Panoramica di Autokey

Cloud KMS Autokey semplifica la creazione e l'utilizzo delle chiavi di crittografia gestite dal cliente (CMEK) automatizzando il provisioning e l'assegnazione. Con Autokey, non è necessario pianificare e sottoporre a provisioning i keyring, le chiavi e gli account di servizio prima di essere necessari. Autokey genera invece le chiavi on demand mentre vengono create le risorse, basandosi su autorizzazioni delegati anziché sugli amministratori di Cloud KMS.

L'utilizzo di chiavi generate da Autokey può aiutarti ad allinearti in modo coerente agli standard di settore e alle pratiche consigliate per la sicurezza dei dati, tra cui livello di protezione, separazione dei compiti, rotazione della chiave, posizione e specificità delle chiavi diHSM. Autokey crea chiavi che seguono sia le linee guida generali sia le linee guida specifiche per il tipo di risorsa per i servizi Google Cloud che si integrano con Cloud KMS Autokey. Una volta create, le chiavi richieste utilizzando Autokey funzionano in modo identico ad altre chiavi Cloud HSM con le stesse impostazioni.

Autokey può anche semplificare l'utilizzo di Terraform per la gestione delle chiavi, eliminando la necessità di eseguire Infrastructure as Code con privilegi elevati di creazione di chiavi.

Per utilizzare Autokey, devi avere una risorsa organizzazione che contenga una risorsa cartella. Per ulteriori informazioni sulle risorse per organizzazioni e cartelle, consulta Gerarchia delle risorse.

Cloud KMS Autokey è disponibile in tutte le località di Google Cloud in cui è disponibile Cloud HSM. Per ulteriori informazioni sulle località di Cloud KMS, consulta Località di Cloud KMS. Non sono previsti costi aggiuntivi per l'utilizzo di Cloud KMS Autokey. Il prezzo delle chiavi create utilizzando Autokey è uguale a quello di qualsiasi altra chiave Cloud HSM. Per ulteriori informazioni sui prezzi, consulta Prezzi di Cloud Key Management Service.

Come funziona Autokey

Questa sezione spiega come funziona Cloud KMS Autokey. A questo processo partecipano i seguenti ruoli utente:

Amministratore della sicurezza

L'amministratore della sicurezza è un utente responsabile della gestione della sicurezza a livello di cartella o organizzazione.

Sviluppatore Autokey

Lo sviluppatore Autokey è un utente responsabile della creazione di risorse utilizzando Cloud KMS Autokey.

Amministratore Cloud KMS

L'amministratore di Cloud KMS è un utente responsabile della gestione delle risorse di Cloud KMS. Questo ruolo ha meno responsabilità quando si utilizza Autokey rispetto a quando si utilizzano chiavi create manualmente.

A questo processo partecipano anche i seguenti agenti di servizio:

Agente di servizio Cloud KMS

L'agente di servizio per Cloud KMS in un determinato progetto chiave. Autokey dipende dal fatto che questo agente di servizio abbia i privilegi elevati per la creazione di chiavi e keyring di Cloud KMS e per impostare i criteri IAM sulle chiavi, concedendo autorizzazioni di crittografia e decriptazione per ciascun agente di servizio delle risorse.

Agente di servizio risorse

L'agente di servizio per un determinato servizio in un determinato progetto di risorsa. Questo agente di servizio deve disporre delle autorizzazioni di crittografia e decriptazione su qualsiasi chiave Cloud KMS prima di poter utilizzare questa chiave per la protezione CMEK su una risorsa. Autokey crea l'agente di servizio delle risorse quando necessario gli concede le autorizzazioni necessarie per utilizzare la chiave Cloud KMS.

L'amministratore della sicurezza abilita Cloud KMS Autokey

Prima di poter utilizzare Autokey, l'amministratore della sicurezza deve completare le seguenti attività di configurazione una tantum:

1. Abilita Autokey di Cloud KMS in una cartella di risorse e identifica il progetto Cloud KMS che conterrà le risorse Autokey per quella cartella.

2. Crea l'agente di servizio di Cloud KMS, quindi concedi i privilegi per la creazione e l'assegnazione delle chiavi all'agente di servizio.

3. Concedi ruoli utente ad Autokey agli utenti sviluppatore di Autokey.

Una volta completata questa configurazione, gli sviluppatori di Autokey possono ora attivare la creazione di chiavi Cloud HSM on demand. Per le istruzioni di configurazione complete per Cloud KMS Autokey, vedi Abilitare Cloud KMS Autokey.

Gli sviluppatori Autokey utilizzano Cloud KMS Autokey

Dopo aver configurato correttamente Autokey, gli sviluppatori di Autokey autorizzati possono creare risorse protette utilizzando le chiavi create per loro on demand. I dettagli del processo di creazione delle risorse dipendono dalla risorsa che stai creando, ma il processo segue questo flusso:

1. Lo sviluppatore Autokey inizia a creare una risorsa in un servizio Google Cloud compatibile. Durante la creazione della risorsa, lo sviluppatore richiede una nuova chiave all'agente di servizio Autokey.

2. L'agente di servizio Autokey riceve la richiesta dello sviluppatore e completa i seguenti passaggi:

   1. Crea un keyring nel progetto della chiave nella località selezionata, a meno che il keyring non esista già.
   2. Crea una chiave nel keyring con la granularità appropriata per il tipo di risorsa, a meno che non esista già una chiave di questo tipo.
   3. Crea l'account di servizio per progetto e per servizio, a meno che questo account di servizio non esista già.
   4. Concedi le autorizzazioni di crittografia e decriptazione per ogni progetto e per servizio alla chiave.
   5. Fornisci i dettagli chiave allo sviluppatore in modo che possa completare la creazione della risorsa.

