O Cloud KMS Autokey simplifica a criação e o uso de criptografia gerenciada pelo cliente (CMEKs, na sigla em inglês), automatizando o provisionamento e a atribuição. Com Autokey, seus keyrings, suas chaves e contas de serviço não precisam ser planejadas e provisionadas antes de serem necessárias. Em vez disso, o Autokey gera chaves sob demanda à medida que os recursos são criados, contando com delegadas em vez de administradores do Cloud KMS.
Usar chaves geradas pelo Autokey pode ajudar você a se alinhar de forma consistente com padrões do setor e práticas recomendadas para segurança de dados, incluindo os Nível de proteção do HSM, separação de tarefas, rotação de chaves, local e chave especificidade. O Autokey cria chaves que seguem as diretrizes gerais e diretrizes específicas para o tipo de recurso dos serviços do Google Cloud que se integram ao Autokey do Cloud KMS. Depois de criadas, as chaves solicitada usando a função Autokey de maneira idêntica a outros Cloud HSM com as mesmas configurações.
O Autokey também pode simplificar o uso do Terraform para gerenciamento de chaves, e elimina a necessidade de executar infraestrutura como código com criação de chaves elevada para conceder privilégios de acesso.
Para usar o Autokey, você deve ter um recurso de organização que contenha um recurso de pasta. Para mais informações sobre recursos de organização e pasta, consulte Hierarquia de recursos.
O Cloud KMS Autokey está disponível em todos os locais do Google Cloud em que O Cloud HSM está disponível. Para mais informações sobre o Cloud KMS locais, consulte Locais do Cloud KMS. Não há custo adicional para usar o Autokey do Cloud KMS. Chaves criadas usando O preço do Autokey é igual ao de todas as outras chaves do Cloud HSM. Para Para mais informações sobre preços, consulte Preços do Cloud Key Management Service.
Como o Autokey funciona
Nesta seção, explicamos como o Autokey do Cloud KMS funciona. As seguintes funções de usuário nesse processo:
- Administrador de segurança
- O administrador de segurança é um usuário responsável para gerenciar a segurança no nível da pasta ou da organização.
- Desenvolvedor do Autokey
- O desenvolvedor do Autokey é um usuário responsável por criar recursos usando o Autokey do Cloud KMS.
- Administrador do Cloud KMS
- O administrador do Cloud KMS é um usuário responsável por gerenciar os recursos do Cloud KMS. Esta função tem menos responsabilidades ao usar o Autokey do que ao usar criadas manualmente.
Os seguintes agentes de serviço também participam desse processo:
- Agente de serviço do Cloud KMS
- O agente de serviço do Cloud KMS em um em um determinado projeto-chave. O Autokey depende desse agente de serviço privilégios elevados para criar chaves e keyrings do Cloud KMS definir a política do IAM nas chaves, concedendo os recursos de criptografia permissões para cada agente de serviço de recurso.
- Agente de serviço de recursos
- O agente de serviço de um determinado serviço de um projeto de recurso. O agente de serviço precisa ter permissão de criptografia permissões em qualquer chave do Cloud KMS antes de usá-la para proteção de CMEKs em um recurso. O Autokey cria o serviço de recursos quando necessário, concede a ele as permissões necessárias para usar o chave do Cloud KMS.
O administrador de segurança ativa o Autokey do Cloud KMS
Para você usar o Autokey, o administrador de segurança precisa concluir as seguintes tarefas de configuração única:
Ativar o Autokey do Cloud KMS em uma pasta de recursos e identificar projeto do Cloud KMS que vai conter recursos do Autokey para na pasta.
Crie o agente de serviço do Cloud KMS e conceda criação de chaves e atribuição de privilégios ao agente de serviço.
Conceda papéis de usuário do Autokey a usuários desenvolvedores do Autokey.
Com essa configuração concluída, os desenvolvedores do Autokey agora podem acionar Criação de chave do Cloud HSM sob demanda. Para ver instruções completas de configuração do Autokey do Cloud KMS, consulte Ativar o Autokey do Cloud KMS.
Os desenvolvedores do Autokey usam o Autokey do Cloud KMS
Depois que o Autokey for configurado, o Autokey autorizado os desenvolvedores agora podem criar recursos protegidos usando chaves criadas para eles sob demanda. Os detalhes do processo de criação dependem do recurso que você está criando, mas o processo segue este fluxo:
O desenvolvedor do Autokey começa a criar um recurso em um serviço do Google Cloud. Durante a criação de recursos, o desenvolvedor solicita uma nova chave do agente de serviço do Autokey.
O agente de serviço do Autokey recebe a solicitação do desenvolvedor e conclui as seguintes etapas:
- Crie um keyring no projeto de chave, no local selecionado, a menos que esse keyring já existe.
- Crie uma chave no keyring com a granularidade apropriada para o tipo de recurso, a menos que essa chave já exista.
- Crie a conta de serviço por projeto e por serviço, a menos que o serviço já existe.
- Conceder à conta de serviço por projeto e por serviço criptografar e descriptografar permissões na chave.
- Forneça os principais detalhes ao desenvolvedor para que ele possa terminar de criar o recurso.
