Questa pagina mostra come creare chiavi Cloud External Key Manager (Cloud EKM) in un keyring esistente in Cloud Key Management Service (Cloud KMS).
Prima di iniziare
Prima di completare le attività in questa pagina, devi disporre di quanto segue:
-
Una risorsa del progetto Google Cloud per contenere le risorse Cloud KMS. Ti consigliamo di utilizzare un progetto separato per le tue risorse Cloud KMS che non contenga altre risorse Google Cloud.
Prendi nota dell'account di servizio Cloud EKM del tuo progetto. Nell'esempio seguente, sostituisci
PROJECT_NUMBER
con il numero di progetto del tuo progetto Google Cloud. Queste informazioni sono visibili anche ogni volta che utilizzi la console Google Cloud per creare una chiave Cloud EKM.service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
- Il nome e la posizione del keyring in cui vuoi creare la chiave. Scegli un anello di chiavi in una posizione vicina alle altre risorse e che supporti Cloud EKM. Per visualizzare le località disponibili e i livelli di protezione supportati, consulta Località Cloud KMS. Per creare un keyring, consulta la sezione Creare un keyring.
-
Per creare chiavi esterne gestite manualmente, devi creare la chiave nel sistema del partner di gestione delle chiavi esterne. I passaggi esatti variano in base al partner esterno per la gestione delle chiavi.
- Se necessario, richiedi l'accesso al tuo partner esterno per la gestione delle chiavi per partecipare.
-
Crea una chiave simmetrica o asimmetrica nel sistema del partner di gestione delle chiavi esterne o seleziona una chiave esistente.
Crea la chiave in una regione vicina alla regione Google Cloud che hai intenzione di utilizzare per le chiavi Cloud EKM. In questo modo, puoi ridurre la latenza della rete tra il tuo progetto Google Cloud e il partner di gestione delle chiavi esterno. In caso contrario, potresti riscontrare un aumento del numero di operazioni non riuscite. Per ulteriori informazioni, consulta Cloud EKM e regioni.
- Prendi nota dell'URI o del percorso della chiave esterna. Queste informazioni sono necessarie per creare una chiave Cloud EKM.
- Nel sistema del partner di gestione delle chiavi esterne, concedi all'account di servizio Google Cloud l'accesso per utilizzare le chiavi esterne. Tratta l'account di servizio come un indirizzo email. I partner EKM potrebbero utilizzare una terminologia diversa da quella impiegata in questo documento.
- Per creare EKM tramite chiavi VPC, devi creare una connessione EKM.
- (Facoltativo) Per utilizzare l'interfaccia alla gcloud CLI, prepara l'ambiente.
In the Google Cloud console, activate Cloud Shell.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per creare le chiavi,
chiedi all'amministratore di concederti il ruolo IAM Amministratore Cloud KMS (roles/cloudkms.admin
) nel progetto o in una risorsa principale.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene le autorizzazioni necessarie per creare chiavi. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per creare le chiavi sono necessarie le seguenti autorizzazioni:
-
cloudkms.cryptoKeys.create
-
cloudkms.cryptoKeys.get
-
cloudkms.cryptoKeys.list
-
cloudkms.cryptoKeyVersions.create
-
cloudkms.cryptoKeyVersions.get
-
cloudkms.cryptoKeyVersions.list
-
cloudkms.keyRings.get
-
cloudkms.keyRings.list
-
cloudkms.locations.get
-
cloudkms.locations.list
-
resourcemanager.projects.get
-
Per recuperare una chiave pubblica:
cloudkms.cryptoKeyVersions.viewPublicKey
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Creare una chiave esterna coordinata
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per cui vuoi creare una chiave.
Fai clic su Crea chiave.
In Nome chiave, inserisci un nome per la chiave.
In Livello di protezione, seleziona Esterno.
Per Tipo di connessione gestore esterno delle chiavi (EKM), seleziona tramite VPC.
Per EKM tramite connessione VPC, seleziona una connessione.
Se non disponi dell'autorizzazione
EkmConnection.list
, devi inserire manualmente il nome della risorsa di connessione.Fai clic su Continua.
Nella sezione Materiale della chiave, dovresti vedere un messaggio relativo al nuovo materiale della chiave richiesto da Cloud KMS e generato nel tuo EKM. Se vedi il campo Percorso chiave, la connessione EKM tramite VPC selezionata non è configurata per le chiavi esterne coordinate.
