Esta página foi traduzida pela API Cloud Translation.

Cloud External Key Manager

Esta página fornece uma visão geral do Cloud External Key Manager (Cloud EKM).

Terminologia

Gerenciador de chaves externas (EKM)

O gerenciador de chaves usado fora do Google Cloud para gerenciar suas chaves.
Gerenciador de chaves externas do Cloud (Cloud EKM)

Um serviço do Google Cloud para usar chaves externas gerenciadas em um EKM compatível.
Cloud EKM pela Internet

Uma versão do Cloud EKM em que o Google Cloud se comunica com o gerenciador de chaves externo pela Internet.
Cloud EKM por uma VPC

Uma versão do Cloud EKM em que o Google Cloud se comunica com o gerenciador de chaves externo em uma nuvem privada virtual (VPC). Para mais informações, consulte Visão geral de redes VPC.
Gerenciamento de chaves do EKM no Cloud KMS

Ao usar o Cloud EKM em uma VPC com um parceiro de gerenciamento de chaves externo compatível com o plano de controle do Cloud EKM, é possível usar o modo de gerenciamento de EKM do Cloud KMS para simplificar o processo de manutenção de chaves externas no parceiro de gerenciamento de chaves externo e no Cloud EKM. Para mais informações, consulte Chaves externas coordenadas e Gerenciamento de chaves do EKM no Cloud KMS nesta página.
Espaço criptográfico

Um contêiner para seus recursos no parceiro externo de gerenciamento de chaves. Seu espaço criptográfico é identificado por um caminho exclusivo. O formato do caminho do Crypto Space varia de acordo com o parceiro externo de gerenciamento de chaves, por exemplo, v0/cryptospaces/YOUR_UNIQUE_PATH.
EKM gerenciado pelo parceiro

Um acordo em que um parceiro confiável gerencia seu EKM. Para mais informações, consulte EKM gerenciado por parceiro nesta página.
Justificativas de acesso às chaves

Quando você usa o Cloud EKM com Justificativas de acesso às chaves, cada solicitação para o parceiro externo de gerenciamento de chaves inclui um campo que identifica o motivo de cada solicitação. É possível configurar o parceiro externo de gerenciamento de chaves para permitir ou negar solicitações com base no código de justificativas de acesso às chaves fornecido. Para mais informações sobre as Justificativas de acesso às chaves, consulte Visão geral das justificativas de acesso à chave.

Visão geral

Com o Cloud EKM, você usa chaves gerenciadas em um parceiro externo de gerenciamento de chaves com suporte para proteger os dados no Google Cloud. É possível proteger os dados em repouso em serviços de integração de CMEKs com suporte ou chamando a API Cloud Key Management Service diretamente.

O Cloud EKM oferece vários benefícios:

Proveniência da chave:você controla a localização e a distribuição das suas chaves gerenciadas externamente. As chaves gerenciadas externamente nunca são armazenadas em cache ou da maneira convencional no Google Cloud. Em vez disso, o Cloud EKM se comunica diretamente com o parceiro de gerenciamento de chaves externo para cada solicitação.
Controle de acesso:você gerencia o acesso às chaves gerenciadas externamente no gerenciador de chaves externo. Não é possível usar uma chave gerenciada externamente no Google Cloud sem conceder primeiro ao projeto do Google Cloud acesso à chave no gerenciador de chaves externo. Você pode revogar esse acesso a qualquer momento.
Gerenciamento centralizado de chaves:você pode gerenciar suas chaves e políticas de acesso em uma única interface do usuário, independentemente de os dados protegidos residirem na nuvem ou nas suas instalações.

Em todos os casos, a chave reside no sistema externo e nunca é enviada ao Google.

É possível se comunicar com o gerenciador de chaves externo pela Internet ou por uma nuvem privada virtual (VPC).

Como o Cloud EKM funciona

As versões de chave do Cloud EKM consistem nestas partes:

Material de chave externo: o material de chave externo de uma chave do Cloud EKM é um material criptográfico criado e armazenado no EKM. Esse material não sai do EKM e nunca é compartilhado com o Google.
Referência de chave: cada versão da chave do Cloud EKM contém um URI de chave ou um caminho de chave. É um identificador exclusivo do material de chave externa que o Cloud EKM usa ao solicitar operações criptográficas usando a chave.
Material de chave interno: quando uma chave simétrica do Cloud EKM é criada, o Cloud KMS cria material de chave adicional no Cloud KMS, que nunca sai dele. Esse material de chave é usado como uma camada extra de criptografia ao se comunicar com o EKM. Esse material de chave interna não se aplica a chaves de assinatura assimétricas.

