Nesta página, mostramos como criar recursos protegidos usando chaves criadas pela chave automática do Cloud KMS para criptografia. Para mais informações sobre chaves automáticas, consulte Visão geral da chave automática.
Antes de começar
Para ter as permissões necessárias para usar a chave automática na criação de recursos protegidos,
peça ao administrador para conceder a você o
papel do IAM Usuário da chave automática do Cloud KMS (roles/cloudkms.autokeyUser) na pasta ou no projeto.
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Você também precisa de permissões de criação de recursos na pasta Autokey ou em um projeto de recursos dentro da pasta. Para mais informações sobre as permissões necessárias para criar cada recurso, consulte a documentação específica do serviço. É possível encontrar essa documentação localizando o serviço na tabela de integrações de CMEK e acessando o link do tipo de recurso que você quer criar.
Como usar a chave automática com recursos do Compute Engine
A chave automática cria uma nova chave para cada disco, imagem e imagem de máquina no mesmo local que o recurso que está sendo criado.
A chave automática não cria novas chaves para snapshots. Os snapshots precisam usar a mesma chave usada para criptografar o disco. Se você criar um snapshot usando o console do Google Cloud, a chave de criptografia usada pelo disco será aplicada automaticamente a ele. Se você criar um snapshot usando a CLI gcloud, o Terraform ou a API Cloud KMS, identifique a chave usada para criptografar o disco e use-a para criptografar o snapshot.
Para mais informações sobre o uso de CMEK com snapshots, consulte Criar um snapshot de um disco criptografado com CMEK.
Criar um recurso protegido do Compute Engine
Console
Para criar um disco, siga estas etapas:
No console do Google Cloud, acesse a página Discos.
Clique em Novo disco e insira as propriedades do novo disco.
Em Criptografia, selecione Chave do Cloud KMS.
Em Tipo de chave, selecione Cloud KMS com chave automática e clique em Solicitar uma nova chave. Uma mensagem indica quando a chave foi criada e está pronta para uso.
Para concluir a criação do disco, clique em Criar.
Você pode seguir um processo semelhante para criar recursos protegidos de instância de VM, imagem e imagem de máquina.
Terraform
O exemplo do Terraform a seguir cria um gerenciador de chave e usa a chave retornada para proteger um novo recurso de disco permanente:
resource "google_kms_key_handle" "my_key_handle" {
provider = google-beta
project = "RESOURCE_PROJECT_ID"
name = "KEY_HANDLE"
location = "LOCATION"
resource_type_selector = "compute.googleapis.com/Disk"
}
resource "google_compute_disk" "persistent_disk" {
project = "RESOURCE_PROJECT_ID"
name = "DISK_NAME"
type = "pd-ssd"
zone = "ZONE"
size = 30
physical_block_size_bytes = 4096
disk_encryption_key {
kms_key_self_link = my_key_handle.kms_key
}
}
Substitua:
RESOURCE_PROJECT_ID: o ID do projeto de recurso na pasta da chave automática em que você quer criar um recurso protegido.KEY_HANDLE: um ID a ser usado para o identificador de chave.LOCATION: o local em que você quer criar o recurso protegido.DISK_NAME: o nome do novo disco.ZONE: a zona do recurso protegido. Precisa ser uma zona no local onde você está criando o recurso. Por exemplo, se você estiver criando o recurso no localus-central1, a zona pode serus-central1-a.
API
Solicite uma nova chave do Cloud KMS criando um
KeyHandle:curl -H "Content-Type: application/json" \ -H "X-Goog-User-Project: USER_PROJECT" \ -H "Authorization: Bearer TOKEN" \ -X POST https://cloudkms.googleapis.com/v1/projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles \ -d '{"resource_type_selector": "RESOURCE_TYPE"}'Substitua:
USER_PROJECT: o projeto que será faturado pelas cobranças associadas a essa solicitação.RESOURCE_PROJECT_ID: o ID do projeto de recurso na pasta da chave automática em que você quer criar um recurso protegido.LOCATION: o local em que você quer criar o recurso protegido.RESOURCE_TYPE: o tipo de recurso que você quer criar, por exemplo,compute.googleapis.com/Disk.
