A chave automática do Cloud KMS simplifica a criação e a utilização de chaves de encriptação geridas pelo cliente (CMEKs) através da automatização do aprovisionamento e da atribuição. Com o Autokey, os conjuntos de chaves e as chaves são gerados a pedido. As contas de serviço que usam as chaves para encriptar e desencriptar recursos são criadas e recebem funções de gestão de identidade e de acesso (IAM) quando necessário. Os administradores do Cloud KMS mantêm o controlo total e a visibilidade das chaves criadas pela Autokey, sem ter de planear previamente e criar cada recurso.
A utilização de chaves geradas pelo Autokey pode ajudar a alinhar-se consistentemente com as normas da indústria e as práticas recomendadas para a segurança dos dados, incluindo o nível de proteção do HSM, a separação de funções, a rotação de chaves, a localização e a especificidade das chaves. A chave automática cria chaves que seguem as diretrizes gerais e as diretrizes específicas do tipo de recurso para os Google Cloud serviços que se integram com a chave automática do Cloud KMS. Depois de criadas, as chaves pedidas através da função Autokey funcionam de forma idêntica a outras chaves do HSM na nuvem com as mesmas definições.
O Autokey também pode simplificar a utilização do Terraform para a gestão de chaves, removendo a necessidade de executar infraestrutura como código com privilégios de criação de chaves elevados.
Para usar o Autokey, tem de ter um recurso de organização que contenha um recurso de pasta. Para mais informações sobre os recursos de organização e pasta, consulte o artigo Hierarquia de recursos.
O Cloud KMS Autokey está disponível em todas as Google Cloud localizações onde o Cloud HSM está disponível. Para mais informações sobre as localizações do Cloud KMS, consulte o artigo Localizações do Cloud KMS. Não existe nenhum custo adicional para usar a chave automática do Cloud KMS. As chaves criadas através da ferramenta Autokey têm o mesmo preço que quaisquer outras chaves do HSM na nuvem. Para mais informações sobre os preços, consulte os preços do Cloud Key Management Service.
Como funciona o Autokey
Esta secção explica como funciona a chave automática do Cloud KMS. As seguintes funções de utilizador participam neste processo:
- Administrador de segurança
- O administrador de segurança é um utilizador responsável pela gestão da segurança ao nível da pasta ou da organização.
- Programador da Autokey
- O programador da chave automática é um utilizador responsável por criar recursos através da chave automática do Cloud KMS.
- Administrador do Cloud KMS
- O administrador do Cloud KMS é um utilizador responsável pela gestão dos recursos do Cloud KMS. Esta função tem menos responsabilidades quando usa a chave automática do que quando usa chaves criadas manualmente.
Os seguintes agentes de serviço também participam neste processo:
- Agente de serviço do Cloud KMS
- O agente de serviço do Cloud KMS num projeto de chave específico. A chave automática depende de este agente de serviço ter privilégios elevados para criar chaves e conjuntos de chaves do Cloud KMS e para definir a política do IAM nas chaves, concedendo autorizações de encriptação e desencriptação para cada agente de serviço de recursos.
- Agente do serviço de recursos
- O agente de serviço de um determinado serviço num determinado projeto de recursos. Este agente de serviço tem de ter autorizações de encriptação e desencriptação em qualquer chave do Cloud KMS antes de poder usar essa chave para proteção CMEK num recurso. O Autokey cria o agente do serviço de recursos quando necessário e concede-lhe as autorizações necessárias para usar a chave do Cloud KMS.
O administrador de segurança ativa a chave automática do Cloud KMS
Antes de poder usar o Autokey, o administrador de segurança tem de concluir as seguintes tarefas de configuração únicas:
Ative a chave automática do Cloud KMS numa pasta de recursos e identifique o projeto do Cloud KMS que vai conter recursos de chave automática para essa pasta.
Crie o agente de serviço do Cloud KMS e, em seguida, conceda privilégios de criação e atribuição de chaves ao agente de serviço.
