O Cloud KMS Autokey simplifica a criação e o uso de chaves de criptografia gerenciadas pelo cliente (CMEKs, na sigla em inglês) ao automatizar o provisionamento e a atribuição. Com o Autokey, os keyrings, as chaves e as contas de serviço não precisam ser planejados e provisionados antes de serem necessários. Em vez disso, o Autokey gera as chaves sob demanda à medida que os recursos são criados, dependendo de permissões delegadas em vez de administradores do Cloud KMS.
O uso de chaves geradas pelo Autokey pode ajudar você a se alinhar de maneira consistente com os padrões do setor e as práticas recomendadas para segurança de dados, incluindo o nível de proteção do HSM, a separação de tarefas, a rotação de chaves, o local e a especificidade da chave. O Autokey cria chaves que seguem as diretrizes gerais e as específicas do tipo de recurso para serviços do Google Cloud que se integram ao Cloud KMS Autokey. Depois de criadas, as chaves solicitadas usando o Autokey funcionam de maneira idêntica a outras chaves do Cloud HSM com as mesmas configurações.
O Autokey também pode simplificar o uso do Terraform para gerenciamento de chaves, eliminando a necessidade de executar a infraestrutura como código com privilégios elevados de criação de chaves.
Para usar o Autokey, você precisa ter um recurso da organização que contenha um recurso de pasta. Para mais informações sobre organização e recursos de pasta, consulte Hierarquia de recursos.
O Cloud KMS Autokey está disponível em todos os locais do Google Cloud em que o Cloud HSM está disponível. Para mais informações sobre os locais do Cloud KMS, consulte Locais do Cloud KMS. Não há custo extra para usar o Autokey do Cloud KMS. As chaves criadas com o Autokey têm o mesmo preço de qualquer outra chave do Cloud HSM. Para mais informações sobre preços, consulte Preços do Cloud Key Management Service.
Como o Autokey funciona
Nesta seção, explicamos como o Autokey do Cloud KMS funciona. As seguintes funções de usuário participam desse processo:
- Administrador de segurança
- O administrador de segurança é um usuário responsável por gerenciar a segurança no nível da pasta ou da organização.
- Desenvolvedor do Autokey
- O desenvolvedor do Autokey é um usuário responsável por criar recursos usando o Cloud KMS Autokey.
- Administrador do Cloud KMS
- O administrador do Cloud KMS é um usuário responsável por gerenciar os recursos do Cloud KMS. Esse papel tem menos responsabilidades ao usar o Autokey do que ao usar chaves criadas manualmente.
Os seguintes agentes de serviço também participam desse processo:
- Agente de serviço do Cloud KMS
- O agente de serviço do Cloud KMS em um determinado projeto principal. O Autokey depende desse agente de serviço ter privilégios elevados para criar chaves e keyrings do Cloud KMS e definir a política do IAM nas chaves, concedendo permissões de criptografia e descriptografia para cada agente de serviço de recurso.
- Agente de serviço de recursos
- O agente de serviço para um determinado serviço em um projeto de recursos. Esse agente de serviço precisa ter permissões de criptografia e descriptografia em qualquer chave do Cloud KMS antes de usá-la para proteção do CMEK em um recurso. O Autokey cria o agente de serviço de recursos quando necessário e concede a ele as permissões necessárias para usar a chave do Cloud KMS.
O administrador de segurança ativa o Autokey do Cloud KMS
Para que você possa usar o Autokey, o administrador de segurança precisa concluir as seguintes tarefas de configuração única:
Ative o Autokey do Cloud KMS em uma pasta de recursos e identifique o projeto do Cloud KMS que vai conter os recursos do Autokey para essa pasta.
Crie o agente de serviço do Cloud KMS e conceda privilégios de criação e atribuição de chaves a ele.
Conceda papéis de usuário do Autokey a usuários desenvolvedores do Autokey.
Com essa configuração concluída, os desenvolvedores do Autokey agora podem acionar a criação de chaves do Cloud HSM sob demanda. Para ver instruções completas de configuração do Autokey do Cloud KMS, consulte Ativar o Autokey do Cloud KMS.
Os desenvolvedores do Autokey usam o Autokey do Cloud KMS
Depois que o Autokey for configurado com sucesso, os desenvolvedores autorizados do Autokey agora poderão criar recursos protegidos usando chaves criadas para eles sob demanda. Os detalhes do processo de criação dependem do recurso que você está criando, mas o processo segue este fluxo:
O desenvolvedor do Autokey começa a criar um recurso em um serviço compatível do Google Cloud. Durante a criação do recurso, o desenvolvedor solicita uma nova chave ao agente de serviço do Autokey.
O agente de serviço do Autokey recebe a solicitação do desenvolvedor e conclui as seguintes etapas:
- Crie um keyring no projeto de chave, no local selecionado, a menos que ele já exista.
- Crie uma chave no keyring com a granularidade apropriada para o tipo de recurso, a menos que essa chave já exista.
- Crie a conta de serviço por projeto e por serviço, a menos que ela já exista.
- Conceda à conta de serviço por projeto e por serviço permissões de criptografia e descriptografia na chave.