Configura le restanti impostazioni della chiave in base alle tue esigenze e fai clic su Crea.
Cloud EKM invia una richiesta al tuo EKM per creare una nuova chiave. La chiave viene visualizzata come Generare in attesa finché il percorso della chiave non viene restituito dall'EKM e la chiave EKM Cloud è disponibile.
gcloud
Per utilizzare Cloud KMS sulla riga di comando, esegui l'installazione o l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --default-algorithm ALGORITHM \ --protection-level "external-vpc" \ --crypto-key-backend VPC_CONNECTION_RESOURCE_ID
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome della chiave automatizzata che contiene la chiave.LOCATION
: la posizione di Cloud KMS della raccolta di chiavi.PURPOSE
: lo scopo della chiave.ALGORITHM
: l'algoritmo da utilizzare per la chiave, ad esempiogoogle-symmetric-encryption
. Per un elenco degli algoritmi supportati, consulta Algoritmi.VPC_CONNECTION_RESOURCE_ID
: l'ID risorsa della connessione EKM.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
Crea un EKM cloud gestito manualmente tramite chiave VPC
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per cui vuoi creare una chiave.
Fai clic su Crea chiave.
In Nome chiave, inserisci un nome per la chiave.
In Livello di protezione, seleziona Esterno.
Per Tipo di connessione gestore esterno delle chiavi (EKM), seleziona tramite VPC.
Per EKM tramite connessione VPC, seleziona una connessione.
Tieni presente che, se non disponi dell'autorizzazione
EkmConnection.list
, devi inserire manualmente il nome della risorsa di connessione.Fai clic su Continua.
Nel campo Percorso chiave, inserisci il percorso della chiave esterna.
Configura le restanti impostazioni della chiave in base alle tue esigenze e fai clic su Crea.
gcloud
Per utilizzare Cloud KMS sulla riga di comando, esegui l'installazione o l'upgrade alla versione più recente di Google Cloud CLI.
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --default-algorithm ALGORITHM \ --protection-level "external-vpc" \ --skip-initial-version-creation \ --crypto-key-backend VPC_CONNECTION_RESOURCE_ID
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.- KEY_RING
LOCATION
: la posizione di Cloud KMS della raccolta di chiavi.PURPOSE
: lo scopo della chiave.ALGORITHM
: l'algoritmo da utilizzare per la chiave, ad esempiogoogle-symmetric-encryption
. Per un elenco degli algoritmi supportati, consulta Algoritmi.VPC_CONNECTION_RESOURCE_ID
: l'ID risorsa della connessione EKM.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag --help
.
Creare una chiave EKM di Cloud gestita manualmente tramite internet
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring per cui vuoi creare una chiave.
Fai clic su Crea chiave.
In Nome chiave, inserisci un nome per la chiave.
In Livello di protezione, seleziona Esterno.
In Tipo di connessione gestore esterno delle chiavi (EKM), seleziona tramite internet.
Fai clic su Continua.
Nel campo URI chiave, inserisci il percorso della chiave esterna.
Configura le restanti impostazioni della chiave in base alle tue esigenze e fai clic su Crea.
gcloud
Per utilizzare Cloud KMS sulla riga di comando, esegui l'installazione o l'upgrade alla versione più recente di Google Cloud CLI.
Crea una chiave esterna vuota:
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --protection-level external \ --skip-initial-version-creation \ --default-algorithm ALGORITHM
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome della chiave automatizzata che contiene la chiave.LOCATION
: la posizione di Cloud KMS della raccolta di chiavi.PURPOSE
: lo scopo della chiave.ALGORITHM
: l'algoritmo da utilizzare per la chiave, ad esempiogoogle-symmetric-encryption
. Per un elenco degli algoritmi supportati, consulta Algoritmi.
Per informazioni su tutti i flag e i possibili valori, esegui il comando con il flag
--help
.Crea una nuova versione della chiave appena creata:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri EXTERNAL_KEY_URI
Sostituisci
EXTERNAL_KEY_URI
con l'URI della chiave esterna.Per le versioni delle chiavi simmetriche, aggiungi il flag
--primary
per impostare la nuova versione della chiave come versione principale.