Panoramica della chiave automatica

Cloud KMS Autokey semplifica la creazione e l'utilizzo di chiavi di crittografia gestite dal cliente (CMEK) automatizzando il provisioning e l'assegnazione. Con Autokey, non è necessario pianificare ed eseguire il provisioning di keyring, chiavi e account di servizio prima di essere necessari. Al contrario, Autokey genera le chiavi on demand man mano che vengono create le risorse, facendo affidamento sulle autorizzazioni delegate anziché sugli amministratori di Cloud KMS.

L'utilizzo delle chiavi generate da Autokey può aiutarti ad allinearti in modo coerente agli standard di settore e alle pratiche consigliate per la sicurezza dei dati, tra cui il livello di protezione HSM, la separazione dei compiti, la rotazione della chiave, la località e la specificità della chiave. La chiave automatica crea chiavi che seguono linee guida generali e linee guida specifiche per il tipo di risorsa per i servizi Google Cloud che si integrano con la chiave automatica Cloud KMS. Dopo la creazione, le chiavi vengono richieste utilizzando la funzione Autokey in modo identico alle altre chiavi Cloud HSM con le stesse impostazioni.

Autokey può anche semplificare l'utilizzo di Terraform per la gestione delle chiavi, eliminando la necessità di eseguire Infrastructure as Service con privilegi elevati di creazione delle chiavi.

Per utilizzare Autokey, devi disporre di una risorsa dell'organizzazione che contenga una risorsa cartella. Per saperne di più sull'organizzazione e sulle risorse delle cartelle, consulta Gerarchia delle risorse.

La chiave automatica di Cloud KMS è disponibile in tutte le località di Google Cloud in cui è disponibile Cloud HSM. Per ulteriori informazioni sulle località di Cloud KMS, consulta Località di Cloud KMS. Non sono previsti costi aggiuntivi per l'utilizzo della chiave automatica di Cloud KMS. Il prezzo delle chiavi create utilizzando la chiave automatica è uguale a quello di qualsiasi altra chiave di Cloud HSM. Per ulteriori informazioni sui prezzi, consulta la pagina relativa ai prezzi di Cloud Key Management Service.

Come funziona la chiave automatica

Questa sezione spiega come funziona la chiave automatica di Cloud KMS. A questo processo partecipano i seguenti ruoli utente:

Amministratore della sicurezza

L'amministratore della sicurezza è un utente responsabile della gestione della sicurezza a livello di cartella o organizzazione.

Sviluppatore Autokey

Lo sviluppatore Autokey è un utente responsabile della creazione di risorse mediante la chiave automatica di Cloud KMS.

Amministratore di Cloud KMS

L'amministratore di Cloud KMS è un utente responsabile della gestione delle risorse Cloud KMS. Questo ruolo ha meno responsabilità quando si utilizza la chiave automatica rispetto all'uso di chiavi create manualmente.

Partecipano a questa procedura anche i seguenti agenti di servizio:

Agente di servizio Cloud KMS

L'agente di servizio per Cloud KMS in un determinato progetto di chiavi. La chiave automatica dipende dal fatto che questo agente di servizio abbia privilegi elevati per creare chiavi e keyring Cloud KMS e impostare criteri IAM sulle chiavi, concedendo la crittografia e la decrittografia delle autorizzazioni per ogni agente di servizio delle risorse.

Agente di servizio risorse

L'agente di servizio per un determinato servizio in un determinato progetto di risorse. Questo agente di servizio deve disporre delle autorizzazioni di crittografia e decriptazione su qualsiasi chiave Cloud KMS prima di poterla utilizzare per la protezione CMEK su una risorsa. La chiave automatica crea l'agente di servizio della risorsa quando necessario gli concede le autorizzazioni necessarie per utilizzare la chiave Cloud KMS.