O resultado será assim:
{ "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.kms.v1.CreateKeyHandleMetadata" } }Anote o
OPERATION_IDda saída. Esse valor é necessário para receber o ID do recurso da chave criada.Encontre a chave do Cloud KMS associada ao gerenciador de chaves:
curl -H "X-Goog-User-Project: USER_PROJECT" \ -H "Authorization: Bearer TOKEN" \ -X GET https://cloudkms.googleapis.com/v1/projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_IDSubstitua:
USER_PROJECT: o projeto que será faturado pelas cobranças associadas a essa solicitação.RESOURCE_PROJECT_ID: o ID do projeto de recurso na pasta da chave automática em que você quer criar um recurso protegido.LOCATION: o local em que você quer criar o recurso protegido.OPERATION_ID: o identificador da operação de solicitação de processamento de chave da saída da etapa anterior.
O resultado será assim:
{ "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "done": true, "response": { "@type": "type.googleapis.com/google.cloud.kms.v1.KeyHandle", "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE", "kmsKey": "projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/autokey/cryptoKeys/KEY_NAME", "resourceTypeSelector": "RESOURCE_TYPE" } }O valor do elemento
kmsKeyna saída é o ID completo do recurso da chave criada pela Autokey para esse recurso. É possível usar esse ID de recurso da mesma maneira que você usaria o ID de recurso para qualquer outro recurso do Cloud KMS.Crie um disco criptografado usando o comando
gcloud compute disks create, com a sinalização--kms-key:gcloud compute disks create DISK_NAME \ --kms-key projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/autokey/cryptoKeys/KEY_NAMESubstitua:
DISK_NAME: o nome do novo disco.KEY_PROJECT_ID: o ID do projeto principal.LOCATION: o local em que você quer criar o recurso.KEY_NAME: o nome da chave retornada na saída da etapa anterior.
Como usar a Autokey com recursos do Cloud Storage
A chave automática cria uma nova chave no mesmo local do bucket. A chave criada pela Autokey é atribuída como a chave padrão do bucket.
A chave automática não cria chaves para objetos. Por padrão, os objetos criados em um bucket usam a chave padrão dele. Se você quiser criptografar um objeto usando uma chave diferente da chave padrão do bucket, crie manualmente uma CMEK e use-a ao criar o objeto.
Se você quiser alterar a chave padrão atribuída a um bucket, use qualquer CMEK atual, incluindo as criadas pela chave automática.
Criar um recurso protegido do Cloud Storage
Console
No console do Google Cloud, acesse a página Criar um bucket.
Siga as instruções para Criar um novo bucket até chegar a Escolher como proteger os dados do objeto.
Em Escolher como proteger os dados do objeto, expanda a seção Criptografia de dados e selecione Chave do Cloud KMS.
Em Tipo de chave, selecione Cloud KMS com chave automática e clique em Solicitar uma nova chave. Uma mensagem indica quando a chave foi criada e está pronta para uso.
Para concluir a criação do bucket, clique em Criar.
Terraform
O exemplo do Terraform a seguir cria um identificador de chave e usa a chave retornada para proteger um novo bucket de armazenamento:
resource "google_kms_key_handle" "my_key_handle" {
provider = google-beta
project = "RESOURCE_PROJECT_ID"
name = "KEY_HANDLE"
location = "LOCATION"
resource_type_selector = "storage.googleapis.com/Bucket"
}
resource "google_storage_bucket" "simple_bucket_name" {
name = "BUCKET_NAME"
location = "LOCATION"
force_destroy = true
project = "RESOURCE_PROJECT_ID"
uniform_bucket_level_access = true
encryption {
default_kms_key_name = my_key_handle.kms_key
}
}
Substitua:
RESOURCE_PROJECT_ID: o ID do projeto de recurso na pasta da chave automática em que você quer criar um recurso protegido.KEY_HANDLE: um ID a ser usado para o identificador de chave.LOCATION: o local em que você quer criar o recurso protegido.BUCKET_NAME: o nome do novo bucket.
API
Solicite uma nova chave do Cloud KMS criando um
KeyHandle:curl -H "Content-Type: application/json" \ -H "X-Goog-User-Project: USER_PROJECT" \ -H "Authorization: Bearer TOKEN" \ -X POST https://cloudkms.googleapis.com/v1/projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles \ -d '{"resource_type_selector": "RESOURCE_TYPE"}'Substitua:
USER_PROJECT: o projeto que será faturado pelas cobranças associadas a essa solicitação.RESOURCE_PROJECT_ID: o ID do projeto de recurso na pasta da chave automática em que você quer criar um recurso protegido.LOCATION: o local em que você quer criar o recurso protegido.RESOURCE_TYPE: o tipo de recurso que você quer criar, por exemplo,storage.googleapis.com/Bucket.
