Visão geral da chave automática

O Cloud KMS Autokey simplifica a criação e o uso de chaves de criptografia gerenciadas pelo cliente (CMEKs), automatizando o provisionamento e a atribuição. Com a chave automática, os keyrings, as chaves e as contas de serviço não precisam ser planejados e provisionados antes de serem necessários. Em vez disso, a chave automática gera as chaves sob demanda à medida que os recursos são criados, usando permissões delegadas em vez de administradores do Cloud KMS.

O uso das chaves geradas pelo Autokey pode ajudar você a se alinhar de maneira consistente aos padrões do setor e às práticas recomendadas de segurança de dados, incluindo o nível de proteção do HSM, separação de tarefas, rotação de chaves, local e especificidade das chaves. A chave automática cria chaves que seguem as diretrizes gerais e as diretrizes específicas do tipo de recurso para serviços do Google Cloud que se integram à chave automática do Cloud KMS. Depois de criadas, as chaves solicitadas usando a chave automática funcionam de maneira idêntica a outras chaves do Cloud HSM com as mesmas configurações.

O Autokey também pode simplificar o uso do Terraform para gerenciamento de chaves, eliminando a necessidade de executar a infraestrutura como serviço com privilégios elevados de criação de chaves.

Para usar a chave automática, você precisa ter um recurso de organização que contenha um recurso de pasta. Para mais informações sobre recursos de organização e pasta, consulte Hierarquia de recursos.

A chave automática do Cloud KMS está disponível em todos os locais do Google Cloud em que o Cloud HSM está disponível. Para mais informações sobre os locais do Cloud KMS, consulte Locais do Cloud KMS. Não há custo extra para usar a chave automática do Cloud KMS. As chaves criadas com a chave automática têm o mesmo preço de qualquer outra chave do Cloud HSM. Para mais informações sobre preços, consulte Preços do Cloud Key Management Service.

Como a chave automática funciona

Nesta seção, explicamos como a chave automática do Cloud KMS funciona. As seguintes funções de usuário participam desse processo:

Administrador de segurança

O administrador de segurança é um usuário responsável por gerenciar a segurança no nível da pasta ou da organização.

Desenvolvedor de chaves automáticas

O desenvolvedor da chave automática é um usuário responsável por criar recursos com a chave automática do Cloud KMS.

Administrador do Cloud KMS

O administrador do Cloud KMS é um usuário responsável pelo gerenciamento de recursos do Cloud KMS. Esse papel tem menos responsabilidades ao usar a chave automática do que ao usar chaves criadas manualmente.

Os seguintes agentes de serviço também participam desse processo:

Agente de serviço do Cloud KMS

O agente de serviço do Cloud KMS em um determinado projeto de chave. A chave automática depende que esse agente de serviço tenha privilégios elevados para criar chaves e keyrings do Cloud KMS e para definir a política do IAM nas chaves, concedendo permissões de criptografia e descriptografia para cada agente de serviço de recursos.

Agente de serviço de recursos

O agente de serviço para um determinado serviço em um determinado projeto de recurso. Esse agente de serviço precisa ter permissões de criptografia e descriptografia em qualquer chave do Cloud KMS antes de usá-la na proteção de CMEK em um recurso. A Autokey cria o agente de serviço de recursos, quando necessário, e concede a ele as permissões necessárias para usar a chave do Cloud KMS.

O administrador de segurança ativa a chave automática do Cloud KMS

Antes de usar a chave automática, o administrador de segurança precisa concluir as seguintes tarefas de configuração única:

1. Ativar a chave automática do Cloud KMS em uma pasta de recursos e identificar o projeto do Cloud KMS que vai conter os recursos de chave automática para essa pasta.

2. Crie o agente de serviço do Cloud KMS e conceda privilégios de criação e atribuição de chaves a ele.

3. Conceder papéis de usuário a usuários desenvolvedores de chaves automáticas.

Com essa configuração concluída, os desenvolvedores do Autokey agora podem acionar a criação de chaves do Cloud HSM sob demanda. Para ver as instruções completas de configuração da chave automática do Cloud KMS, consulte Ativar a chave automática do Cloud KMS.

Os desenvolvedores de chaves automáticas usam a chave automática do Cloud KMS

Depois que o Autokey for configurado, os desenvolvedores autorizados poderão criar recursos protegidos usando chaves criadas para eles sob demanda. Os detalhes do processo de criação do recurso dependem do recurso que você está criando, mas o processo segue este fluxo:

1. O desenvolvedor da Autokey começa a criar um recurso em um serviço compatível do Google Cloud. Durante a criação do recurso, o desenvolvedor solicita uma nova chave ao agente de serviço do Autokey.

2. O agente de serviço do Autokey recebe a solicitação do desenvolvedor e conclui as seguintes etapas:

   1. Crie um keyring no projeto de chaves no local selecionado, a menos que esse keyring já exista.
   2. Crie uma chave no keyring com a granularidade apropriada para o tipo de recurso, a menos que essa chave já exista.
   3. Crie a conta de serviço por projeto e por serviço, a menos que essa conta já exista.
   4. Conceda as permissões de criptografia e descriptografia por projeto e por serviço na chave.
   5. Forneça os detalhes principais ao desenvolvedor para que ele possa terminar de criar o recurso.