L'amministratore della sicurezza abilita la chiave automatica Cloud KMS

Prima di poter utilizzare Autokey, l'amministratore della sicurezza deve completare le seguenti attività di configurazione una tantum:

1. Abilitare la chiave automatica di Cloud KMS su una cartella di risorse e identificare il progetto Cloud KMS che conterrà le risorse Autokey per quella cartella.

2. Crea l'agente di servizio Cloud KMS, quindi concedi i privilegi per la creazione e l'assegnazione delle chiavi all'agente di servizio.

3. Concedi i ruoli utente Autokey agli utenti sviluppatore Autokey.

Completata la configurazione, gli sviluppatori Autokey possono attivare la creazione di chiavi Cloud HSM on demand. Per istruzioni complete sulla configurazione della chiave automatica di Cloud KMS, vedi Abilitazione della chiave automatica di Cloud KMS.

Gli sviluppatori delle chiavi automatiche utilizzano la chiave automatica di Cloud KMS

Dopo aver configurato correttamente Autokey, gli sviluppatori Autokey autorizzati possono creare risorse protette utilizzando chiavi create per loro on demand. I dettagli del processo di creazione delle risorse dipendono dalla risorsa che stai creando, ma il processo segue questo flusso:

1. Lo sviluppatore Autokey inizia a creare una risorsa in un servizio Google Cloud compatibile. Durante la creazione della risorsa, lo sviluppatore richiede una nuova chiave all'agente di servizio Autokey.

2. L'agente di servizio Autokey riceve la richiesta dello sviluppatore e completa i seguenti passaggi:

   1. Creare un keyring nel progetto chiave nella località selezionata, a meno che non esista già.
   2. Crea una chiave nel keyring con la granularità appropriata per il tipo di risorsa, a meno che tale chiave non esista già.
   3. Crea l'account di servizio per progetto, a meno che non esista già.
   4. Concedi all'account di servizio per singolo progetto e servizio le autorizzazioni di crittografia e decriptazione sulla chiave.
   5. Fornisci i dettagli chiave allo sviluppatore in modo che possa completare la creazione della risorsa.

3. Con i dettagli della chiave restituiti dall'agente di servizio Autokey, lo sviluppatore può completare immediatamente la creazione della risorsa protetta.

La chiave automatica di Cloud KMS crea chiavi che hanno gli attributi descritti nella sezione successiva. Questo flusso di creazione chiave preserva la separazione dei compiti. L'amministratore di Cloud KMS continua ad avere visibilità e controllo completi sulle chiavi create dalla chiave automatica.

Per iniziare a utilizzare la chiave automatica dopo averla abilitata su una cartella, vedi Creare risorse protette utilizzando la chiave automatica di Cloud KMS.

Informazioni sulle chiavi create dalla chiave automatica

Le chiavi create dalla chiave automatica di Cloud KMS hanno i seguenti attributi:

• Livello di protezione: HSM
• Algoritmo: AES-256 GCM

• Periodo di rotazione: un anno

  Una volta creata una chiave da Autokey, un amministratore di Cloud KMS può modificare il periodo di rotazione predefinito.

• Separazione dei compiti:

  • All'account di servizio del servizio vengono concesse automaticamente le autorizzazioni di crittografia e decriptazione per la chiave.
  • Le autorizzazioni di amministratore di Cloud KMS si applicano come di consueto alle chiavi create da Autokey. Gli amministratori di Cloud KMS possono visualizzare, aggiornare, abilitare, disabilitare ed eliminare le chiavi create dalla chiave automatica. Gli amministratori di Cloud KMS non hanno le autorizzazioni per criptare e decriptare.
  • Gli sviluppatori di chiavi automatiche possono richiedere solo la creazione e l'assegnazione delle chiavi. Non possono visualizzare o gestire le chiavi.

• Specificità o granularità della chiave: le chiavi create da Autokey hanno una granularità che varia in base al tipo di risorsa. Per dettagli sulla granularità delle chiavi specifici dei servizi, consulta la sezione Servizi compatibili in questa pagina.

