Visão geral do Autokey

O Cloud KMS Autokey simplifica a criação e o uso de chaves de criptografia gerenciadas pelo cliente (CMEKs, na sigla em inglês) automatizando o provisionamento e a atribuição. Com O Autokey, os keyrings e as chaves são gerados sob demanda. As contas de serviço que usam as chaves para criptografar e descriptografar recursos são criadas e recebem papéis do Identity and Access Management (IAM) quando necessário. Administradores do Cloud KMS mantenham controle e visibilidade totais das chaves criadas pela Autokey, sem precisar planejar e criar cada recurso.

O uso das chaves geradas pelo Autokey pode ajudar você a se alinhar de maneira consistente aos padrões do setor e às práticas recomendadas de segurança de dados, incluindo o nível de proteção do HSM, a separação de tarefas, a rotação de chaves, a localização e a especificidade da chave. O Autokey cria chaves que seguem diretrizes gerais e específicas ao tipo de recurso dos serviços do Google Cloud que se integram ao Autokey do Cloud KMS. Depois de criadas, as chaves solicitado usando a função Autokey de maneira idêntica a outros Cloud HSM com as mesmas configurações.

O Autokey também pode simplificar o uso do Terraform para gerenciamento de chaves, e elimina a necessidade de executar infraestrutura como código com criação de chaves elevada para conceder privilégios de acesso.

Para usar o Autokey, você deve ter um recurso da organização que contenha um recurso de pasta. Para mais informações sobre recursos de organização e de pasta, consulte Hierarquia de recursos.

O Cloud KMS Autokey está disponível em todos os locais do Google Cloud em que O Cloud HSM está disponível. Para mais informações sobre o Cloud KMS locais, consulte Locais do Cloud KMS. Não há custo adicional para usar o Autokey do Cloud KMS. As chaves criadas com o Autokey têm o mesmo preço de qualquer outra chave do Cloud HSM. Para Para mais informações sobre preços, consulte Preços do Cloud Key Management Service.

Como a chave automática funciona

Esta seção explica como o Cloud KMS Autokey funciona. Os seguintes papéis de usuário participam desse processo:

Administrador de segurança
O administrador de segurança é um usuário responsável para gerenciar a segurança no nível da pasta ou da organização.
Desenvolvedor da Autokey
O desenvolvedor do Autokey é um usuário que está responsável por criar recursos usando o Autokey do Cloud KMS.
Administrador do Cloud KMS
O administrador do Cloud KMS é um usuário responsável por gerenciar os recursos do Cloud KMS. Esta função tem menos responsabilidades ao usar o Autokey do que ao usar criadas manualmente.

Os seguintes agentes de serviço também participam desse processo:

Agente de serviço do Cloud KMS
O agente de serviço do Cloud KMS em um projeto de chave específico. O Autokey depende desse agente de serviço privilégios elevados para criar chaves e keyrings do Cloud KMS define a política do IAM nas chaves, concedendo os recursos de criptografia permissões para cada agente de serviço de recurso.
Agente de serviço de recurso
O agente de serviço de um determinado serviço de um projeto de recurso. O agente de serviço precisa ter permissão de criptografia permissões em qualquer chave do Cloud KMS antes de usá-la para proteção de CMEKs em um recurso. O Autokey cria o serviço de recursos agente quando necessário e concede a ele as permissões necessárias para usar o chave do Cloud KMS.

O administrador de segurança ativa o Cloud KMS Autokey

Antes de usar a Autokey, o administrador de segurança precisa concluir as seguintes tarefas de configuração única:

  1. Ativar o Autokey do Cloud KMS em uma pasta de recursos e identificar projeto do Cloud KMS que vai conter recursos do Autokey para na pasta.

  2. Crie o agente de serviço do Cloud KMS e conceda criação de chaves e atribuição de privilégios ao agente de serviço.

  3. Conceda papéis de usuário do Autokey a usuários desenvolvedores do Autokey.

Com essa configuração concluída, os desenvolvedores do Autokey agora podem acionar a criação de chaves do Cloud HSM sob demanda. Para ver instruções completas de configuração do Autokey do Cloud KMS, consulte Ativar o Autokey do Cloud KMS.

Os desenvolvedores do Autokey usam o Autokey do Cloud KMS

Depois que o Autokey for configurado, os desenvolvedores autorizados poderão criar recursos protegidos usando chaves criadas para eles sob demanda. Os detalhes do processo de criação de recursos dependem de qual recurso que você está criando, mas o processo segue este fluxo:

  1. O desenvolvedor do Autokey começa a criar um recurso em um serviço compatível do Google Cloud. Durante a criação de recursos, o desenvolvedor solicita uma nova chave ao agente de serviço do Autokey.

  2. O agente de serviço do Autokey recebe a solicitação do desenvolvedor e conclui as seguintes etapas:

    1. Crie um keyring no projeto de chave no local selecionado, a menos que ele já exista.
    2. Crie uma chave no keyring com a granularidade adequada para o tipo de recurso, a menos que ela já exista.
    3. Crie a conta de serviço por projeto e por serviço, a menos que o serviço já existe.
    4. Conceda as permissões de criptografia e descriptografia na chave para cada projeto e serviço.
    5. Forneça os principais detalhes ao desenvolvedor para que ele possa terminar de criar o recurso.
  3. Com os detalhes da chave retornados com sucesso pelo agente de serviço do Autokey, o desenvolvedor pode concluir imediatamente a criação do recurso protegido.