Conceda funções de utilizador do Autokey a utilizadores programadores do Autokey.
Com esta configuração concluída, os programadores do Autokey podem agora acionar a criação de chaves do Cloud HSM a pedido. Para ver instruções de configuração completas para a chave automática do Cloud KMS, consulte o artigo Ative a chave automática do Cloud KMS.
Os programadores do Autokey usam o Autokey do Cloud KMS
Depois de configurar o Autokey com êxito, os programadores autorizados do Autokey podem agora criar recursos protegidos através de chaves criadas para eles a pedido. Os detalhes do processo de criação de recursos dependem do recurso que está a criar, mas o processo segue este fluxo:
O programador do Autokey começa a criar um recurso num serviço Google Cloud compatível. Durante a criação de recursos, o programador pede uma nova chave ao agente do serviço Autokey.
O agente do serviço Autokey recebe o pedido do programador e conclui os seguintes passos:
- Crie um conjunto de chaves no projeto de chaves na localização selecionada, a menos que esse conjunto de chaves já exista.
- Crie uma chave no conjunto de chaves com o nível de detalhe adequado para o tipo de recurso, a menos que já exista uma chave desse tipo.
- Crie a conta de serviço por projeto e por serviço, a menos que essa conta de serviço já exista.
- Conceda as autorizações de encriptação e desencriptação por projeto e por serviço à conta de serviço na chave.
- Faculte os detalhes principais ao programador para que este possa concluir a criação do recurso.
Com os detalhes principais devolvidos com êxito pelo agente do serviço Autokey, o programador pode terminar imediatamente a criação do recurso protegido.
A chave automática do Cloud KMS cria chaves com os atributos descritos na secção seguinte. Este fluxo de criação de chaves preserva a separação de funções. O administrador do Cloud KMS continua a ter visibilidade e controlo total sobre as chaves criadas pela chave automática.
Para começar a usar o Autokey depois de o ativar numa pasta, consulte o artigo Crie recursos protegidos com o Autokey do Cloud KMS.
Acerca das chaves criadas pelo Autokey
As chaves criadas pelo Cloud KMS Autokey têm os seguintes atributos:
- Nível de proteção: HSM.
- Algoritmo: AES-256 GCM.
Período de rotação: um ano.
Depois de uma chave ser criada pelo Autokey, um administrador do Cloud KMS pode editar o período de rotação a partir do predefinido.
- Separação de funções:
- A conta de serviço do serviço recebe automaticamente autorizações de encriptação e desencriptação na chave.
- As autorizações de administrador do Cloud KMS aplicam-se como habitualmente às chaves criadas pela Autokey. Os administradores do Cloud KMS podem ver, atualizar, ativar ou desativar e destruir chaves criadas pela chave automática. Os administradores do Cloud KMS não têm autorizações de encriptação e desencriptação.
- Os programadores da chave automática só podem pedir a criação e a atribuição de chaves. Não pode ver nem gerir chaves.
- Especificidade ou granularidade das chaves: as chaves criadas pelo Autokey têm uma granularidade que varia consoante o tipo de recurso. Para ver detalhes específicos do serviço acerca da granularidade das chaves, consulte os Serviços compatíveis nesta página.
Localização: o Autokey cria chaves na mesma localização que o recurso a proteger.
Se precisar de criar recursos protegidos por CMEK em localizações onde o Cloud HSM não está disponível, tem de criar a CMEK manualmente.
- Estado da versão da chave: as chaves criadas recentemente pedidas através da chave automática são criadas como a versão da chave principal no estado ativado.
- Nomenclatura do conjunto de chaves: todas as chaves criadas pelo Autokey são criadas num
conjunto de chaves denominado
autokeyno projeto do Autokey na localização selecionada. Os porta-chaves no seu projeto do Autokey são criados quando um programador do Autokey pede a primeira chave numa determinada localização. - Nomenclatura das chaves: as chaves criadas pela Autokey seguem esta convenção de nomenclatura:
PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX - Exportação de chaves: tal como todas as chaves do Cloud KMS, não é possível exportar as chaves criadas pelo Autokey.