• Posizione: la chiave automatica crea chiavi nella stessa località della risorsa da proteggere.

  Se devi creare risorse protette da CMEK in località in cui Cloud HSM non è disponibile, devi creare manualmente la CMEK.

• Stato della versione della chiave: le chiavi appena create richieste utilizzando la chiave automatica vengono create come versione della chiave primaria nello stato abilitato.

• Denominazione dei keyring: tutte le chiavi create da Autokey vengono create in un keyring denominato autokey nel progetto Autokey nella località selezionata. I keyring nel progetto Autokey vengono creati quando uno sviluppatore di Autokey richiede la prima chiave in una determinata località.

• Denominazione della chiave: la chiave creata dalla chiave automatica segue questa convenzione di denominazione:

  PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
  

• Come tutte le chiavi Cloud KMS, le chiavi create dalla chiave automatica non possono essere esportate.

• Come tutte le chiavi Cloud KMS utilizzate nei servizi integrati CMEK e compatibili con il monitoraggio delle chiavi, le chiavi create da Autokey vengono monitorate nella dashboard di Cloud KMS.

Applicazione della chiave automatica in corso...

Se vuoi applicare in modo forzato l'utilizzo di Autokey all'interno di una cartella, puoi combinare i controlli dell'accesso IAM con i criteri dell'organizzazione CMEK. Questo funziona rimuovendo le autorizzazioni di creazione delle chiavi da entità diverse dall'agente di servizio Autokey e richiedendo quindi che tutte le risorse siano protette da CMEK utilizzando il progetto chiave Autokey. Per istruzioni dettagliate sull'applicazione forzata dell'utilizzo di Autokey, consulta Applicare l'utilizzo della chiave automatica.

Servizi compatibili

Nella tabella seguente sono elencati i servizi compatibili con la chiave automatica di Cloud KMS:

Servizio	Risorse protette	Granularità chiave
Cloud Storage	storage.googleapis.com/Bucket Gli oggetti all'interno di un bucket di archiviazione utilizzano la chiave predefinita del bucket. La chiave automatica non crea chiavi per storage.object risorse.	Una chiave per bucket
Compute Engine	compute.googleapis.com/Disk compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/MachineImage Gli snapshot utilizzano la chiave del disco di cui stai creando uno snapshot. La chiave automatica non crea chiavi per compute.snapshot risorse.	Una chiave per risorsa
BigQuery	bigquery.googleapis.com/Dataset La chiave automatica crea chiavi predefinite per i set di dati. Le tabelle, i modelli, le query e le tabelle temporanee all'interno di un set di dati utilizzano la chiave predefinita del set di dati. Autokey non crea chiavi per risorse BigQuery diverse dai set di dati. Per proteggere le risorse che non fanno parte di un set di dati, devi creare chiavi predefinite a livello di progetto o di organizzazione.	Una chiave per risorsa
Secret Manager	secretmanager.googleapis.com/Secret Secret Manager è compatibile solo con la chiave automatica di Cloud KMS quando crei risorse utilizzando Terraform o l'API REST.	Una chiave per località all'interno di un progetto

Limitazioni

• Non puoi cancellare una risorsa AutokeyConfig. Puoi disabilitare la chiave automatica nella cartella aggiornando AutokeyConfig in modo da impostare enabled=false, ma il progetto della chiave configurato rimane in AutokeyConfig. Per modificare il progetto chiave configurato, puoi aggiornare AutokeyConfig.
• gcloud CLI non è disponibile per le risorse Autokey.
• Gli handle delle chiavi non sono disponibili in Cloud Asset Inventory.

Passaggi successivi

• Per iniziare a utilizzare la chiave automatica di Cloud KMS, un amministratore di sicurezza deve abilitare la chiave automatica di Cloud KMS.
• Per utilizzare la chiave automatica di Cloud KMS dopo l'abilitazione, uno sviluppatore può creare risorse protette da CMEK utilizzando Autokey.