Esta página foi traduzida pela API Cloud Translation.

Cloud External Key Manager

Neste tópico, você encontra uma visão geral do Cloud External Key Manager (Cloud EKM).

Terminologia

Gerenciador de chaves externas (EKM)

O gerenciador de chaves usado fora do Google Cloud para gerenciar suas chaves.
Gerenciador de chaves externas do Cloud (Cloud EKM)

Um serviço do Google Cloud para usar chaves externas gerenciadas em um EKM compatível.
Cloud EKM pela Internet

Uma versão do Cloud EKM em que o Google Cloud se comunica com o gerenciador de chaves externo pela Internet.
Cloud EKM por uma VPC

Uma versão do Cloud EKM em que o Google Cloud se comunica com o gerenciador de chaves externo por uma nuvem privada virtual (VPC). Para mais informações, consulte Visão geral de redes VPC.
Gerenciamento de chaves EKM pelo Cloud KMS

Ao usar o Cloud EKM por meio de uma VPC com um parceiro externo de gerenciamento de chaves que oferece suporte ao plano de controle do Cloud EKM, é possível usar o modo de gerenciamento de EKM do Cloud KMS para simplificar o processo de manutenção de chaves externas no parceiro de gerenciamento de chaves externo e no Cloud EKM. Para mais informações, consulte Chaves externas coordenadas e Gerenciamento de chaves EKM do Cloud KMS nesta página.
Espaço criptográfico

Um contêiner para seus recursos no parceiro de gerenciamento de chaves externo. Seu espaço criptográfico é identificado por um caminho exclusivo. O formato do caminho do espaço criptográfico varia de acordo com o parceiro de gerenciamento de chaves externo, por exemplo, v0/cryptospaces/YOUR_UNIQUE_PATH.
EKM gerenciado por parceiro

Um acordo em que seu EKM é gerenciado para você por um parceiro confiável. Para mais informações, consulte EKM gerenciado por parceiro nesta página.
Justificativas de acesso às chaves

Quando você usa o Cloud EKM com Justificativas de acesso às chaves, cada solicitação ao parceiro externo de gerenciamento de chaves inclui um campo que identifica o motivo. É possível configurar o parceiro externo de gerenciamento de chaves para permitir ou negar solicitações com base no código de justificativas de acesso às chaves fornecido. Para saber mais, consulte Visão geral das justificativas de acesso às chaves.

Visão geral

Com o Cloud EKM, é possível usar chaves gerenciadas em um parceiro de gerenciamento de chaves externo compatível para proteger dados no Google Cloud. É possível proteger os dados em repouso nos serviços de integração com CMEK com suporte ou chamando a API Cloud Key Management Service diretamente.

O Cloud EKM oferece vários benefícios.

Procedência da chave:você controla a localização e a distribuição das chaves gerenciadas externamente. As chaves gerenciadas externamente nunca são armazenadas em cache ou no Google Cloud. Em vez disso, o Cloud EKM se comunica diretamente com o parceiro de gerenciamento de chaves externo para cada solicitação.
Controle de acesso: você gerencia o acesso às chaves gerenciadas externamente no gerenciador de chaves externo. Não é possível usar uma chave gerenciada externamente no Google Cloud sem antes conceder ao projeto do Google Cloud acesso à chave no gerenciador externo. É possível revogar esse acesso a qualquer momento.
Gerenciamento centralizado de chaves: é possível gerenciar suas chaves e políticas de acesso em uma única interface do usuário, não importa se os dados protegidos estão na nuvem ou no local.

Em todos os casos, a chave reside no sistema externo e nunca é enviada ao Google.

É possível se comunicar com o gerenciador de chaves externo pela Internet ou por uma nuvem privada virtual (VPC).

Como o Cloud EKM funciona

As versões de chave do Cloud EKM consistem nestas partes:

Material da chave externa: o material da chave externa de uma chave do Cloud EKM é o material criptográfico criado e armazenado no EKM. Esse material não sai do EKM e nunca é compartilhado com o Google.
Referência de chave: cada versão de chave do Cloud EKM contém um URI ou um caminho de chave. Esse é um identificador exclusivo do material da chave externa que o Cloud EKM usa ao solicitar operações criptográficas com a chave.
Material interno da chave: quando uma chave simétrica do Cloud EKM é criada, o Cloud KMS cria material extra de chave no Cloud KMS, que nunca sai do Cloud KMS. Esse material de chave é usado como uma camada extra de criptografia ao se comunicar com o EKM. Esse material de chave interno não se aplica a chaves de assinatura assimétricas.