Para usar suas chaves do Cloud EKM, o Cloud EKM envia solicitações de operações criptográficas para o EKM. Por exemplo, para criptografar dados com uma chave de criptografia simétrica, o Cloud EKM primeiro criptografa os dados usando o material de chave interno. Os dados criptografados são incluídos em uma solicitação para o EKM. O EKM agrupa os dados criptografados em outra camada de criptografia usando o material da chave externa e retorna o texto criptografado resultante. Os dados criptografados com uma chave do Cloud EKM não podem ser descriptografados sem o material da chave externa e o material da chave interna.

Se a sua organização tiver ativado as Justificativas de acesso às chaves, o parceiro externo de gerenciamento de chaves vai registrar a justificativa de acesso fornecida e concluir a solicitação apenas para códigos de motivo de justificativa permitidos pela política das Justificativas de acesso às chaves no parceiro externo de gerenciamento de chaves.

A criação e a gestão de chaves do Cloud EKM exigem mudanças correspondentes no Cloud KMS e no EKM. Essas mudanças correspondentes são processadas de maneira diferente para chaves externas gerenciadas manualmente e chaves externas coordenadas. Todas as chaves externas acessadas pela Internet são gerenciadas manualmente. As chaves externas acessadas em uma rede VPC podem ser gerenciadas ou coordenadas manualmente, dependendo do modo de gerenciamento do EKM via conexão VPC. O modo de gerenciamento EKM Manual é usado para chaves gerenciadas manualmente. O modo de gerenciamento do EKM do Cloud KMS é usado para chaves externas coordenadas. Para mais informações sobre os modos de gerenciamento de EKM, consulte Chaves externas gerenciadas manualmente e Chaves externas coordenadas nesta página.

O diagrama a seguir mostra como o Cloud KMS se encaixa no modelo de gerenciamento de chaves. O diagrama usa o Compute Engine e o BigQuery como exemplos. Confira também a lista completa de serviços com suporte às chaves do Cloud EKM.

Diagrama ilustrando criptografia e descriptografia com o Cloud EKM

Saiba mais sobre as considerações e as restrições ao usar o Cloud EKM.

Chaves externas gerenciadas manualmente

Esta seção fornece uma visão geral de como o Cloud EKM funciona com uma chave externa gerenciada manualmente.

Você cria ou usa uma chave em um sistema de parceiro de gerenciamento de chaves externo com suporte. Essa chave tem um URI ou caminho exclusivo.
Você concede ao seu projeto do Google Cloud acesso para usar a chave no sistema de parceiros de gerenciamento de chaves externas.
No projeto do Google Cloud, crie uma versão de chave do Cloud EKM usando o URI ou caminho da chave gerenciada externamente.
Operações de manutenção, como a rotação de chaves, precisam ser gerenciadas manualmente entre o EKM e o Cloud EKM. Por exemplo, as operações de rotação ou destruição de versões de chave precisam ser concluídas diretamente no EKM e no Cloud KMS.

No Google Cloud, a chave aparece ao lado das outras chaves do Cloud KMS e do Cloud HSM, com nível de proteção EXTERNAL ou EXTERNAL_VPC. As chaves do Cloud EKM e do parceiro de gerenciamento de chaves externas trabalham juntas para proteger seus dados. O material da chave externa nunca é exposto ao Google.

Chaves externas coordenadas

Esta seção fornece uma visão geral de como o Cloud EKM funciona com uma chave externa coordenada.

Você configura um EKM por uma conexão VPC, definindo o modo de gerenciamento do EKM como Cloud KMS. Durante a configuração, você precisa autorizar o EKM a acessar a rede VPC e a conta de serviço do projeto do Google Cloud a acessar o espaço criptográfico no EKM. A conexão do EKM usa o nome do host do EKM e um caminho de espaço criptográfico que identifica seus recursos no EKM.
Você cria uma chave externa no Cloud KMS. Quando você cria uma chave do Cloud EKM usando um EKM por conexão VPC com o modo de gerenciamento de EKM do Cloud KMS ativado, as seguintes etapas são realizadas automaticamente:
1. O Cloud EKM envia uma solicitação de criação de chave para seu EKM.
2. O EKM cria o material de chave solicitado. Esse material de chave externa permanece no EKM e nunca é enviado ao Google.
3. Seu EKM retorna um caminho de chave para o Cloud EKM.
4. O Cloud EKM cria a versão da chave usando o caminho fornecido pelo EKM.
As operações de manutenção em chaves externas coordenadas podem ser iniciadas no Cloud KMS. Por exemplo, chaves externas coordenadas usadas para criptografia simétrica podem ser alternadas automaticamente em uma programação definida. A criação de novas versões de chaves é coordenada no seu EKM pelo Cloud EKM. Também é possível acionar a criação ou destruição de versões de chaves no EKM do Cloud KMS usando o console do Google Cloud, a CLI gcloud, a API Cloud KMS ou as bibliotecas de cliente do Cloud KMS.

