggiori informazioni sui prezzi, consulta la pagina Prezzi di Cloud Key Management Service.

Come funziona Autokey

Questa sezione spiega come funziona Cloud KMS Autokey. I seguenti ruoli utente partecipano a questo processo:

Amministratore della sicurezza
L'amministratore della sicurezza è un utente responsabile per la gestione della sicurezza a livello di cartella o organizzazione.
Sviluppatore di Autokey
Lo sviluppatore Autokey è un utente che responsabile della creazione di risorse utilizzando Cloud KMS Autokey.
Amministratore Cloud KMS
L'amministratore di Cloud KMS è un utente responsabile della gestione delle risorse Cloud KMS. Questo ruolo ha meno responsabilità quando usa Autokey rispetto a quando usa create manualmente.

A questo processo partecipano anche i seguenti agenti di servizio:

Agente di servizio Cloud KMS
L'agente di servizio per Cloud KMS in un determinato progetto di chiavi. Autokey dipende dal fatto che questo agente di servizio disponga di privilegi elevati per creare chiavi e keyring Cloud KMS e impostare i criteri IAM sulle chiavi, concedendo autorizzazioni di crittografia e decrittografia per ogni agente di servizio delle risorse.
Agente di servizio risorse
L'agente di servizio per un determinato servizio in un determinato progetto di risorse. Questo agente di servizio deve avere criptato e decriptato autorizzazioni su qualsiasi chiave Cloud KMS prima di poterla utilizzare Protezione CMEK per risorsa. Autokey crea il servizio di risorse agente quando necessario e concedegli le autorizzazioni necessarie per utilizzare Chiave Cloud KMS.

L'amministratore della sicurezza abilita Cloud KMS Autokey

Prima di poter utilizzare Autokey, l'amministratore della sicurezza deve completare le seguenti attività di configurazione una tantum:

  1. Abilita Cloud KMS Autokey su una cartella di risorse e identifica il Progetto Cloud KMS che conterrà risorse Autokey per quella cartella.

  2. Crea l'agente di servizio Cloud KMS, quindi concedi la creazione e l'assegnazione delle chiavi all'agente di servizio.

  3. Concedi ruoli utente ad Autokey agli utenti sviluppatore di Autokey.

Una volta completata questa configurazione, gli sviluppatori di Autokey possono ora attivare Creazione di chiavi Cloud HSM on demand. Per vedere le istruzioni complete per la configurazione Cloud KMS Autokey, vedi Abilitare Cloud KMS Autokey.

Gli sviluppatori di Autokey utilizzano Autokey di Cloud KMS

Dopo aver configurato correttamente Autokey, Autokey autorizzato ora gli sviluppatori possono creare risorse protette utilizzando chiavi create per loro on demand. I dettagli della procedura di creazione della risorsa dipendono dalla risorsa che stai creando, ma la procedura segue questo flusso:

  1. Lo sviluppatore Autokey inizia a creare una risorsa in un ambiente dal servizio Google Cloud. Durante la creazione della risorsa, lo sviluppatore richiede una nuova chiave all'agente di servizio Autokey.

  2. L'agente del servizio Autokey riceve la richiesta dello sviluppatore e completa i seguenti passaggi:

    1. Crea un keyring nel progetto chiave nella località selezionata, a meno che il keyring esiste già.
    2. Crea una chiave nel keyring con la granularità appropriata per il tipo di risorsa, a meno che questa chiave non esista già.
    3. Crea l'account di servizio per progetto e per servizio, a meno che non esista già.
    4. Concedi all'account di servizio le autorizzazioni di crittografia e decrittografia per progetto e servizio sulla chiave.
    5. Fornisci i dettagli chiave allo sviluppatore in modo che possa completare la creazione del risorsa.
  3. Con i dettagli della chiave restituiti correttamente dall'agente di servizio Autokey, lo sviluppatore può completare immediatamente la creazione della risorsa protetta.

Cloud KMS Autokey crea chiavi con gli attributi descritti in sezione successiva. Questo flusso di creazione delle chiavi conserva separazione dei compiti. L'amministratore di Cloud KMS continua ad avere piena visibilità e controllo sulle chiavi create da Autokey.

Per iniziare a utilizzare Autokey dopo averlo abilitato in una cartella, consulta: Crea risorse protette utilizzando Cloud KMS Autokey.

Informazioni sulle chiavi create da Autokey

Le chiavi create da Cloud KMS Autokey hanno i seguenti attributi:

  • Livello di protezione: HSM.
  • Algoritmo: AES-256 GCM.
  • Periodo di rotazione: un anno.

    Dopo che una chiave è stata creata da Autokey, un amministratore Cloud KMS può modificare il periodo di rotazione rispetto al valore predefinito.

