Esta página mostra como criar recursos protegidos usando chaves criadas pelo Autokey do Cloud KMS para criptografia. Para mais informações sobre Autokey, consulte Visão geral do Autokey.
Antes de começar
Para ter as permissões necessárias para usar o Autokey na criação de recursos protegidos,
peça ao administrador para conceder a você
Papel do IAM de usuário do Autokey do Cloud KMS (roles/cloudkms.autokeyUser) na pasta ou no projeto.
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
Também é possível conseguir as permissões necessárias com papéis personalizados ou outros papéis predefinidos.
Você também precisa de permissões de criação de recursos na pasta do Autokey ou um projeto de recurso dentro da pasta. Para mais informações sobre as permissões para criar cada recurso, consulte a documentação específica do serviço. Você pode encontrar essa documentação localizando o serviço nas integrações de CMEK tabela e acessando o link para o tipo de recurso que você quer criar.
Como usar o Autokey com os recursos do Compute Engine
O Autokey cria uma nova chave para cada disco, imagem e imagem de máquina mesmo local do recurso que está sendo criado.
O Autokey não cria novas chaves para snapshots. Os snapshots devem usar mesma chave usada para criptografar o disco. Se você criar um snapshot usando o no console do Google Cloud, a chave de criptografia usada pelo disco aplicada ao snapshot. Se você criar um snapshot usando a CLI gcloud, o Terraform ou na API Cloud KMS, é preciso identificar a chave usada para criptografar o disco usá-la para criptografar o snapshot.
Para mais informações sobre como usar a CMEK com snapshots, consulte Criar um snapshot em um disco criptografado com CMEK.
Criar um recurso protegido do Compute Engine
Console
Para criar um disco, siga estas etapas:
No console do Google Cloud, acesse a página Discos.
Clique em Novo disco e insira as propriedades do novo disco.
Em Criptografia, selecione Chave do Cloud KMS.
Em Tipo de chave, selecione Cloud KMS com Autokey e clique em Solicite uma nova chave. Uma mensagem indica quando sua chave foi criado com sucesso e pronto para uso.
Para concluir a criação do disco, clique em Criar.
Você pode seguir um processo semelhante para criar instâncias de VM protegidas, imagens, e recursos de imagem de máquina.
Terraform
O exemplo do Terraform a seguir cria um identificador de chave e usa a chave retornada para proteger um novo recurso de disco permanente:
resource "google_kms_key_handle" "my_key_handle" {
provider = google-beta
project = "RESOURCE_PROJECT_ID"
name = "KEY_HANDLE"
location = "LOCATION"
resource_type_selector = "compute.googleapis.com/Disk"
}
resource "google_compute_disk" "persistent_disk" {
project = "RESOURCE_PROJECT_ID"
name = "DISK_NAME"
type = "pd-ssd"
zone = "ZONE"
size = 30
physical_block_size_bytes = 4096
disk_encryption_key {
kms_key_self_link = google_kms_key_handle.my_key_handle.kms_key
}
}
Substitua:
RESOURCE_PROJECT_ID: o ID do projeto de recursos na pasta Autokey em que você quer criar um arquivo recurso.KEY_HANDLE: um ID a ser usado para o identificador da chave.LOCATION: o local onde você quer criar o arquivo recurso.DISK_NAME: o nome do novo disco.ZONE: a zona do recurso protegido. Isso deve ser uma zona dentro do local em que você está criando o recurso. Para Por exemplo, se você estiver criando o recurso no localus-central1, a zona pode serus-central1-a.
API
Solicite uma nova chave do Cloud KMS criando um
KeyHandlecurl -H "Content-Type: application/json" \ -H "X-Goog-User-Project: USER_PROJECT" \ -H "Authorization: Bearer TOKEN" \ -X POST https://cloudkms.googleapis.com/v1/projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles \ -d '{"resource_type_selector": "RESOURCE_TYPE"}'Substitua:
USER_PROJECT: o projeto a ser cobrado pelas cobranças. associadas a essa solicitação.RESOURCE_PROJECT_ID: o ID do projeto do recurso. dentro da pasta do Autokey em que você quer criar um recurso protegido.LOCATION: o local onde você quer criar o recurso protegido.RESOURCE_TYPE: o tipo de recurso que você quer create, por exemplo,compute.googleapis.com/Disk.