3. Com os detalhes da chave retornados pelo agente de serviço Autokey, o desenvolvedor pode terminar imediatamente a criação do recurso protegido.

A chave automática do Cloud KMS cria chaves com os atributos descritos na próxima seção. Esse fluxo de criação de chave preserva a separação de tarefas. O administrador do Cloud KMS continua a ter visibilidade e controle totais sobre as chaves criadas pela chave automática.

Para começar a usar a chave automática depois de ativá-la em uma pasta, consulte Criar recursos protegidos usando a chave automática do Cloud KMS.

Sobre as chaves criadas pela chave automática

As chaves criadas pela chave automática do Cloud KMS têm os seguintes atributos:

• Nível de proteção: HSM
• Algoritmo: AES-256 GCM

• Período de rotação: um ano

  Depois que uma chave é criada pela Autokey, um administrador do Cloud KMS pode editar o período de rotação do padrão.

• Separação de tarefas:

  • A conta de serviço recebe automaticamente permissões de criptografia e descriptografia na chave.
  • As permissões de administrador do Cloud KMS se aplicam normalmente às chaves criadas pela chave automática. Os administradores do Cloud KMS podem visualizar, atualizar, ativar ou desativar e destruir chaves criadas pela chave automática. Os administradores do Cloud KMS não recebem permissões de criptografia e descriptografia.
  • Os desenvolvedores de chaves automáticas só podem solicitar a criação e a atribuição de chaves. Eles não podem ver nem gerenciar chaves.

• Especificidade ou granularidade da chave: as chaves criadas pela Autokey têm uma granularidade que varia de acordo com o tipo de recurso. Para detalhes específicos de serviços sobre a granularidade de chave, consulte Serviços compatíveis nesta página.

• Localização: a Autokey cria chaves no mesmo local que o recurso a ser protegido.

  Se você precisar criar recursos protegidos pela CMEK em locais em que o Cloud HSM não está disponível, faça isso manualmente.

• Estado da versão da chave: as chaves recém-criadas solicitadas usando a chave automática são criadas como a versão da chave primária no estado ativado.

• Nomenclatura de keyring: todas as chaves criadas pela chave automática são criadas em um keyring chamado autokey no projeto de chave automática no local selecionado. Os keyrings no projeto do Autokey são criados quando um desenvolvedor da Autokey solicita a primeira chave em um determinado local.

• Nomenclatura da chave: a chave criada pela chave automática segue esta convenção de nomenclatura:

  PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
  

• Como todas as chaves do Cloud KMS, as chaves criadas pela chave automática não podem ser exportadas.

• Assim como todas as chaves do Cloud KMS usadas em serviços integrados à CMEK compatíveis com o rastreamento de chaves, as chaves criadas pela chave automática são rastreadas no painel do Cloud KMS.

Aplicação da chave automática

Se você quiser aplicar o uso da chave automática em uma pasta, combine os controles de acesso do IAM com as políticas da organização de CMEKs. Isso funciona removendo as permissões de criação de chave dos principais que não são o agente de serviço do Autokey e, em seguida, exigindo que todos os recursos sejam protegidos pela CMEK usando o projeto de chave Autokey. Para instruções detalhadas para aplicar o uso da chave automática, consulte Aplicar o uso da chave automática.

Serviços compatíveis

A tabela a seguir lista os serviços compatíveis com a chave automática do Cloud KMS:

Serviço	Recursos protegidos	Granularidade da chave
Cloud Storage	storage.googleapis.com/Bucket Os objetos em um bucket de armazenamento usam a chave padrão do bucket. A chave automática não cria chaves para recursos storage.object.	Uma chave por bucket
Compute Engine	compute.googleapis.com/Disk compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/MachineImage Os snapshots usam a chave para o disco do qual você está criando um snapshot. A chave automática não cria chaves para recursos compute.snapshot.	Uma chave por recurso
BigQuery	bigquery.googleapis.com/Dataset A chave automática cria chaves padrão para conjuntos de dados. Tabelas, modelos, consultas e tabelas temporárias em um conjunto de dados usam a chave padrão dele. A chave automática não cria chaves para recursos do BigQuery que não sejam conjuntos de dados. Para proteger recursos que não fazem parte de um conjunto de dados, é preciso criar suas próprias chaves padrão no nível do projeto ou da organização.	Uma chave por recurso
Secret Manager	secretmanager.googleapis.com/Secret O Secret Manager só é compatível com a chave automática do Cloud KMS ao criar recursos usando o Terraform ou a API REST.	Uma chave por local em um projeto

Limitações

• Não é possível limpar um recurso AutokeyConfig. É possível desativar a chave automática na pasta atualizando AutokeyConfig para definir enabled=false, mas o projeto de chave configurado permanece no AutokeyConfig. É possível alterar o projeto de chave configurado atualizando o AutokeyConfig.
• A CLI gcloud não está disponível para recursos de chave automática.
• Os identificadores de chaves não estão no Inventário de recursos do Cloud.

A seguir

• Para começar a usar a chave automática do Cloud KMS, um administrador de segurança precisa ativar a chave automática do Cloud KMS.
• Para usar a chave automática do Cloud KMS após a ativação, um desenvolvedor pode criar recursos protegidos pela CMEK usando a chave automática.