Para usar as chaves do Cloud EKM, ele envia solicitações de operações criptográficas para seu EKM. Por exemplo, para criptografar dados com uma chave de criptografia simétrica, o Cloud EKM primeiro criptografa os dados usando o material da chave interna. Os dados criptografados são incluídos em uma solicitação ao EKM. O EKM une os dados criptografados em outra camada de criptografia usando o material da chave externa e retorna o texto criptografado resultante. Os dados criptografados com uma chave do Cloud EKM não podem ser descriptografados sem o material da chave externa e o material da chave interno.

Se a organização tiver ativado as Justificativas de acesso às chaves, o parceiro externo de gerenciamento de chaves vai registrar a justificativa fornecida e concluir a solicitação apenas para os códigos de motivo da justificativa permitidos pela política correspondente no parceiro de gerenciamento de chaves externo.

A criação e o gerenciamento de chaves do Cloud EKM exigem alterações correspondentes no Cloud KMS e no EKM. Essas alterações correspondentes são tratadas de maneira diferente para chaves externas gerenciadas manualmente e para chaves externas coordenadas. Todas as chaves externas acessadas pela Internet são gerenciadas manualmente. As chaves externas acessadas por uma rede VPC podem ser gerenciadas ou coordenadas manualmente, dependendo do modo de gerenciamento do EKM via conexão VPC. O modo de gerenciamento de EKM manual é usado para chaves gerenciadas manualmente. O modo de gerenciamento EKM do Cloud KMS é usado para chaves externas coordenadas. Para mais informações sobre os modos de gerenciamento de EKM, consulte Chaves externas gerenciadas manualmente e Chaves externas coordenadas nesta página.

O diagrama a seguir mostra como o Cloud KMS se encaixa no modelo de gerenciamento de chaves. Este diagrama usa o Compute Engine e o BigQuery como exemplos. Confira também a lista completa de serviços compatíveis com as chaves do Cloud EKM.

Diagrama ilustrando criptografia e descriptografia com o Cloud EKM

Saiba mais sobre as considerações e as restrições ao usar o Cloud EKM.

Chaves externas gerenciadas manualmente

Nesta seção, fornecemos uma visão geral ampla de como o Cloud EKM funciona com uma chave externa gerenciada manualmente.

Você cria ou usa uma chave atual em um sistema de parceiro de gerenciamento de chaves externo compatível. Essa chave tem um URI ou caminho exclusivo.
Você concede ao seu projeto do Google Cloud acesso para usar a chave no sistema do parceiro de gerenciamento de chaves externas.
No projeto do Google Cloud, crie uma versão de chave do Cloud EKM usando o URI ou caminho da chave gerenciada externamente.
Operações de manutenção, como a rotação de chaves, precisam ser gerenciadas manualmente entre o EKM e o Cloud EKM. Por exemplo, as operações de rotação ou destruição de versão de chave precisam ser concluídas diretamente no EKM e no Cloud KMS.

No Google Cloud, a chave aparece ao lado das outras chaves do Cloud KMS e do Cloud HSM, com nível de proteção EXTERNAL ou EXTERNAL_VPC. As chaves do Cloud EKM e do parceiro de gerenciamento de chaves externas trabalham juntas para proteger seus dados. O material da chave externa nunca é exposto ao Google.

Chaves externas coordenadas

Nesta seção, você terá uma visão geral de como o Cloud EKM funciona com uma chave externa coordenada.

Você configura um EKM via conexão VPC, definindo o modo de gerenciamento de EKM como Cloud KMS. Durante a configuração, você precisa autorizar o EKM a acessar a rede VPC e autorizar a conta de serviço do projeto do Google Cloud a acessar o espaço criptográfico no eKM. A conexão EKM usa o nome do host do EKM e um caminho do espaço criptográfico que identifica os recursos no EKM.
Crie uma chave externa no Cloud KMS. Quando você cria uma chave do Cloud EKM usando um EKM via conexão VPC com o modo de gerenciamento de EKM do Cloud KMS ativado, as seguintes etapas ocorrem automaticamente:
1. O Cloud EKM envia uma solicitação de criação de chave para o EKM.
2. O EKM cria o material de chave solicitado. Esse material de chave externo permanece no EKM e nunca é enviado ao Google.
3. O EKM retorna um caminho de chave para o Cloud EKM.
4. O Cloud EKM cria a versão da chave usando o caminho de chave fornecido pelo EKM.
As operações de manutenção em chaves externas coordenadas podem ser iniciadas a partir do Cloud KMS. Por exemplo, as chaves externas coordenadas usadas para criptografia simétrica podem ser alternadas automaticamente em uma programação definida. A criação de novas versões de chave é coordenada no EKM pelo Cloud EKM. Também é possível acionar a criação ou a destruição de versões de chave no EKM pelo Cloud KMS usando o console do Google Cloud, a CLI gcloud, a API Cloud KMS ou as bibliotecas de cliente do Cloud KMS.