O resultado será assim:
{ "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.kms.v1.CreateKeyHandleMetadata" } }Anote o
OPERATION_IDda saída. Você precisa desse valor para conseguir o ID do recurso da chave criada.Encontre a chave do Cloud KMS associada ao identificador de chaves:
curl -H "X-Goog-User-Project: USER_PROJECT" \ -H "Authorization: Bearer TOKEN" \ -X GET https://cloudkms.googleapis.com/v1/projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_IDSubstitua:
USER_PROJECT: o projeto a ser cobrado pelas cobranças. associadas a essa solicitação.RESOURCE_PROJECT_ID: o ID do projeto do recurso. dentro da pasta do Autokey em que você quer criar um recurso protegido.LOCATION: o local onde você quer criar o recurso protegido.OPERATION_ID: o identificador da solicitação do gerenciador de chaves operação da saída da etapa anterior.
O resultado será assim:
{ "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "done": true, "response": { "@type": "type.googleapis.com/google.cloud.kms.v1.KeyHandle", "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE", "kmsKey": "projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/autokey/cryptoKeys/KEY_NAME", "resourceTypeSelector": "RESOURCE_TYPE" } }O valor do elemento
kmsKeyna saída é o ID completo do recurso de a chave criada pelo Autokey para este recurso. Você pode usar isso ID de recurso da mesma forma que você usaria o ID de qualquer outro recurso do Cloud KMS.Crie um disco criptografado usando
gcloud compute disks create. comando, com o Sinalização--kms-key:gcloud compute disks create DISK_NAME \ --kms-key projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/autokey/cryptoKeys/KEY_NAMESubstitua:
DISK_NAME: o nome do novo disco.KEY_PROJECT_ID: o ID do projeto principal.LOCATION: o local onde você quer criar o recurso.KEY_NAME: o nome da chave retornada na saída do na etapa anterior.
Como usar o Autokey com os recursos do Cloud Storage
O Autokey cria uma nova chave no mesmo local do bucket. A chave criada pelo Autokey é atribuída como a chave padrão do bucket.
O Autokey não cria chaves para objetos. Por padrão, os objetos criados use a chave padrão do bucket. Se você quiser criptografar um objeto usando uma diferente da chave padrão do bucket, é possível criar manualmente uma CMEK e usar essa chave ao criar o objeto.
Para alterar a chave padrão atribuída a um bucket, use qualquer CMEK atual, incluindo chaves criadas pelo Autokey.
Criar um recurso protegido do Cloud Storage
Console
No console do Google Cloud, acesse a página Criar um bucket.
Siga as instruções para criar um novo bucket. até Escolher como proteger os dados de objetos.
Em Escolha como proteger os dados do objeto, expanda a seção Dados criptografia e selecione Chave do Cloud KMS.
Em Tipo de chave, selecione Cloud KMS com Autokey e clique em Solicite uma nova chave. Uma mensagem indica quando sua chave foi criado com sucesso e pronto para uso.
Para concluir a criação do bucket, clique em Criar.
Terraform
O exemplo do Terraform a seguir cria um identificador de chave e usa a chave retornada para proteger um novo bucket de armazenamento:
resource "google_kms_key_handle" "my_key_handle" {
provider = google-beta
project = "RESOURCE_PROJECT_ID"
name = "KEY_HANDLE"
location = "LOCATION"
resource_type_selector = "storage.googleapis.com/Bucket"
}
resource "google_storage_bucket" "simple_bucket_name" {
name = "BUCKET_NAME"
location = "LOCATION"
force_destroy = true
project = "RESOURCE_PROJECT_ID"
uniform_bucket_level_access = true
encryption {
default_kms_key_name = google_kms_key_handle.my_key_handle.kms_key
}
}
Substitua:
RESOURCE_PROJECT_ID: o ID do projeto de recursos na pasta Autokey em que você quer criar um arquivo recurso.KEY_HANDLE: um ID a ser usado para o identificador da chave.LOCATION: o local onde você quer criar o arquivo recurso.BUCKET_NAME: o nome do novo bucket.
API
Solicite uma nova chave do Cloud KMS criando um
KeyHandlecurl -H "Content-Type: application/json" \ -H "X-Goog-User-Project: USER_PROJECT" \ -H "Authorization: Bearer TOKEN" \ -X POST https://cloudkms.googleapis.com/v1/projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles \ -d '{"resource_type_selector": "RESOURCE_TYPE"}'Substitua:
USER_PROJECT: o projeto a ser cobrado pelas cobranças. associadas a essa solicitação.RESOURCE_PROJECT_ID: o ID do projeto do recurso. dentro da pasta do Autokey em que você quer criar um recurso protegido.LOCATION: o local onde você quer criar o recurso protegido.RESOURCE_TYPE: o tipo de recurso que você quer create, por exemplo,storage.googleapis.com/Bucket.