O resultado será assim:
{ "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.kms.v1.CreateKeyHandleMetadata" } }Anote o
OPERATION_IDda saída. Esse valor é necessário para receber o ID do recurso da chave criada.Encontre a chave do Cloud KMS associada ao gerenciador de chaves:
curl -H "X-Goog-User-Project: USER_PROJECT" \ -H "Authorization: Bearer TOKEN" \ -X GET https://cloudkms.googleapis.com/v1/projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_IDSubstitua:
USER_PROJECT: o projeto que será faturado pelas cobranças associadas a essa solicitação.RESOURCE_PROJECT_ID: o ID do projeto de recurso na pasta da chave automática em que você quer criar um recurso protegido.LOCATION: o local em que você quer criar o recurso protegido.OPERATION_ID: o identificador da operação de solicitação de processamento de chave da saída da etapa anterior.
O resultado será assim:
{ "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "done": true, "response": { "@type": "type.googleapis.com/google.cloud.kms.v1.KeyHandle", "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE", "kmsKey": "projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/autokey/cryptoKeys/KEY_NAME", "resourceTypeSelector": "RESOURCE_TYPE" } }O valor do elemento
kmsKeyna saída é o ID completo do recurso da chave criada pela Autokey para esse recurso. Use esse ID do recurso da mesma forma que você usaria o ID do recurso para qualquer outro recurso do Cloud KMS.Crie um bucket criptografado usando o comando
gcloud storage buckets create, com a sinalização--default-encryption-key:gcloud storage buckets create gs://BUCKET_NAME \ --location=LOCATION \ --default-encryption-key=projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/autokey/cryptoKeys/KEY_NAMESubstitua:
BUCKET_NAME: o nome do novo bucket. O nome do bucket precisa seguir os requisitos de nomenclatura de bucket.LOCATION: o local em que você quer criar o bucket.KEY_PROJECT_ID: o ID do projeto principal.LOCATION: o local em que você quer criar o recurso.KEY_NAME: o nome da chave retornada na saída da etapa anterior.
Como usar a chave automática com recursos do BigQuery
O Cloud KMS está disponível em várias edições do BigQuery. Verifique se a edição do BigQuery que você está usando é compatível com o Cloud KMS antes de tentar usar a chave automática para proteger os recursos do BigQuery. Para mais informações sobre as edições do BigQuery, consulte Entender as edições do BigQuery.
Para cada novo conjunto de dados, a chave automática cria uma nova chave no mesmo local que o próprio recurso, que se torna a chave padrão do conjunto de dados.
A chave automática não cria chaves para tabelas, consultas, tabelas temporárias ou modelos. Por padrão, esses recursos são protegidos pela chave padrão do conjunto de dados. Se você quiser proteger um recurso em um conjunto de dados usando uma chave diferente da chave padrão do conjunto de dados, crie manualmente uma CMEK e use-a ao criar o recurso.
Para consultas e tabelas temporárias que não estão dentro de um conjunto de dados, use as chaves padrão do projeto. Use uma chave padrão de projeto diferente para cada local do projeto que contém recursos do BigQuery. Para mais informações sobre como usar chaves padrão do projeto, consulte Definir uma chave padrão do projeto.
Para mais informações sobre como usar a CMEK com o BigQuery, consulte Chaves do Cloud KMS gerenciadas pelo cliente.
Criar um recurso protegido do BigQuery
Console
Antes de tentar criar um conjunto de dados do BigQuery usando a chave automática, verifique se você tem as permissões necessárias. Para mais informações sobre a criação de conjuntos de dados, consulte Criar conjuntos de dados.
No Console do Google Cloud, acesse a página BigQuery.
Siga as instruções para Criar um conjunto de dados até Opções avançadas > Criptografia.
Em Criptografia, selecione Chave do Cloud KMS.
Em Tipo de chave, selecione Cloud KMS com chave automática e clique em Solicitar uma nova chave. Uma mensagem indica quando a chave foi criada e está pronta para uso.
Para concluir a criação do conjunto de dados, clique em Criar conjunto de dados.