O Autokey do Cloud KMS cria chaves com os atributos descritos no na próxima seção. Esse fluxo de criação de chaves preserva a separação de funções. O Cloud KMS administrador continua tendo visibilidade e controle totais sobre as chaves criadas Autokey.

Para começar a usar o Autokey depois de ativar em uma pasta, consulte Criar recursos protegidos usando o Cloud KMS Autokey.

Sobre as chaves criadas pelo Autokey

As chaves criadas pelo Autokey do Cloud KMS têm os seguintes atributos:

  • Nível de proteção:HSM.
  • Algoritmo: AES-256 GCM.
  • Período de rotação:um ano.

    Depois que uma chave é criada pelo Autokey, um administrador do Cloud KMS pode editar o período de rotação do padrão.

  • Separação de tarefas:
    • A conta de serviço do serviço recebe automaticamente descriptografar permissões na chave.
    • As permissões de administrador do Cloud KMS se aplicam normalmente às chaves criado pelo Autokey. Os administradores do Cloud KMS podem conferir, atualizar, ativar ou desativar e destruir chaves criadas pelo Autokey. Os administradores do Cloud KMS não recebem criptografar e descriptografar as permissões.
    • Os desenvolvedores do Autokey só podem solicitar atribuição. Não é possível visualizar ou gerenciar chaves.
  • Especificidade de chave ou granularidade:chaves criadas pelo Autokey. têm granularidade que varia de acordo com o tipo de recurso. Para detalhes específicos de serviços sobre a granularidade da chave, consulte a seção Serviços compatíveis nesta página.
  • Local: o Autokey cria chaves no mesmo local que o recurso a ser protegido.

    Se você precisar criar recursos protegidos por CMEK em locais em que o Cloud HSM não estiver disponível, crie o CMEK manualmente.

  • Estado da versão da chave:chaves recém-criadas e solicitadas usando o Autokey. são criadas como a versão da chave primária no estado ativado.
  • Nomenclatura de keyrings: todas as chaves criadas pelo Autokey são criadas em uma chamado autokey no projeto Autokey no conjunto o local. Os keyrings no seu projeto do Autokey são criados O desenvolvedor do Autokey solicita a primeira chave em um determinado local.
  • Nomenclatura de chaves:as chaves criadas pelo Autokey seguem esta nomenclatura. convenção: PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
  • Exportação de chaves: como todas as chaves do Cloud KMS, as chaves criadas pelo Não é possível exportar o Autokey.
  • Rastreamento de chaves:como todas as chaves do Cloud KMS usadas na CMEK integradas compatíveis com rastreamento de chaves, chaves criadas pelo Autokey são rastreadas no painel do Cloud KMS.

Aplicação do Autokey

Se você quiser aplicar o uso da Autokey em uma pasta, faça isso combinando os controles de acesso do IAM com as políticas da organização do CMEK. Isso funciona removendo as permissões de criação de chaves de principais que não são o agente de serviço do Autokey e exigindo que todos os recursos sejam protegidos por CMEK usando o projeto de chave Autokey. Para obter instruções sobre como exigir o uso do Autokey, consulte Aplicar Uso do Autokey.

Serviços compatíveis

A tabela a seguir lista os serviços compatíveis com a autochave do Cloud KMS:

Serviço Recursos protegidos Granularidade da chave
Cloud Storage
  • storage.googleapis.com/Bucket

Os objetos em um use a chave padrão do bucket. O Autokey não cria chaves para recursos storage.object.

Uma chave por bucket
Compute Engine
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Instance
  • compute.googleapis.com/MachineImage

Os snapshots usam a chave do disco do qual você está criando um snapshot. O Autokey não cria chaves para recursos compute.snapshot.

Uma chave por recurso
BigQuery
  • bigquery.googleapis.com/Dataset

O Autokey cria chaves padrão para conjuntos de dados. Tabelas, modelos, consultas e tabelas temporárias em um conjunto de dados usam a chave padrão do conjunto.

O Autokey não cria chaves para recursos do BigQuery diferentes dos conjuntos de dados. Para proteger recursos que não fazem parte de uma você precisa criar suas próprias chaves padrão no projeto ou no nível da organização.

Uma chave por recurso
Secret Manager
  • secretmanager.googleapis.com/Secret

O Secret Manager é compatível apenas com a autochave do Cloud KMS ao criar recursos usando o Terraform ou a API REST.

Uma chave por local em um projeto
Cloud SQL
  • sqladmin.googleapis.com/Instance

O Cloud SQL só é compatível com o Autokey do Cloud KMS ao criar recursos usando o Terraform ou a API REST.

Uma chave por recurso
Spanner
  • spanner.googleapis.com/Database

O Spanner só é compatível com o Autokey do Cloud KMS ao criar recursos usando o Terraform ou a API REST.

Uma chave por recurso

Limitações

A seguir