No Google Cloud, a chave aparece ao lado das outras chaves do Cloud KMS e do Cloud HSM, com nível de proteção EXTERNAL_VPC. As chaves do Cloud EKM e do parceiro trabalham juntas para proteger seus dados. O material da chave externa nunca é exposto ao Google.

Gerenciamento de chaves do EKM pelo Cloud KMS

As chaves externas coordenadas são possibilitadas pelo EKM por conexões VPC que usam o gerenciamento de chaves EKM do Cloud KMS. Se o EKM oferecer suporte ao plano de controle do Cloud EKM, será possível ativar o gerenciamento de chaves do EKM do Cloud KMS para o EKM usando conexões VPC para criar chaves externas coordenadas. Com o gerenciamento de chaves do EKM pelo Cloud KMS ativado, o Cloud EKM pode solicitar as seguintes alterações no EKM:

Criar uma chave: quando você cria uma chave gerenciada externamente no Cloud KMS usando um EKM compatível via conexão VPC, o Cloud EKM envia a solicitação de criação de chave para o EKM. Quando bem-sucedido, o EKM cria a chave e o material da chave e retorna o caminho que será usado pelo Cloud EKM para acessar a chave.
Alternar uma chave: quando você alterna uma chave gerenciada externamente no Cloud KMS usando um EKM compatível via conexão VPC, o Cloud EKM envia a solicitação de rotação para o EKM. Quando bem-sucedido, o EKM cria um novo material de chave e retorna o caminho que o Cloud EKM usará para acessar a nova versão da chave.
Destruir uma chave: quando você destrói a versão de uma chave gerenciada externamente no Cloud KMS usando um EKM compatível via conexão VPC, o Cloud KMS programa a destruição da versão da chave no Cloud KMS. Se a versão da chave não for restaurada antes do término do período programado para destruição, o Cloud EKM vai destruir a parte do material criptográfico da chave e enviar uma solicitação de destruição ao EKM.

Os dados criptografados com essa versão da chave não podem ser descriptografados depois que ela for destruída no Cloud KMS, mesmo que o EKM ainda não tenha destruído a versão da chave. É possível ver se o EKM destruiu com êxito a versão da chave visualizando os detalhes da chave no Cloud KMS.

Quando as chaves no EKM são gerenciadas no Cloud KMS, o material da chave ainda reside no EKM. O Google não pode fazer nenhuma solicitação de gerenciamento de chaves ao EKM sem permissão explícita. O Google não pode mudar as permissões ou as políticas de justificativas de acesso às chaves no sistema do parceiro de gerenciamento de chaves externo. Se você revogar as permissões do Google no EKM, as operações de gerenciamento de chaves no Cloud KMS falharão.

Compatibilidade

Gerentes de chave compatíveis

É possível armazenar chaves externas nos seguintes sistemas de parceiros de gerenciamento de chaves externas:

Compatível atualmente:
- Fortanix
- Futurex (em inglês)
- Thales
- Virtru

Serviços compatíveis com CMEK com o Cloud EKM

Os seguintes serviços oferecem suporte à integração com o Cloud KMS para chaves externas (Cloud EKM):