- Monitorização de chaves: tal como todas as chaves do Cloud KMS usadas em serviços integrados de CMEK compatíveis com a monitorização de chaves, as chaves criadas pela Autokey são monitorizadas no painel de controlo do Cloud KMS.
Forçar a chave automática
Se quiser aplicar a utilização do Autokey numa pasta, pode fazê-lo combinando os controlos de acesso do IAM com as políticas da organização da CMEK. Isto funciona removendo as autorizações de criação de chaves de diretores que não sejam o agente do serviço Autokey e, em seguida, exigindo que todos os recursos sejam protegidos pela CMEK através do projeto de chave do Autokey. Para ver instruções detalhadas para aplicar a utilização da chave automática, consulte o artigo Aplique a utilização da chave automática.
Serviços compatíveis
A tabela seguinte indica os serviços compatíveis com a chave automática do Cloud KMS:
| Serviço | Recursos protegidos | Nível de detalhe da chave |
|---|---|---|
| Artifact Registry |
O Autokey cria chaves durante a criação do repositório, usadas para todos os artefactos armazenados. |
Uma chave por recurso |
| BigQuery |
A chave automática cria chaves predefinidas para conjuntos de dados. As tabelas, os modelos, as consultas e as tabelas temporárias num conjunto de dados usam a chave predefinida do conjunto de dados. O Autokey não cria chaves para recursos do BigQuery que não sejam conjuntos de dados. Para proteger recursos que não fazem parte de um conjunto de dados, tem de criar as suas próprias chaves predefinidas ao nível do projeto ou da organização. |
Uma chave por recurso |
| Bigtable |
O Autokey cria chaves para clusters. O Autokey não cria chaves para recursos do Bigtable que não sejam clusters. O Bigtable só é compatível com a chave automática do Cloud KMS quando cria recursos através do Terraform ou do Google Cloud SDK. |
Uma chave por cluster |
| AlloyDB para PostgreSQL |
O AlloyDB para PostgreSQL só é compatível com o Autokey do Cloud KMS quando cria recursos através do Terraform ou da API REST. |
Uma chave por recurso |
| Cloud Run |
|
Uma chave por localização num projeto |
| Cloud SQL |
O Autokey não cria chaves para recursos do Cloud SQL. O Cloud SQL só é compatível com a chave automática do Cloud KMS quando cria recursos através do Terraform ou da API REST. |
Uma chave por recurso |
| Cloud Storage |
Os objetos num contentor de armazenamento usam a chave predefinida do contentor. O Autokey não cria chaves para recursos |
Uma chave por contentor |
| Compute Engine |
Os instantâneos usam a chave do disco do qual está a criar um instantâneo.
A chave automática não cria chaves para recursos |
Uma chave por recurso |
| Pub/Sub |
|
Uma chave por recurso |
| Secret Manager |
O Secret Manager só é compatível com a chave automática do Cloud KMS quando cria recursos através do Terraform ou da API REST. |
Uma chave por localização num projeto |
| Spanner |
O Spanner só é compatível com a chave automática do Cloud KMS quando cria recursos através do Terraform ou da API REST. |
Uma chave por recurso |
| Dataflow |
|
Uma chave por recurso |
Limitações
- A CLI gcloud não está disponível para recursos Autokey.
- Os identificadores de chaves não estão no Cloud Asset Inventory.
O que se segue?
- Para começar a usar o Cloud KMS Autokey, um administrador de segurança tem de ativar o Cloud KMS Autokey.
- Para usar a chave automática do Cloud KMS depois de ativada, um programador pode criar recursos protegidos por CMEK com a chave automática.
- Saiba mais sobre as práticas recomendadas para CMEK.