  • Separazione dei compiti:
    • All'account di servizio del servizio vengono concesse automaticamente le autorizzazioni di crittografia e decrittografia per la chiave.
    • Le autorizzazioni dell'amministratore di Cloud KMS si applicano come di consueto alle chiavi creato da Autokey. Gli amministratori di Cloud KMS possono visualizzare, aggiornare, abilitare o disabilitare ed eliminare le chiavi create Autokey. Agli amministratori di Cloud KMS non vengono assegnate autorizzazioni di crittografia e decrittografia.
    • Gli sviluppatori di Autokey possono richiedere solo la creazione di chiavi e compito. Non possono visualizzare o gestire le chiavi.
  • Specificità o granularità della chiave: chiavi create da Autokey con una granularità che varia a seconda del tipo di risorsa. Per dettagli specifici del servizio sulla granularità delle chiavi, consulta la sezione Servizi compatibili in questa pagina.
  • Posizione: Autokey crea le chiavi nella stessa posizione della risorsa da proteggere.

    Se devi creare risorse protette da CMEK in località in cui Cloud HSM non è disponibile, devi creare il CMEK manualmente.

  • Stato della versione della chiave:le nuove chiavi create sono state richieste utilizzando Autokey vengono create come versione della chiave primaria nello stato abilitato.
  • Nomi dei keyring: tutte le chiavi create da Autokey vengono create in un keyring denominato autokey nel progetto Autokey nella località selezionata. I keyring nel progetto Autokey vengono creati quando un sviluppatore Autokey richiede la prima chiave in una determinata posizione.
  • Denominazione delle chiavi: le chiavi create da Autokey seguono questa denominazione convenzione: PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
  • Esportazione delle chiavi: come tutte le chiavi Cloud KMS, anche le chiavi create Impossibile esportare Autokey.
  • Monitoraggio delle chiavi: come tutte le chiavi Cloud KMS utilizzate in CMEK integrata compatibili con il tracciamento delle chiavi, le chiavi create da Autokey vengono monitorate nella dashboard di Cloud KMS.

Applicazione di Autokey in corso...

Se vuoi applicare l'utilizzo di Autokey all'interno di una cartella, puoi farlo combinando i controlli di accesso IAM con i criteri dell'organizzazione CMEK. Questo funziona rimuovendo le autorizzazioni di creazione delle chiavi da entità diverse dall'agente di servizio Autokey e richiedendo poi che tutte le risorse siano protette da CMEK utilizzando il progetto di chiavi Autokey. Per istruzioni dettagliate sull'applicazione dell'utilizzo di Autokey, consulta Applicare l'utilizzo di Autokey.

Servizi compatibili

La tabella seguente elenca i servizi compatibili con Cloud KMS Autokey:

Servizio Risorse protette Granularità chiave
Cloud Storage
  • storage.googleapis.com/Bucket

Gli oggetti all'interno di un bucket di archiviazione utilizzano la chiave predefinita del bucket. Autokey non crea chiavi per storage.object risorse.

Una chiave per bucket
Compute Engine
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Instance
  • compute.googleapis.com/MachineImage

Gli snapshot utilizzano la chiave del disco di cui stai creando uno snapshot. Autokey non crea chiavi per compute.snapshot Google Cloud.

Una chiave per risorsa
BigQuery
  • bigquery.googleapis.com/Dataset

La funzionalità Autokey crea chiavi predefinite per i set di dati. Tabelle, modelli le query e le tabelle temporanee all'interno di un set di dati usano il valore predefinito chiave.

Autokey non crea chiavi per le risorse BigQuery diversi dai set di dati. Per proteggere le risorse che non fanno parte di un devi creare le tue chiavi predefinite a livello di progetto a livello di organizzazione.

Una chiave per risorsa
Secret Manager
  • secretmanager.googleapis.com/Secret

Secret Manager è compatibile con Cloud KMS Autokey solo per la creazione di risorse utilizzando Terraform o l'API REST.

Una chiave per località all'interno di un progetto
Cloud SQL
  • sqladmin.googleapis.com/Instance

Autokey non crea chiavi per Cloud SQL BackupRun risorse. Quando crei un backup di un'istanza Cloud SQL, il backup viene criptato con la chiave gestita dal cliente dell'istanza principale.

Cloud SQL è compatibile con Autokey di Cloud KMS solo quando si creano risorse utilizzando Terraform o l'API REST.

Una chiave per risorsa
Spanner
  • spanner.googleapis.com/Database

Spanner è compatibile con Cloud KMS Autokey solo quando si creano risorse utilizzando Terraform o l'API REST.

Una chiave per risorsa

Limitazioni

  • gcloud CLI non è disponibile per le risorse Autokey.
  • Gli handle delle chiavi non sono in Cloud Asset Inventory.

Passaggi successivi