- Forneça os principais detalhes ao desenvolvedor para que ele possa terminar de criar o recurso.
Com os detalhes da chave retornados com sucesso pelo agente de serviço do Autokey, o desenvolvedor pode concluir imediatamente a criação do recurso protegido.
O Cloud KMS Autokey cria chaves com os atributos descritos na próxima seção. Esse fluxo de criação de chave preserva a separação de tarefas. O administrador do Cloud KMS continua a ter visibilidade e controle totais sobre as chaves criadas pelo Autokey.
Para começar a usar o Autokey depois de ativá-lo em uma pasta, consulte Criar recursos protegidos usando o Autokey do Cloud KMS.
Sobre as chaves criadas pelo Autokey
As chaves criadas pelo Autokey do Cloud KMS têm os seguintes atributos:
- Nível de proteção: HSM
- Algoritmo: AES-256 GCM
Período de rotação: um ano
Depois que uma chave é criada pelo Autokey, um administrador do Cloud KMS pode editar o período de rotação a partir do padrão.
Separação de tarefas:
- A conta de serviço recebe automaticamente permissões de criptografia e descriptografia na chave.
- As permissões de administrador do Cloud KMS se aplicam normalmente às chaves criadas pelo Autokey. Os administradores do Cloud KMS podem visualizar, atualizar, ativar ou desativar e destruir chaves criadas pelo Autokey. Os administradores do Cloud KMS não recebem permissões de criptografia e descriptografia.
- Os desenvolvedores do Autokey só podem solicitar a criação e a atribuição de chaves. Eles não podem acessar nem gerenciar chaves.
Especificidade de chave ou granularidade: as chaves criadas pelo Autokey têm uma granularidade que varia de acordo com o tipo de recurso. Para detalhes específicos do serviço sobre a granularidade da chave, consulte Serviços compatíveis nesta página.
Local: o Autokey cria chaves no mesmo local que o recurso que será protegido.
Se você precisar criar recursos protegidos por CMEKs em locais em que o Cloud HSM não está disponível, faça isso manualmente.
Estado da versão da chave: as chaves recém-criadas solicitadas com o Autokey são criadas como a versão da chave primária no estado ativado.
Nomenclatura do keyring: todas as chaves criadas pelo Autokey são criadas em um keyring chamado
autokeyno projeto do Autokey no local selecionado. Os keyrings no projeto do Autokey são criados quando um desenvolvedor do Autokey solicita a primeira chave em um determinado local.Nomenclatura de chaves: as chaves criadas pelo Autokey seguem esta convenção de nomenclatura:
PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEXComo todas as chaves do Cloud KMS, não é possível exportar as chaves criadas pelo Autokey.
Como todas as chaves do Cloud KMS usadas em serviços integrados de CMEK compatíveis com o rastreamento de chaves, as chaves criadas pelo Autokey são rastreadas no painel do Cloud KMS.
Aplicação do Autokey
Se você quiser aplicar o uso do Autokey em uma pasta, combine os controles de acesso do IAM com as políticas da organização CMEK. Isso funciona removendo as permissões de criação de chaves dos principais que não sejam o agente de serviço do Autokey e exigindo que todos os recursos sejam protegidos pela CMEK usando o projeto de chave do Autokey. Para instruções detalhadas sobre como aplicar o uso do Autokey, consulte Aplicar o uso do Autokey.
Serviços compatíveis
A tabela a seguir lista os serviços compatíveis com o Cloud KMS Autokey:
| Serviço | Recursos protegidos | Granularidade de chave |
|---|---|---|
| Cloud Storage |
Os objetos em um
bucket de armazenamento usam a chave padrão do bucket. O Autokey não cria
chaves para recursos |
Uma chave por bucket |
| Compute Engine |
Os snapshots usam a chave do disco do qual você está criando um snapshot.
O Autokey não cria chaves para recursos
|
Uma chave por recurso |
| BigQuery |
O Autokey cria chaves padrão para conjuntos de dados. Tabelas, modelos, consultas e tabelas temporárias dentro de um conjunto de dados usam a chave padrão do conjunto de dados. O Autokey não cria chaves para recursos do BigQuery que não sejam conjuntos de dados. Para proteger recursos que não fazem parte de um conjunto de dados, crie suas próprias chaves padrão no nível do projeto ou da organização. |
Uma chave por recurso |
| Secret Manager |
O Secret Manager só é compatível com o Autokey do Cloud KMS ao criar recursos usando o Terraform ou a API REST. |
Uma chave por local em um projeto |
Limitações
- Não é possível limpar um recurso do
AutokeyConfig. É possível desativar o Autokey na pasta atualizando oAutokeyConfigpara definirenabled=false, mas o projeto de chave configurado permanece noAutokeyConfig. É possível mudar o projeto de chave configurado atualizando oAutokeyConfig. - A CLI gcloud não está disponível para recursos do Autokey.
- Os identificadores de chaves não estão no Inventário de recursos do Cloud.
A seguir
- Para começar a usar o Cloud KMS Autokey, um administrador de segurança precisa ativar o Cloud KMS Autokey.
- Para usar o Cloud KMS Autokey depois da ativação, um desenvolvedor pode criar recursos protegidos por CMEK usando o Autokey.