Esta página mostra como criar chaves do Gerenciador de chaves externo do Cloud (Cloud EKM) em um keyring existente no Cloud Key Management Service (Cloud KMS).
Antes de começar
Antes de concluir as tarefas nesta página, você precisa ter o seguinte:
-
Um recurso de projeto do Google Cloud para conter seus recursos do Cloud KMS. Recomendamos usar um projeto separado para seus recursos do Cloud KMS que não contenha outros recursos do Google Cloud.
Anote a conta de serviço do Cloud EKM do seu projeto. No exemplo a seguir, substitua
PROJECT_NUMBERpelo número do projeto do Google Cloud. Essas informações também ficam visíveis sempre que você usa o console do Google Cloud para criar uma chave do Cloud EKM.service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com - O nome e a localização do keyring em que você quer criar a chave. Escolha um keyring em um local próximo aos outros recursos e que ofereça suporte ao Cloud EKM. Para conferir os locais disponíveis e os níveis de proteção compatíveis, consulte Locais do Cloud KMS. Crie um keyring em Criar um keyring.
-
Para criar chaves externas gerenciadas manualmente, você precisa criar a chave no sistema do parceiro de gerenciamento de chaves externas. As etapas exatas variam de acordo com o parceiro externo de gerenciamento de chaves.
- Se necessário, solicite acesso ao seu parceiro externo de gerenciamento de chaves para participar.
-
Crie uma chave simétrica ou assimétrica no sistema do parceiro de gerenciamento de chave externo ou selecione uma chave atual.
Crie a chave em uma região próxima à região do Google Cloud que você planeja usar para as chaves do Cloud EKM. Isso ajuda a reduzir a latência de rede entre seu projeto do Google Cloud e o parceiro de gerenciamento de chaves externo. Caso contrário, talvez ocorra um aumento no número de operações com falha. Para mais informações, consulte Cloud EKM e regiões.
- Anote o URI ou caminho da chave externa. Você precisa dessas informações para criar uma chave do Cloud EKM.
- No sistema de parceiros de gerenciamento de chaves externas, conceda à conta de serviço do Google Cloud acesso para usar as chaves externas. Trate a conta de serviço como um endereço de e-mail. Os parceiros da EKM podem usar uma terminologia diferente da usada neste documento.
- Para criar um EKM com chaves da VPC, é necessário criar uma conexão EKM.
- Opcional: para usar a CLI gcloud, prepare seu ambiente.
In the Google Cloud console, activate Cloud Shell.
Funções exigidas
Para ter as permissões necessárias para criar chaves,
peça ao administrador que conceda a você o
papel do IAM Administrador do Cloud KMS (roles/cloudkms.admin) no projeto ou em um recurso pai.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esse papel predefinido contém as permissões necessárias para criar chaves. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As seguintes permissões são necessárias para criar chaves:
-
cloudkms.cryptoKeys.create -
cloudkms.cryptoKeys.get -
cloudkms.cryptoKeys.list -
cloudkms.cryptoKeyVersions.create -
cloudkms.cryptoKeyVersions.get -
cloudkms.cryptoKeyVersions.list -
cloudkms.keyRings.get -
cloudkms.keyRings.list -
cloudkms.locations.get -
cloudkms.locations.list -
resourcemanager.projects.get -
Para recuperar uma chave pública:
cloudkms.cryptoKeyVersions.viewPublicKey
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Criar uma chave externa coordenada
Console
No console do Google Cloud, acesse a página Gerenciamento de chaves.
Clique no nome do keyring em que a chave será criada.
Clique em Criar chave.
Em Nome da chave, digite um nome para a chave.
Em Nível de proteção, selecione Externo.
Em Tipo de conexão do gerenciador de chaves externo (EKM, na sigla em inglês), selecione via VPC.
Em EKM via conexão VPC, selecione uma conexão.
Se você não tiver a permissão
EkmConnection.list, será necessário inserir manualmente o nome do recurso de conexão.Clique em Continuar.