No Google Cloud, a chave aparece ao lado das outras chaves do Cloud KMS e do Cloud HSM, com nível de proteção EXTERNAL_VPC. As chaves do Cloud EKM e do parceiro de gerenciamento de chaves externas trabalham juntas para proteger seus dados. O material da chave externa nunca é exposto ao Google.

Gerenciamento de chaves do EKM no Cloud KMS

As chaves externas coordenadas são possíveis com o EKM por conexões VPC que usam o gerenciamento de chaves do EKM do Cloud KMS. Se o EKM oferecer suporte ao plano de controle do Cloud EKM, será possível ativar o gerenciamento de chaves do EKM no Cloud KMS para o EKM por conexões VPC para criar chaves externas coordenadas. Com o gerenciamento de chaves do EKM do Cloud KMS ativado, o Cloud EKM pode solicitar as seguintes mudanças no EKM:

Criar uma chave: quando você cria uma chave gerenciada externamente no Cloud KMS usando um EKM compatível por conexão VPC, o Cloud EKM envia a solicitação de criação de chave para o EKM. Se tiver sucesso, o EKM vai criar a nova chave e o material da chave e retornar o caminho da chave para que o Cloud EKM o use para acessar a chave.
Alternar uma chave: quando você alterna uma chave gerenciada externamente no Cloud KMS usando um EKM compatível por conexão VPC, o Cloud EKM envia sua solicitação de alternância para o EKM. Se for bem-sucedido, o EKM cria um novo material de chave e retorna o caminho da chave para que o Cloud EKM use para acessar a nova versão da chave.
Destruição de uma chave: quando você destrói uma versão de chave gerenciada externamente no Cloud KMS usando um EKM compatível pela conexão VPC, o Cloud KMS programa a versão da chave para destruição no Cloud KMS. Se a versão da chave não for restaurada antes do término do período programado para destruição, o Cloud EKM vai destruir a parte do material criptográfico da chave e enviar uma solicitação de destruição para o EKM.

Os dados criptografados com essa versão da chave não podem ser descriptografados depois que a versão for destruída no Cloud KMS, mesmo que o EKM ainda não tenha destruído a versão da chave. É possível conferir se o EKM destruiu a versão da chave com sucesso acessando os detalhes dela no Cloud KMS.

Quando as chaves no EKM são gerenciadas pelo Cloud KMS, o material de chave ainda fica no EKM. O Google não pode fazer solicitações de gerenciamento de chaves para o EKM sem permissão explícita. O Google não pode mudar as permissões ou as políticas de Justificativas de acesso às chaves no seu sistema de parceiros de gerenciamento de chaves externas. Se você revogar as permissões do Google no EKM, as operações de gerenciamento de chaves realizadas no Cloud KMS vão falhar.

Compatibilidade

Gerentes de chave compatíveis

É possível armazenar chaves externas nos seguintes sistemas de parceiros de gerenciamento de chaves externas:

Compatível hoje:
- Fortanix
- Futurex
- Thales

Serviços compatíveis com CMEK e Cloud EKM

Os serviços a seguir oferecem suporte à integração com o Cloud KMS para chaves externas (Cloud EKM):

Agent Assist
AlloyDB para PostgreSQL
Hub de APIs da Apigee
Artifact Registry
Backup para GKE
BigQuery
Bigtable
Cloud Composer
Cloud Data Fusion
API Cloud Healthcare
Cloud Logging: Dados no roteador de registro e Dados no armazenamento de registro
Cloud Run
Cloud Run functions
Cloud SQL
Cloud Storage
Cloud Tasks
Cloud Workstations
Compute Engine: Discos permanentes , Snapshots , Imagens personalizadas , e Imagens de máquina
Insights de conversa
Database Migration Service: Migrações do MySQL: dados gravados em bancos de dados , Migrações do PostgreSQL: dados gravados em bancos de dados , Migrações do PostgreSQL para o AlloyDB: dados gravados em bancos de dados , e Dados do Oracle para o PostgreSQL em repouso
Dataflow
Dataform
Dataproc: Clusters de dados do Dataproc em discos de VM e Dados do Dataproc sem servidor em discos de VM
Metastore do Dataproc
Dialogflow CX
Document AI
Eventarc Standard
Filestore
Firestore
Google Cloud Managed Service para Apache Kafka
Google Distributed Cloud
Google Kubernetes Engine: Dados em discos de VM e Secrets da camada do aplicativo
Looker (Google Cloud Core)
Memorystore para Redis
Migrate to Virtual Machines: Dados migrados de origens de VM do VMware, AWS e Azure e Dados migrados de origens de disco e imagem da máquina
Pub/Sub
Secret Manager
Gerenciador de origem segura
Spanner
Speaker ID (GA restrita)
Speech-to-Text
Vertex AI
Instâncias do Vertex AI Workbench
Workflows