Terraform
O exemplo do Terraform a seguir cria um identificador de chave e usa a chave retornada para proteger um novo conjunto de dados:
resource "google_kms_key_handle" "my_key_handle" {
provider = google-beta
project = "RESOURCE_PROJECT_ID"
name = "test-key-handle"
location = "LOCATION"
resource_type_selector = "bigquery.googleapis.com/Dataset"
}
resource "google_bigquery_dataset" "dataset" {
dataset_id = "DATASET_ID"
friendly_name = "DATASET_NAME"
description = "DATASET_DESCRIPTION"
location = "LOCATION"
default_table_expiration_ms = 3600000
default_encryption_configuration {
kms_key_name = my_key_handle.kms_key
}
}
Substitua:
RESOURCE_PROJECT_ID: o ID do projeto de recurso na pasta da chave automática em que você quer criar um recurso protegido.LOCATION: o local em que você quer criar o recurso protegido.DATASET_ID: o ID a ser usado para o novo conjunto de dados.DATASET_NAME: um nome legível para o novo conjunto de dados.DATASET_DESCRIPTION: uma descrição para o novo conjunto de dados.
API
Solicite uma nova chave do Cloud KMS criando um
KeyHandle:curl -H "Content-Type: application/json" \ -H "X-Goog-User-Project: USER_PROJECT" \ -H "Authorization: Bearer TOKEN" \ -X POST https://cloudkms.googleapis.com/v1/projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles \ -d '{"resource_type_selector": "RESOURCE_TYPE"}'Substitua:
USER_PROJECT: o projeto que será faturado pelas cobranças associadas a essa solicitação.RESOURCE_PROJECT_ID: o ID do projeto de recurso na pasta da chave automática em que você quer criar um recurso protegido.LOCATION: o local em que você quer criar o recurso protegido.RESOURCE_TYPE: o tipo de recurso que você quer criar, por exemplo,bigquery.googleapis.com/Dataset.
O resultado será assim:
{ "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.kms.v1.CreateKeyHandleMetadata" } }Anote o
OPERATION_IDda saída. Esse valor é necessário para receber o ID do recurso da chave criada.Encontre a chave do Cloud KMS associada ao gerenciador de chaves:
curl -H "X-Goog-User-Project: USER_PROJECT" \ -H "Authorization: Bearer TOKEN" \ -X GET https://cloudkms.googleapis.com/v1/projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_IDSubstitua:
USER_PROJECT: o projeto que será faturado pelas cobranças associadas a essa solicitação.RESOURCE_PROJECT_ID: o ID do projeto de recurso na pasta da chave automática em que você quer criar um recurso protegido.LOCATION: o local em que você quer criar o recurso protegido.OPERATION_ID: o identificador da operação de solicitação de processamento de chave da saída da etapa anterior.
O resultado será assim:
{ "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "done": true, "response": { "@type": "type.googleapis.com/google.cloud.kms.v1.KeyHandle", "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE", "kmsKey": "projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/autokey/cryptoKeys/KEY_NAME", "resourceTypeSelector": "RESOURCE_TYPE" } }O valor do elemento
kmsKeyna saída é o ID completo do recurso da chave criada pela Autokey para esse recurso. Use esse ID do recurso da mesma forma que você usaria o ID do recurso para qualquer outro recurso do Cloud KMS.Crie um conjunto de dados criptografado usando o comando
bq mk, com a sinalização--destination_kms_key.bq --location=LOCATION mk \ --dataset \ --default_kms_key=projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/autokey/cryptoKeys/KEY_NAME \ --default_table_expiration=TABLE_EXPIRATION \ --description="DATASET_DESCRIPTION" \ RESOURCE_PROJECT_ID:DATASET_IDSubstitua:
LOCATION: o local em que você quer criar o conjunto de dados.KEY_PROJECT_ID: o ID do projeto principal.KEY_NAME: o nome da chave retornada na saída da etapa anterior.TABLE_EXPIRATION: a vida útil padrão das novas tabelas no conjunto de dados, em segundos.DATASET_DESCRIPTION: uma descrição para o novo conjunto de dados.RESOURCE_PROJECT_ID: o ID do projeto de recurso na pasta da chave automática em que você quer criar um recurso protegido.DATASET_ID: o ID do conjunto de dados que você está criando.
Para mais informações sobre a ferramenta
bq, consulte Explorar a ferramenta de linha de comando bq.
Como usar o Autokey com recursos do Secret Manager
A chave automática cria uma única chave para proteger todos os secrets no mesmo projeto e local. Quando a chave é alternada, os novos secrets adicionados ao projeto usam a nova versão primária da chave.
O Secret Manager só é compatível com a chave automática do Cloud KMS ao criar recursos usando o Terraform ou a API REST.