AlloyDB para PostgreSQL
Artifact Registry
Backup para GKE
BigQuery
Bigtable
Cloud Composer
Cloud Data Fusion
Cloud Functions
Cloud Logging: Dados no roteador de registros e Dados no armazenamento do Logging
Cloud Run
Cloud SQL
Cloud Storage
Cloud Tasks
Cloud Workstations
Compute Engine: Discos permanentes, Snapshots, Imagens personalizadas, e Imagens de máquina
Contact Center AI Insights
Database Migration Service: migrações do MySQL – dados gravados em bancos de dados , Migrações do PostgreSQL: dados gravados em bancos de dados , Migrações do PostgreSQL para AlloyDB – Dados gravados em bancos de dados , e dados da Oracle para PostgreSQL em repouso
Dataflow
Dataproc: dados dos clusters do Dataproc em discos da VM e dados sem servidor do Dataproc em discos da VM
Dataproc Metastore
Dialogflow CX
Document AI
Eventarc
Filestore
Firestore (pré-lançamento)
Google Distributed Cloud Edge
Google Kubernetes Engine: dados em discos de VM e secrets da camada de aplicativos
Looker (Google Cloud Core)
Memorystore para Redis
Migrate to Virtual Machines
Pub/Sub
Secret Manager
Gerenciador de origem segura
Spanner
Speaker ID (GA restrita)
Speech-to-Text
Vertex AI
Instâncias do Vertex AI Workbench
Workflows

Considerações

Quando você usa uma chave do Cloud EKM, o Google não tem controle sobre a disponibilidade da sua chave gerenciada externamente no sistema do parceiro de gerenciamento de chaves externas. Se você perder as chaves gerenciadas fora do Google Cloud, o Google não poderá recuperar seus dados.
Consulte as diretrizes sobre regiões e parceiros de gerenciamento de chaves externas ao escolher os locais das chaves do Cloud EKM.
Consulte o Contrato de nível de serviço (SLA) do Cloud EKM.
A comunicação com um serviço externo pela Internet pode levar a problemas de confiabilidade, disponibilidade e latência. Para aplicativos com baixa tolerância a esses tipos de riscos, considere usar o Cloud HSM ou o Cloud KMS para armazenar o material da chave.
- Se uma chave externa não estiver disponível, o Cloud KMS retornará um erro FAILED_PRECONDITION e fornecerá detalhes no detalhe do erro PreconditionFailure.
  
  Ative a geração de registros de auditoria de dados para manter um registro de todos os erros relacionados ao Cloud EKM. As mensagens de erro contêm informações detalhadas para ajudar a identificar a origem do erro. Um exemplo de erro comum é quando um parceiro externo de gerenciamento de chaves não responde a uma solicitação dentro de um período razoável.
- Você precisa de um contrato de suporte com o parceiro externo de gerenciamento de chaves. O suporte do Google Cloud só pode ajudar com problemas nos serviços do Google Cloud e não pode ajudar diretamente com problemas em sistemas externos. Às vezes, é preciso trabalhar com o suporte de ambos os lados para solucionar problemas de interoperabilidade.
O Cloud EKM pode ser usado com o Bare Metal Rack HSM para criar uma solução de HSM de locatário único integrada ao Cloud KMS. Para saber mais, escolha um parceiro do Cloud EKM que ofereça suporte a HSMs de locatário único e revise os requisitos para HSMs de rack Bare Metal.
Ative a geração de registros de auditoria no gerenciador de chaves externo para capturar o acesso e o uso das chaves EKM.

Cuidado: quando você usa chaves do Cloud EKM pela Internet, há o risco de que a chave fique indisponível. Dependendo dos serviços que você usa, isso pode causar erros fatais ou dados inacessíveis. Por exemplo, se você usar uma chave CMEK externa para criptografar secrets da camada de aplicativo do Google Kubernetes Engine, seus nós poderão ficar indisponíveis se não conseguir descriptografar os secrets. A incapacidade de acessar a chave externa também pode causar perda permanente de dados. Por exemplo, se a chave CMEK usada para criptografar um banco de dados do Spanner permanecer indisponível por mais de 30 dias consecutivos, ele excluirá o banco de dados automaticamente. Quando a versão da chave atual não está disponível, não é possível recuperar os dados alternando para uma nova versão de chave. Para melhorar a disponibilidade, use o Cloud EKM sobre chaves VPC ou do Cloud HSM.

Restrições

A rotação automática não é compatível.
Quando você cria uma chave do Cloud EKM usando a API ou a Google Cloud CLI, ela não pode ter uma versão inicial da chave. Isso não se aplica às chaves do Cloud EKM criadas usando o console do Google Cloud.
As operações do Cloud EKM estão sujeitas a cotas específicas, além das cotas nas operações do Cloud KMS.

Chaves de criptografia simétricas

Chaves de criptografia simétrica são compatíveis apenas com o seguinte:
- Chaves de criptografia gerenciadas pelo cliente (CMEKs) em serviços de integração compatíveis.
- Criptografia e descriptografia simétricas usando o Cloud KMS diretamente.
Os dados criptografados pelo Cloud EKM usando uma chave gerenciada externamente não podem ser descriptografados sem o uso do Cloud EKM.