Considerações

Quando você usa uma chave do Cloud EKM, o Google não tem controle sobre a disponibilidade da sua chave gerenciada externamente no sistema de parceiros de gerenciamento de chaves externas. Se você perder chaves gerenciadas fora do Google Cloud, o Google não vai poder recuperar seus dados.
Consulte as diretrizes sobre regiões e parceiros de gerenciamento de chaves externas ao escolher os locais das chaves do Cloud EKM.
Consulte o Contrato de nível de serviço (SLA) do Cloud EKM.
A comunicação com um serviço externo pela Internet pode levar a problemas de confiabilidade, disponibilidade e latência. Para aplicativos com baixa tolerância a esses tipos de risco, considere usar o Cloud HSM ou o Cloud KMS para armazenar seu material de chave.
- Se uma chave externa não estiver disponível, o Cloud KMS retornará um erro FAILED_PRECONDITION e fornecerá detalhes no detalhe do erro PreconditionFailure.
  
  Ative a geração de registros de auditoria de dados para manter um registro de todos os erros relacionados ao Cloud EKM. As mensagens de erro contêm informações detalhadas para ajudar a identificar a origem do erro. Um exemplo de erro comum é quando um parceiro de gerenciamento de chaves externo não responde a uma solicitação dentro de um prazo razoável.
- Você precisa de um contrato de suporte com o parceiro externo de gerenciamento de chaves. O suporte do Google Cloud só pode ajudar com problemas nos serviços do Google Cloud e não pode ajudar diretamente com problemas em sistemas externos. Às vezes, é necessário trabalhar com o suporte em ambos os lados para resolver problemas de interoperabilidade.
O Cloud EKM pode ser usado com o HSM de rack para Bare Metal para criar uma solução de HSM de locatário único integrada ao Cloud KMS. Para saber mais, escolha um parceiro do Cloud EKM compatível com HSMs de locatário único e consulte os requisitos para HSMs Bare Metal Rack.
Ative o registro de auditoria no gerenciador de chaves externo para capturar o acesso e o uso das chaves do EKM.

Atenção: ao usar chaves do Cloud EKM pela Internet, há o risco de que a chave fique indisponível. Dependendo dos serviços que você está usando, isso pode causar erros fatais ou dados inacessíveis. Por exemplo, se você usar uma chave CMEK externa para criptografar segredos da camada do aplicativo do Google Kubernetes Engine, seus nós poderão ficar indisponíveis se não conseguirem descriptografar os segredos. A incapacidade de acessar a chave externa também pode causar a perda permanente de dados. Por exemplo, se a chave CMEK usada para criptografar um banco de dados do Spanner permanecer indisponível por mais de 30 dias consecutivos, o Spanner exclui automaticamente o banco de dados. Quando a versão atual da chave não está disponível, não é possível recuperar os dados girando para uma nova versão da chave. Para maior disponibilidade, considere usar o Cloud EKM em vez de chaves VPC ou Cloud HSM.

Restrições

A rotação automática não é compatível.
Quando você cria uma chave do Cloud EKM usando a API ou a Google Cloud CLI, ela não pode ter uma versão de chave inicial. Isso não se aplica às chaves do Cloud EKM criadas usando o console do Google Cloud.
As operações do Cloud EKM estão sujeitas a cotas específicas, além das cotas nas operações do Cloud KMS.

Chaves de criptografia simétrica

As chaves de criptografia simétricas têm suporte apenas para os seguintes itens:
- Chaves de criptografia gerenciadas pelo cliente (CMEKs) em serviços de integração com suporte.
- Criptografia e descriptografia simétricas usando o Cloud KMS diretamente.
Os dados criptografados pelo Cloud EKM usando uma chave gerenciada externamente não podem ser descriptografados sem usar o Cloud EKM.