Na seção Material de chave, você vai encontrar uma mensagem sobre o novo material de chave solicitado pelo Cloud KMS e gerado no EKM. Se o campo Caminho da chave aparecer, a conexão EKM por VPC selecionada não estará configurada para chaves externas coordenadas.
Configure o restante das configurações principais conforme necessário e clique em Criar.
O Cloud EKM envia uma solicitação ao EKM para criar uma nova chave. A chave é mostrada como Geração pendente até que o caminho da chave seja retornado pelo EKM e a chave do Cloud EKM esteja disponível.
gcloud
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente da Google Cloud CLI.
gcloud kms keys create KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--purpose PURPOSE \
--default-algorithm ALGORITHM \
--protection-level "external-vpc" \
--crypto-key-backend VPC_CONNECTION_RESOURCE_ID
Substitua:
KEY_NAME: o nome da chave;KEY_RING: o nome do keyring que contém a chave.LOCATION: o local do Cloud KMS do keyring.PURPOSE: a finalidade da chave.ALGORITHM: o algoritmo a ser usado para a chave, por exemplo,google-symmetric-encryption. Para uma lista de algoritmos compatíveis, consulte Algoritmos.VPC_CONNECTION_RESOURCE_ID: o ID do recurso da conexão do EKM.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help.
Criar um Cloud EKM gerenciado manualmente usando a chave da VPC
Console
No console do Google Cloud, acesse a página Gerenciamento de chaves.
Clique no nome do keyring em que a chave será criada.
Clique em Criar chave.
Em Nome da chave, digite um nome para a chave.
Em Nível de proteção, selecione Externo.
Em Tipo de conexão do gerenciador de chaves externo (EKM, na sigla em inglês), selecione via VPC.
Em EKM via conexão VPC, selecione uma conexão.
Se você não tiver a permissão
EkmConnection.list, será necessário inserir manualmente o nome do recurso de conexão.Clique em Continuar.
No campo Caminho da chave, insira o caminho para a chave externa.
Configure o restante das configurações principais conforme necessário e clique em Criar.
gcloud
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente da Google Cloud CLI.
gcloud kms keys create KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--purpose PURPOSE \
--default-algorithm ALGORITHM \
--protection-level "external-vpc" \
--skip-initial-version-creation \
--crypto-key-backend VPC_CONNECTION_RESOURCE_ID
Substitua:
KEY_NAME: o nome da chave;- KEY_RING
LOCATION: o local do Cloud KMS do keyring.PURPOSE: a finalidade da chave.ALGORITHM: o algoritmo a ser usado para a chave, por exemplo,google-symmetric-encryption. Para uma lista de algoritmos compatíveis, consulte Algoritmos.VPC_CONNECTION_RESOURCE_ID: o ID do recurso da conexão do EKM.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help.
Criar um Cloud EKM gerenciado manualmente pela chave da Internet
Console
No console do Google Cloud, acesse a página Gerenciamento de chaves.
Clique no nome do keyring em que a chave será criada.
Clique em Criar chave.
Em Nome da chave, digite um nome para a chave.
Em Nível de proteção, selecione Externo.
Em Tipo de conexão do gerenciador de chaves externo (EKM, na sigla em inglês), selecione pela Internet.
Clique em Continuar.
No campo URI da chave, insira o caminho para a chave externa.
Configure o restante das configurações principais conforme necessário e clique em Criar.
gcloud
Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente da Google Cloud CLI.
Crie uma chave externa vazia:
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --protection-level external \ --skip-initial-version-creation \ --default-algorithm ALGORITHM
Substitua:
KEY_NAME: o nome da chave;KEY_RING: o nome do keyring que contém a chave.LOCATION: o local do Cloud KMS do keyring.PURPOSE: a finalidade da chave.ALGORITHM: o algoritmo a ser usado para a chave, por exemplo,google-symmetric-encryption. Para uma lista de algoritmos compatíveis, consulte Algoritmos.
Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização
--help.Crie uma nova versão da chave que você acabou de criar:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri EXTERNAL_KEY_URI
Substitua
EXTERNAL_KEY_URIpelo URI da chave externa.Para versões de chave simétrica, adicione a flag
--primarypara definir a nova versão da chave como a principal.