O resultado será assim:
{ "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.kms.v1.CreateKeyHandleMetadata" } }Anote o
OPERATION_IDda saída. Você precisa disto para obter o ID do recurso da chave criada.Encontre a chave do Cloud KMS associada ao identificador de chaves:
curl -H "X-Goog-User-Project: USER_PROJECT" \ -H "Authorization: Bearer TOKEN" \ -X GET https://cloudkms.googleapis.com/v1/projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_IDSubstitua:
USER_PROJECT: o projeto a ser cobrado pelas cobranças. associadas a essa solicitação.RESOURCE_PROJECT_ID: o ID do projeto do recurso. dentro da pasta do Autokey em que você quer criar um recurso protegido.LOCATION: o local onde você quer criar o recurso protegido.OPERATION_ID: o identificador da solicitação do gerenciador de chaves operação da saída da etapa anterior.
O resultado será assim:
{ "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "done": true, "response": { "@type": "type.googleapis.com/google.cloud.kms.v1.KeyHandle", "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE", "kmsKey": "projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/autokey/cryptoKeys/KEY_NAME", "resourceTypeSelector": "RESOURCE_TYPE" } }O valor do elemento
kmsKeyna saída é o ID completo do recurso da chave criada pelo Autokey para este recurso. Você pode usar esse ID de recurso da mesma forma que você usaria o ID de recurso para qualquer outros recursos do Cloud KMS.Crie um bucket criptografado usando o
gcloud storage buckets createcomando, com o Sinalização--default-encryption-key:gcloud storage buckets create gs://BUCKET_NAME \ --location=LOCATION \ --default-encryption-key=projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/autokey/cryptoKeys/KEY_NAMESubstitua:
BUCKET_NAME: o nome do novo bucket. O o nome do bucket precisa seguir o requisitos de nomenclatura de bucket.LOCATION: o local onde você quer criar o do Google Cloud.KEY_PROJECT_ID: o ID do projeto principal.LOCATION: o local onde você quer criar o recurso.KEY_NAME: o nome da chave retornada na saída do na etapa anterior.
Como usar o Autokey com os recursos do BigQuery
O Cloud KMS está disponível em várias edições do BigQuery. Marca a edição do BigQuery que você está usando é compatível o Cloud KMS antes de tentar usar o Autokey para proteger os recursos do BigQuery. Para mais informações sobre o BigQuery, consulte Noções básicas sobre as edições do BigQuery.
Para cada novo conjunto de dados, o Autokey cria uma nova chave, no mesmo local como o próprio recurso, que se torna a chave padrão do conjunto de dados.
O Autokey não cria chaves para tabelas, consultas, tabelas temporárias ou de modelos de machine learning. Esses recursos são protegidos pela chave padrão do conjunto de dados. Se você quer proteger um recurso em um conjunto de dados usando uma chave diferente do conjunto de dados padrão, é possível criar uma CMEK manualmente e usá-la ao criar a recurso.
Para consultas e tabelas temporárias que não estão dentro de um conjunto de dados, use project chaves padrão. Use uma chave padrão do projeto diferente para cada local no que contém recursos do BigQuery. Para mais informações sobre usando chaves padrão do projeto, consulte Defina uma chave padrão do projeto.
Para mais informações sobre como usar a CMEK com o BigQuery, consulte Chaves do Cloud KMS gerenciadas pelo cliente.
Criar um recurso protegido do BigQuery
Console
Antes de tentar criar um conjunto de dados do BigQuery usando Autokey, verifique se você tem as permissões necessárias. Para mais Para mais informações sobre como criar conjuntos de dados, consulte Criar conjuntos de dados.
No Console do Google Cloud, acesse a página BigQuery.
Siga as instruções para Criar um conjunto de dados até Você verá Opções avançadas > Criptografia.
Em Criptografia, selecione Chave do Cloud KMS.
Em Tipo de chave, selecione Cloud KMS com Autokey e clique em Solicite uma nova chave. Uma mensagem indica quando sua chave foi criado com sucesso e pronto para uso.
Para concluir a criação do conjunto de dados, clique em Criar conjunto de dados.