Com os detalhes da chave retornados com sucesso pelo serviço Autokey agente, o desenvolvedor pode concluir imediatamente a criação do recurso protegido.
O Autokey do Cloud KMS cria chaves com os atributos descritos no na próxima seção. Esse fluxo de criação de chaves preserva separação de deveres. O Cloud KMS administrador continua tendo visibilidade e controle totais sobre as chaves criadas Autokey.
Para começar a usar o Autokey depois de ativá-lo em uma pasta, consulte Criar recursos protegidos usando o Autokey do Cloud KMS.
Sobre as chaves criadas pelo Autokey
As chaves criadas pelo Autokey do Cloud KMS têm os seguintes atributos:
- Nível de proteção: HSM
- Algoritmo: AES-256 GCM
Período de rotação: um ano
Depois que uma chave é criada pelo Autokey, um administrador pode editar o período de rotação a partir do padrão.
Separação de tarefas:
- A conta de serviço do serviço recebe automaticamente descriptografar permissões na chave.
- As permissões de administrador do Cloud KMS se aplicam normalmente às chaves criado pelo Autokey. Os administradores do Cloud KMS podem exibir, atualizar, ativar ou desativar e destruir chaves criadas por Autokey. Os administradores do Cloud KMS não recebem criptografar e descriptografar as permissões.
- Os desenvolvedores do Autokey só podem solicitar atribuição. Eles não podem acessar nem gerenciar chaves.
Especificidade de chave ou granularidade: as chaves criadas pelo Autokey têm uma granularidade, que varia de acordo com o tipo de recurso. Para detalhes específicos de serviços sobre granularidade de chave, consulte Serviços compatíveis nesta página.
Local: o Autokey cria chaves no mesmo local que o recurso precisam ser protegidas.
Se você precisar criar recursos protegidos por CMEKs em locais O Cloud HSM não está disponível, você precisa criar sua CMEK manualmente.
Estado da versão da chave: chaves recém-criadas, solicitadas com o Autokey são criadas como a versão da chave primária no estado ativado.
Nomenclatura de keyrings: todas as chaves criadas pelo Autokey são criadas em uma chamado
autokeyno projeto do Autokey no conjunto o local. Os keyrings no seu projeto do Autokey são criados O desenvolvedor do Autokey solicita a primeira chave em um determinado local.Nomenclatura de chaves: as chaves criadas pelo Autokey seguem esta convenção de nomenclatura:
PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEXComo todas as chaves do Cloud KMS, as chaves criadas pelo Autokey não podem ser exportados.
Assim como todas as chaves do Cloud KMS usadas nos serviços integrados de CMEK que estão compatíveis com o rastreamento de chaves, que são chaves criadas Autokey são rastreados no painel do Cloud KMS.
Aplicação do Autokey
Se você quiser exigir o uso do Autokey em uma pasta, poderá fazer isso combinando controles de acesso do IAM com políticas da organização CMEK. Isso funciona removendo as permissões de criação de chaves dos principais agente de serviço Autokey e, em seguida, exigindo que todos os recursos sejam protegidas pela CMEK usando o projeto de chave do Autokey. Para obter instruções sobre como exigir o uso do Autokey, consulte Aplicar Uso do Autokey.
Serviços compatíveis
A tabela a seguir lista os serviços compatíveis com Autokey do Cloud KMS:
| Serviço | Recursos protegidos | Granularidade de chave |
|---|---|---|
| Cloud Storage |
Os objetos em um
use a chave padrão do bucket. O Autokey não cria
chaves para recursos |
Uma chave por bucket |
| Compute Engine |
Os snapshots usam a chave do disco do qual você está criando um snapshot.
O Autokey não cria chaves para |
Uma chave por recurso |
| BigQuery |
O Autokey cria chaves padrão para conjuntos de dados. Tabelas, modelos consultas e tabelas temporárias em um conjunto de dados usam o padrão do conjunto de dados de dados. O Autokey não cria chaves para recursos do BigQuery diferentes dos conjuntos de dados. Para proteger os recursos que não fazem parte de uma você precisa criar suas próprias chaves padrão no projeto ou no nível da organização. |
Uma chave por recurso |
| Secret Manager |
O Secret Manager só é compatível com o Autokey do Cloud KMS ao criar recursos usando o Terraform ou a API REST. |
Uma chave por local em um projeto |
Limitações
- Não é possível limpar um recurso do
AutokeyConfig. É possível desativar Use o Autokey na pasta atualizando oAutokeyConfigpara definirenabled=false, mas o projeto de chave configurado permanece noAutokeyConfig: É possível mudar o projeto principal configurado oAutokeyConfig. - A CLI gcloud não está disponível para recursos do Autokey.
- Os identificadores de chaves não estão no Inventário de recursos do Cloud.
A seguir
- Para começar a usar o Cloud KMS Autokey, um administrador de segurança é preciso ativar o Autokey do Cloud KMS.
- Para usar o Autokey do Cloud KMS depois da ativação, o desenvolvedor pode: criar recursos protegidos pela CMEK usando o Autokey;