Chaves de assinatura assimétricas

As chaves de assinatura assimétricas são limitadas a um subconjunto de algoritmos do Cloud KMS.
Chaves de assinatura assimétricas são compatíveis apenas com:
- Assinatura assimétrica usando diretamente o Cloud KMS.
- Chave de assinatura personalizada com o Access Approval.
Depois que um algoritmo de assinatura assimétrica é definido em uma chave do Cloud EKM, ele não pode ser modificado.
A assinatura precisa ser feita no campo data.

Principais gerentes e regiões externas

O Cloud EKM precisa ser capaz de acessar suas chaves rapidamente para evitar um erro. Ao criar uma chave do Cloud EKM, escolha um local do Google Cloud que esteja geograficamente perto do local da chave do parceiro de gerenciamento externo. Consulte a documentação do parceiro para detalhes sobre a disponibilidade desse local.

Cloud EKM pela Internet: disponível em qualquer local do Google Cloud compatível com o Cloud KMS, exceto global e nam-eur-asia1.
Cloud EKM via VPC: disponível apenas em locais regionais compatíveis com o Cloud KMS

Consulte a documentação do seu parceiro de gerenciamento de chaves externo para determinar os locais compatíveis.

Uso multirregional

Quando você usa uma chave gerenciada externamente com uma multirregião, os metadados da chave ficam disponíveis em vários data centers dentro dessa multirregião. Esses metadados incluem as informações necessárias para se comunicar com o parceiro externo de gerenciamento de chaves. Se o aplicativo fizer failover de um data center para outro dentro da multirregião, o novo data center iniciará as principais solicitações. O novo data center pode ter características de rede diferentes do antigo, incluindo a distância do parceiro de gerenciamento de chaves externo e a probabilidade de tempos limite. Recomendamos o uso de uma multirregião com o Cloud EKM apenas se o gerenciador de chaves externo escolhido fornecer baixa latência para todas as áreas dessa multirregião.

EKM gerenciado por parceiro

O EKM gerenciado por parceiro permite usar o Cloud EKM por meio de um parceiro soberano confiável que gerencia seu sistema EKM para você. Com o EKM gerenciado por parceiro, seu parceiro cria e gerencia as chaves que você usa no Cloud EKM. O parceiro garante que o EKM atenda aos requisitos de soberania.

Quando você faz a integração com seu parceiro soberano, ele provisiona recursos no Google Cloud e no seu EKM. Esses recursos incluem um projeto do Cloud KMS para gerenciar as chaves do Cloud EKM e um EKM via conexão VPC configurado para o gerenciamento de chaves EKM do Cloud KMS. Seu parceiro cria recursos em locais do Google Cloud de acordo com seus requisitos de residência de dados.

Cada chave do Cloud EKM inclui metadados do Cloud KMS, o que permite que o Cloud EKM envie solicitações ao EKM para executar operações criptográficas usando o material da chave externa que nunca sai do EKM. As chaves simétricas do Cloud EKM também incluem material de chave interna do Cloud KMS que nunca sai do Google Cloud. Para mais informações sobre os lados interno e externo das chaves do Cloud EKM, consulte Como o Cloud EKM funciona nesta página.

Para mais informações sobre o EKM gerenciado por parceiro, consulte Configurar o Cloud KMS gerenciado por parceiro.

Monitorar o uso do Cloud EKM

É possível usar o Cloud Monitoring para monitorar sua conexão EKM. As métricas a seguir podem ajudar a entender o uso do EKM:

cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count

Para mais informações sobre essas métricas, consulte Métricas do cloudkms. É possível criar um painel para acompanhar essas métricas. Para saber como configurar um painel para monitorar a conexão do EKM, consulte Monitorar o uso do EKM.

Como receber suporte

Se você tiver um problema com o Cloud EKM, entre em contato com o suporte.

A seguir

Configure o Cloud EKM pela Internet.
Crie uma conexão do EKM para usar o EKM via VPC.
Comece a usar a API.
Leia a Referência da API Cloud KMS.
Saiba mais sobre a geração de registros no Cloud KMS. A geração de registros é baseada em operações e se aplica a chaves com níveis de proteção de HSM e software.
Consulte Arquiteturas de referência para implantação confiável de serviços do Cloud EKM para ver recomendações sobre como configurar uma implantação de serviço Gerenciador de chaves externo (EKM, na sigla em inglês) integrada ao Cloud EKM.