Chaves de assinatura assimétricas

As chaves de assinatura assimétricas são limitadas a um subconjunto de algoritmos do Cloud KMS.
As chaves de assinatura assimétricas só têm suporte para os seguintes casos de uso:
- Assinatura assimétrica usando o Cloud KMS diretamente.
- Chave de assinatura personalizada com Aprovação de acesso.
Depois que um algoritmo de assinatura assimétrica é definido em uma chave do Cloud EKM, ele não pode ser modificado.
A assinatura precisa ser feita no campo data.

Principais gerentes e regiões externas

O Cloud EKM precisa ser capaz de acessar suas chaves rapidamente para evitar um erro. Ao criar uma chave do Cloud EKM, escolha um local do Google Cloud que esteja geograficamente perto do local da chave do parceiro de gerenciamento externo. Consulte a documentação do seu parceiro de gerenciamento de chaves externo para determinar os locais compatíveis.

Cloud EKM pela Internet: disponível na maioria dos locais do Google Cloud em que o Cloud KMS está disponível, incluindo locais regionais e multirregionais.
Cloud EKM por uma VPC: disponível na maioria dos locais regionais em que o Cloud KMS está disponível. O Cloud EKM por uma VPC não está disponível em locais multirregionais.

Alguns locais, incluindo global e nam-eur-asia1, não estão disponíveis para o EKM do Cloud. Para saber quais locais oferecem suporte ao Cloud EKM, consulte Locais do Cloud KMS.

Uso multirregional

Quando você usa uma chave gerenciada externamente com uma multirregião, os metadados da chave estão disponíveis em vários data centers na multirregião. Esses metadados incluem as informações necessárias para se comunicar com o parceiro de gerenciamento de chaves externas. Se o aplicativo falhar de um data center para outro na multirregião, o novo data center vai iniciar solicitações de chave. O novo data center pode ter características de rede diferentes do anterior, incluindo a distância do parceiro de gerenciamento de chaves externo e a probabilidade de tempos limite. Recomendamos o uso de uma multirregião com o Cloud EKM somente se o gerenciador de chaves externo escolhido oferecer baixa latência para todas as áreas dessa multirregião.

EKM gerenciado pelo parceiro

O EKM gerenciado por parceiros permite usar o Cloud EKM por um parceiro soberano confiável que gerencia o sistema de EKM para você. Com o EKM gerenciado pelo parceiro, seu parceiro cria e gerencia as chaves que você usa no Cloud EKM. O parceiro garante que o EKM atenda aos requisitos de soberania.

Quando você faz a integração com seu parceiro soberano, ele provisiona recursos no Google Cloud e no EKM. Esses recursos incluem um projeto do Cloud KMS para gerenciar as chaves do Cloud EKM e um EKM por uma conexão da VPC configurada para o gerenciamento de chaves do EKM no Cloud KMS. O parceiro cria recursos em locais do Google Cloud de acordo com seus requisitos de residência de dados.

Cada chave do Cloud EKM inclui metadados do Cloud KMS, que permitem que o Cloud EKM envie solicitações para o EKM para realizar operações criptográficas usando o material de chave externa que nunca sai do EKM. As chaves simétricas do EKM do Cloud também incluem material de chave interno do Cloud KMS que nunca sai do Google Cloud. Para mais informações sobre os lados interno e externo das chaves do Cloud EKM, consulte Como o Cloud EKM funciona nesta página.

Para mais informações sobre o EKM gerenciado pelo parceiro, consulte Configurar o Cloud KMS gerenciado pelo parceiro.

Monitorar o uso do Cloud EKM

Você pode usar o Cloud Monitoring para monitorar sua conexão de EKM. As métricas a seguir podem ajudar você a entender o uso do EKM:

cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count

Para mais informações sobre essas métricas, consulte Métricas do Cloud KMS. Você pode criar um painel para acompanhar essas métricas. Para saber como configurar um painel para monitorar sua conexão de EKM, consulte Monitorar o uso do EKM.

Como receber suporte

Se você tiver um problema com o Cloud EKM, entre em contato com o suporte.

A seguir

Configure o Cloud EKM pela Internet.
Crie uma conexão de EKM para usar o EKM pela VPC.
Comece a usar a API.
Leia a Referência da API do Cloud KMS.
Saiba mais sobre a geração de registros no Cloud KMS. A geração de registros é baseada em operações e se aplica a chaves com níveis de proteção de HSM e software.
Consulte Arquiteturas de referência para implantação confiável dos serviços do Cloud EKM para ver recomendações sobre como configurar uma implantação de serviço de Gerenciador de chaves externo (EKM) integrada ao Cloud EKM.