Criar um recurso protegido do Secret Manager
Terraform
O exemplo do Terraform a seguir cria um identificador de chave e usa a chave retornada para proteger um novo secret com replicação automática:
resource "google_kms_key_handle" "my_key_handle" {
provider = google-beta
project = "RESOURCE_PROJECT_ID"
name = "test-key-handle"
location = "global"
resource_type_selector = "secretmanager.googleapis.com/Secret"
}
resource "google_secret_manager_secret" "my_secret" {
secret_id = "SECRET_ID"
replication {
auto {
customer_managed_encryption {
kms_key_name = my_key_handle.kms_key
}
}
}
}
Substitua:
RESOURCE_PROJECT_ID: o ID do projeto de recurso na pasta da chave automática em que você quer criar um recurso protegido.SECRET_ID: o ID a ser usado para o novo secret.
Se você tentar criar um identificador de chave para um secret no mesmo projeto e local para o qual já existe, uma mensagem de erro retornará os detalhes do identificador de chave atual. Se isso acontecer, verifique se você tem apenas um
bloco para criar o identificador de chave. É possível reutilizar o gerenciador de chaves usando o ID (KEY_HANDLE) para criar outros secrets que compartilharão a chave.
API
Solicite uma nova chave do Cloud KMS criando um
KeyHandle:curl -H "Content-Type: application/json" \ -H "X-Goog-User-Project: USER_PROJECT" \ -H "Authorization: Bearer TOKEN" \ -X POST https://cloudkms.googleapis.com/v1/projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles \ -d '{"resource_type_selector": "RESOURCE_TYPE"}'Substitua:
USER_PROJECT: o projeto que será faturado pelas cobranças associadas a essa solicitação.RESOURCE_PROJECT_ID: o ID do projeto de recurso na pasta da chave automática em que você quer criar um recurso protegido.LOCATION: o local em que você quer criar o recurso protegido.RESOURCE_TYPE: o tipo de recurso que você quer criar, por exemplo,secretmanager.googleapis.com/Secret.
O resultado será assim:
{ "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.kms.v1.CreateKeyHandleMetadata" } }Anote o
OPERATION_IDda saída. Esse valor é necessário para receber o ID do recurso da chave criada.Se você tentar criar um identificador de chave para um secret no mesmo projeto e local para o qual já existe, uma mensagem de erro retornará os detalhes do identificador de chave atual. Nesse caso, pule para a próxima etapa e use o ID de recurso da chave no campo
existingKmsKeypara proteger seu novo secret.Encontre a chave do Cloud KMS associada ao gerenciador de chaves:
curl -H "X-Goog-User-Project: USER_PROJECT" \ -H "Authorization: Bearer TOKEN" \ -X GET https://cloudkms.googleapis.com/v1/projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_IDSubstitua:
USER_PROJECT: o projeto que será faturado pelas cobranças associadas a essa solicitação.RESOURCE_PROJECT_ID: o ID do projeto de recurso na pasta da chave automática em que você quer criar um recurso protegido.LOCATION: o local em que você quer criar o recurso protegido.OPERATION_ID: o identificador da operação de solicitação de processamento de chave da saída da etapa anterior.
O resultado será assim:
{ "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "done": true, "response": { "@type": "type.googleapis.com/google.cloud.kms.v1.KeyHandle", "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE", "kmsKey": "projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/autokey/cryptoKeys/KEY_NAME", "resourceTypeSelector": "RESOURCE_TYPE" } }O valor do elemento
kmsKeyna saída é o ID completo do recurso da chave criada pela Autokey para esse recurso. Use esse ID do recurso da mesma forma que você usaria o ID do recurso para qualquer outro recurso do Cloud KMS.Crie um secret criptografado com replicação automática usando o comando
gcloud secrets create, com a sinalização--kms-key-name.gcloud secrets create "SECRET_ID" \ --replication-policy "automatic" \ --kms-key-name "projects/KEY_PROJECT_ID/locations/global/keyRings/autokey/cryptoKeys/KEY_NAME" \ --project "RESOURCE_PROJECT_ID"Substitua:
SECRET_ID: o ID a ser usado para o novo secret.KEY_PROJECT_ID: o ID do projeto principal.KEY_NAME: o nome da chave retornada na saída da etapa anterior.RESOURCE_PROJECT_ID: o ID do projeto de recurso na pasta da chave automática em que você quer criar um recurso protegido.
A seguir
- Saiba mais sobre quando usar a chave automática.
- Saiba mais sobre como a chave automática funciona.