3. Dopo che l'agente di servizio Autokey restituisce correttamente i dettagli della chiave, lo sviluppatore può completare immediatamente la creazione della risorsa protetta.

Cloud KMS Autokey crea chiavi con gli attributi descritti nella prossima sezione. Questo flusso di creazione delle chiavi preserva la separazione dei compiti. L'amministratore di Cloud KMS continua ad avere visibilità e controllo completi sulle chiavi create da Autokey.

Per iniziare a utilizzare Autokey dopo l'abilitazione su una cartella, vedi Creare risorse protette utilizzando Autokey di Cloud KMS.

Informazioni sulle chiavi create da Autokey

Le chiavi create da Cloud KMS Autokey hanno i seguenti attributi:

• Livello di protezione: HSM
• Algoritmo: GCM AES-256

• Periodo di rotazione: un anno

  Dopo che Autokey crea una chiave, un amministratore di Cloud KMS può modificare il periodo di rotazione predefinito.

• Separazione dei compiti:

  • All'account di servizio per il servizio vengono concesse automaticamente le autorizzazioni di crittografia e decriptazione sulla chiave.
  • Le autorizzazioni dell'amministratore di Cloud KMS si applicano come di consueto alle chiavi create da Autokey. Gli amministratori di Cloud KMS possono visualizzare, aggiornare, abilitare, disabilitare ed eliminare le chiavi create da Autokey. Agli amministratori di Cloud KMS non vengono assegnate autorizzazioni di crittografia e decriptazione.
  • Gli sviluppatori di Autokey possono richiedere solo la creazione e l'assegnazione della chiave. Non possono visualizzare o gestire le chiavi.

• Specificità o granularità della chiave: le chiavi create da Autokey hanno una granularità che varia in base al tipo di risorsa. Per i dettagli specifici del servizio sulla granularità delle chiavi, consulta la sezione Servizi compatibili in questa pagina.

• Località: Autokey crea chiavi nella stessa località della risorsa da proteggere.

  Se devi creare risorse protette da CMEK in località in cui Cloud HSM non è disponibile, devi creare manualmente la CMEK.

• Stato della versione della chiave: le chiavi appena create richieste utilizzando Autokey vengono create come versione della chiave primaria nello stato abilitato.

• Denominazione dei keyring: tutte le chiavi create da Autokey vengono create in un keyring denominato autokey nel progetto Autokey nella località selezionata. I keyring nel progetto Autokey vengono creati quando uno sviluppatore Autokey richiede la prima chiave in una determinata località.

• Denominazione delle chiavi: le chiavi create da Autokey seguono questa convenzione di denominazione:

  PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
  

• Come tutte le chiavi Cloud KMS, le chiavi create da Autokey non possono essere esportate.

• Come tutte le chiavi Cloud KMS utilizzate nei servizi integrati CMEK compatibili con il monitoraggio delle chiavi, le chiavi create da Autokey vengono monitorate nella dashboard di Cloud KMS.

Applicazione di Autokey in corso...

Se vuoi applicare in modo forzato l'utilizzo di Autokey all'interno di una cartella, puoi farlo combinando i controlli dell'accesso IAM con i criteri dell'organizzazione CMEK. Per farlo, vengono rimosse le autorizzazioni per la creazione delle chiavi dalle entità diverse dall'agente di servizio Autokey e viene quindi richiesto che tutte le risorse siano protette da CMEK utilizzando il progetto chiave Autokey. Per istruzioni dettagliate sull'applicazione forzata dell'utilizzo di Autokey, vedi Applicare l'utilizzo di Autokey.

Servizi compatibili

La tabella seguente elenca i servizi compatibili con Cloud KMS Autokey:

Servizio	Risorse protette	Granularità chiave
Cloud Storage	storage.googleapis.com/Bucket Gli oggetti all'interno di un bucket di archiviazione utilizzano la chiave predefinita del bucket. Autokey non crea chiavi per storage.object risorse.	Una chiave per bucket
Compute Engine	compute.googleapis.com/Disk compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/MachineImage Gli snapshot utilizzano la chiave per il disco di cui stai creando uno snapshot. Autokey non crea chiavi per compute.snapshot risorse.	Una chiave per risorsa
BigQuery	bigquery.googleapis.com/Dataset Autokey crea chiavi predefinite per i set di dati. Tabelle, modelli, query e tabelle temporanee all'interno di un set di dati utilizzano la chiave predefinita del set di dati. Autokey non crea chiavi per risorse BigQuery diverse dai set di dati. Per proteggere le risorse che non fanno parte di un set di dati, devi creare le tue chiavi predefinite a livello di progetto o organizzazione.	Una chiave per risorsa
Secret Manager	secretmanager.googleapis.com/Secret Secret Manager è compatibile con Cloud KMS Autokey solo quando crei risorse utilizzando Terraform o l'API REST.	Una chiave per località all'interno di un progetto

Limitazioni

• Non puoi cancellare una risorsa AutokeyConfig. Puoi disabilitare Autokey nella cartella aggiornando AutokeyConfig in modo che imposti enabled=false, ma il progetto chiave configurato rimane in AutokeyConfig. Puoi modificare il progetto chiave configurato aggiornando AutokeyConfig.
• gcloud CLI non è disponibile per le risorse Autokey.
• Gli handle delle chiavi non si trovano in Cloud Asset Inventory.

Passaggi successivi

• Per iniziare a utilizzare Cloud KMS Autokey, un amministratore della sicurezza deve abilitare Cloud KMS Autokey.
• Per utilizzare Cloud KMS Autokey dopo l'abilitazione, uno sviluppatore può creare risorse protette da CMEK utilizzando Autokey.