Terraform
O exemplo do Terraform a seguir cria um identificador de chave e usa a chave retornada para proteger um novo conjunto de dados:
resource "google_kms_key_handle" "my_key_handle" {
provider = google-beta
project = "RESOURCE_PROJECT_ID"
name = "test-key-handle"
location = "LOCATION"
resource_type_selector = "bigquery.googleapis.com/Dataset"
}
resource "google_bigquery_dataset" "dataset" {
project = "RESOURCE_PROJECT_ID"
dataset_id = "DATASET_ID"
friendly_name = "DATASET_NAME"
description = "DATASET_DESCRIPTION"
location = "LOCATION"
default_table_expiration_ms = 3600000
default_encryption_configuration {
kms_key_name = google_kms_key_handle.my_key_handle.kms_key
}
}
Substitua:
RESOURCE_PROJECT_ID: o ID do projeto de recursos na pasta do Autokey em que você quer criar um arquivo recurso.LOCATION: o local onde você quer criar o arquivo recurso.DATASET_ID: o ID a ser usado para o novo conjunto de dados.DATASET_NAME: um nome legível para o novo arquivo. no conjunto de dados.DATASET_DESCRIPTION: uma descrição para o novo arquivo. no conjunto de dados.
API
Solicite uma nova chave do Cloud KMS criando um
KeyHandlecurl -H "Content-Type: application/json" \ -H "X-Goog-User-Project: USER_PROJECT" \ -H "Authorization: Bearer TOKEN" \ -X POST https://cloudkms.googleapis.com/v1/projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles \ -d '{"resource_type_selector": "RESOURCE_TYPE"}'Substitua:
USER_PROJECT: o projeto a ser cobrado pelas cobranças. associadas a essa solicitação.RESOURCE_PROJECT_ID: o ID do projeto do recurso. dentro da pasta do Autokey em que você quer criar um recurso protegido.LOCATION: o local onde você quer criar o recurso protegido.RESOURCE_TYPE: o tipo de recurso que você quer create, por exemplo,bigquery.googleapis.com/Dataset.
O resultado será assim:
{ "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.kms.v1.CreateKeyHandleMetadata" } }Anote o
OPERATION_IDda saída. Você precisa disto para obter o ID do recurso da chave criada.Encontre a chave do Cloud KMS associada ao identificador de chaves:
curl -H "X-Goog-User-Project: USER_PROJECT" \ -H "Authorization: Bearer TOKEN" \ -X GET https://cloudkms.googleapis.com/v1/projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_IDSubstitua:
USER_PROJECT: o projeto a ser cobrado pelas cobranças. associadas a essa solicitação.RESOURCE_PROJECT_ID: o ID do projeto do recurso. dentro da pasta do Autokey em que você quer criar um recurso protegido.LOCATION: o local onde você quer criar o recurso protegido.OPERATION_ID: o identificador da solicitação do gerenciador de chaves operação da saída da etapa anterior.
O resultado será assim:
{ "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "done": true, "response": { "@type": "type.googleapis.com/google.cloud.kms.v1.KeyHandle", "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE", "kmsKey": "projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/autokey/cryptoKeys/KEY_NAME", "resourceTypeSelector": "RESOURCE_TYPE" } }O valor do elemento
kmsKeyna saída é o ID completo do recurso da chave criada pelo Autokey para este recurso. Você pode usar esse ID de recurso da mesma forma que você usaria o ID de recurso para qualquer outros recursos do Cloud KMS.Crie um conjunto de dados criptografado usando o
bq mkcomando, com o--destination_kms_key.bq --location=LOCATION mk \ --dataset \ --default_kms_key=projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/autokey/cryptoKeys/KEY_NAME \ --default_table_expiration=TABLE_EXPIRATION \ --description="DATASET_DESCRIPTION" \ RESOURCE_PROJECT_ID:DATASET_IDSubstitua:
LOCATION: o local onde você quer criar o no conjunto de dados.KEY_PROJECT_ID: o ID do projeto principal.KEY_NAME: o nome da chave retornada na saída do na etapa anterior.TABLE_EXPIRATION: a vida útil padrão para os novos neste conjunto de dados, em segundos.DATASET_DESCRIPTION: uma descrição para o novo arquivo. no conjunto de dados.RESOURCE_PROJECT_ID: o ID do projeto do recurso. dentro da pasta do Autokey em que você quer criar um recurso protegido.DATASET_ID: o ID do conjunto de dados que você está criar.
Para mais informações sobre a ferramenta
bq, consulte Explorar o bq ferramenta de linha de comando.
Como usar o Autokey com recursos do Secret Manager
O Autokey cria uma única chave para proteger todos os secrets no mesmo projeto e localização. Quando a chave é alternada, os novos secrets adicionados ao projeto usam e a versão primária da chave.
O Secret Manager só é compatível com o Autokey do Cloud KMS criando recursos usando o Terraform ou a API REST.
Criar um recurso protegido do Secret Manager
Terraform
O exemplo do Terraform a seguir cria um identificador de chave e usa a chave retornada para proteger um novo secret com replicação automática:
resource "google_kms_key_handle" "my_key_handle" {
provider = google-beta
project = "RESOURCE_PROJECT_ID"
name = "test-key-handle"
location = "global"
resource_type_selector = "secretmanager.googleapis.com/Secret"
}
resource "google_secret_manager_secret" "my_secret" {
project = "RESOURCE_PROJECT_ID"
secret_id = "SECRET_ID"
replication {
auto {
customer_managed_encryption {
kms_key_name = google_kms_key_handle.my_key_handle.kms_key
}
}
}
}
Substitua:
RESOURCE_PROJECT_ID: o ID do projeto de recursos na pasta do Autokey em que você quer criar um arquivo recurso.SECRET_ID: o ID a ser usado para o novo secret.
Se você tentar criar um identificador de chave para um secret no mesmo projeto e
para o qual já existe um identificador de chave, uma mensagem de erro retorna o
do gerenciador de chaves atual. Se isso acontecer, verifique se você
ter um bloco para criar o identificador da chave. É possível reutilizar o identificador de chave usando
o ID dela (KEY_HANDLE) para criar secrets adicionais que precisam
compartilhar a chave.
API
Solicite uma nova chave do Cloud KMS criando um
KeyHandlecurl -H "Content-Type: application/json" \ -H "X-Goog-User-Project: USER_PROJECT" \ -H "Authorization: Bearer TOKEN" \ -X POST https://cloudkms.googleapis.com/v1/projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles \ -d '{"resource_type_selector": "RESOURCE_TYPE"}'Substitua:
USER_PROJECT: o projeto a ser cobrado pelas cobranças. associadas a essa solicitação.RESOURCE_PROJECT_ID: o ID do projeto do recurso. dentro da pasta do Autokey em que você quer criar um recurso protegido.LOCATION: o local onde você quer criar o recurso protegido.RESOURCE_TYPE: o tipo de recurso que você quer create, por exemplo,secretmanager.googleapis.com/Secret.
O resultado será assim:
{ "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "metadata": { "@type": "type.googleapis.com/google.cloud.kms.v1.CreateKeyHandleMetadata" } }Anote o
OPERATION_IDda saída. Você precisa disto para obter o ID do recurso da chave criada.Se você tentar criar um identificador de chave para um secret no mesmo projeto e local para os quais já existe um identificador de chave, uma mensagem de erro retorna os detalhes do identificador da chave existente. Nesse caso, pule a próxima etapa e usar o ID do recurso da chave no campo
existingKmsKeypara proteger seu novo secret.Encontre a chave do Cloud KMS associada ao identificador de chaves:
curl -H "X-Goog-User-Project: USER_PROJECT" \ -H "Authorization: Bearer TOKEN" \ -X GET https://cloudkms.googleapis.com/v1/projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_IDSubstitua:
USER_PROJECT: o projeto a ser cobrado pelas cobranças. associadas a essa solicitação.RESOURCE_PROJECT_ID: o ID do projeto do recurso. dentro da pasta do Autokey em que você quer criar um recurso protegido.LOCATION: o local onde você quer criar o recurso protegido.OPERATION_ID: o identificador da solicitação do gerenciador de chaves operação da saída da etapa anterior.
O resultado será assim:
{ "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/operations/OPERATION_ID", "done": true, "response": { "@type": "type.googleapis.com/google.cloud.kms.v1.KeyHandle", "name": "projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE", "kmsKey": "projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/autokey/cryptoKeys/KEY_NAME", "resourceTypeSelector": "RESOURCE_TYPE" } }O valor do elemento
kmsKeyna saída é o ID completo do recurso da chave criada pelo Autokey para este recurso. Você pode usar esse ID de recurso da mesma forma que você usaria o ID de recurso para qualquer outros recursos do Cloud KMS.Crie um secret criptografado com replicação automática usando o comando
gcloud secrets create, com a sinalização--kms-key-name.gcloud secrets create "SECRET_ID" \ --replication-policy "automatic" \ --kms-key-name "projects/KEY_PROJECT_ID/locations/global/keyRings/autokey/cryptoKeys/KEY_NAME" \ --project "RESOURCE_PROJECT_ID"Substitua:
SECRET_ID: o ID a ser usado para o novo secret.KEY_PROJECT_ID: o ID do projeto principal.KEY_NAME: o nome da chave retornada na saída do na etapa anterior.RESOURCE_PROJECT_ID: o ID do projeto do recurso. dentro da pasta do Autokey em que você quer criar um recurso protegido.
A seguir
- Saiba mais sobre quando usar o Autokey.
- Saiba mais sobre como o Autokey funciona.