Gerenciador de chaves externas do Cloud

Neste tópico, você encontra uma visão geral do Cloud External Key Manager (Cloud EKM). Para criar e gerenciar chaves externas, consulte Como gerenciar chaves do Cloud EKM.

Visão geral

Com o Cloud EKM, você pode usar chaves gerenciadas em um parceiro externo de gerenciamento de chaves para proteger os dados no Google Cloud. Você pode proteger os dados em repouso em serviços de integração de CMEKs compatíveis ou chamando a API Cloud Key Management Service diretamente.

O Cloud EKM oferece vários benefícios:

  • Proveniência da chave: você controla a localização e a distribuição das suas chaves gerenciadas externamente. As chaves gerenciadas externamente nunca são armazenadas em cache ou da maneira convencional no Google Cloud. Em vez disso, o Cloud EKM se comunica diretamente com o parceiro de gerenciamento de chaves externo para cada solicitação.

  • Controle de acesso: você gerencia o acesso às chaves gerenciadas externamente. Antes de usar uma chave gerenciada externamente para criptografar ou descriptografar dados no Google Cloud, você precisa conceder ao projeto do Google Cloud acesso para usar a chave. Você pode revogar esse acesso a qualquer momento.

  • Gerenciamento centralizado de chaves: você pode gerenciar suas chaves e políticas de acesso em um único local e interface do usuário, independentemente de os dados protegidos residirem na nuvem ou nas suas instalações.

Em todos os casos, a chave reside no sistema externo e nunca é enviada ao Google.

Gerentes de chave compatíveis

É possível armazenar chaves externas nos seguintes sistemas de parceiros de gerenciamento de chaves externas:

Serviços de integração do CMEK compatíveis

Como funciona

Nesta seção, fornecemos uma visão geral de como o Cloud EKM funciona com uma chave externa. Você também pode seguir as instruções passo a passo para criar uma chave do Cloud EKM.

  1. Primeiro, crie ou use uma chave existente em um sistema de parceiro de gerenciamento de chave externo compatível. Essa chave tem um URI exclusivo.
  2. Em seguida, conceda ao seu projeto do Google Cloud acesso para usar a chave, no sistema de parceiros de gerenciamento de chaves externas.
  3. No projeto do Google Cloud, crie uma chave do Cloud EKM usando o URI da chave gerenciada externamente.

No Google Cloud, a chave aparece ao lado das outras chaves do Cloud KMS e do Cloud HSM, com nível de proteção EXTERNAL. As chaves do Cloud EKM e do parceiro de gerenciamento de chaves externas trabalham juntas para proteger seus dados. A chave externa nunca é exposta ao Google.

O diagrama a seguir mostra como o Cloud KMS se encaixa no modelo de gerenciamento de chaves. (Usando o Compute Engine e o BigQuery como dois exemplos, consulte a lista completa de serviços compatíveis aqui.)

Diagrama ilustrando criptografia e descriptografia com o Cloud EKM

Saiba mais sobre as considerações e as restrições ao usar o Cloud EKM.

Considerações

  • Quando você usa uma chave do Cloud EKM, o Google não tem controle sobre a disponibilidade da sua chave gerenciada externamente no sistema de parceiros de gerenciamento de chaves externas. O Google não poderá recuperar seus dados se você perder chaves gerenciadas fora do Google Cloud.

  • Consulte as diretrizes sobre regiões e parceiros de gerenciamento de chaves externas ao escolher os locais das chaves do Cloud EKM.

  • Consulte o Contrato de nível de serviço (SLA) do Cloud EKM.

  • A comunicação com um serviço externo pela Internet pode levar a problemas de confiabilidade, disponibilidade e latência. Para aplicativos com baixa tolerância a esses tipos de risco, considere usar o Cloud HSM ou o Cloud KMS para armazenar seu material de chave.

    • Se uma chave externa não estiver disponível, o Cloud KMS retornará um erro FAILED_PRECONDITION e fornecerá detalhes no detalhe do erro PreconditionFailure.

      Ative a geração de registros de auditoria de dados para manter um registro de todos os erros relacionados ao Cloud EKM. As mensagens de erro contêm informações detalhadas para ajudar a identificar a origem do erro. Um exemplo de erro comum é quando um parceiro de gerenciamento de chaves externo não responde a uma solicitação dentro de um prazo razoável.

    • Você precisa de um contrato de suporte com o parceiro externo de gerenciamento de chaves. O suporte do Google Cloud só pode fornecer auxílio para problemas nos serviços do Google Cloud e não pode ajudar diretamente com problemas em sistemas externos. Talvez seja necessário trabalhar com o suporte em ambos os lados para solucionar problemas de interoperabilidade.

  • O Cloud EKM pode ser usado com o HSM particular hospedado para criar uma solução de HSM de locatário único integrada ao Cloud KMS. Escolha um parceiro do Cloud EKM compatível com HSMs de locatário único e analise os requisitos em HSM particular hospedado para saber mais.

Restrições

  • Somente chaves de criptografia simétrica são compatíveis e somente para o seguinte:
  • Os dados criptografados pelo Cloud EKM usando uma chave gerenciada externamente não podem ser descriptografados sem usar o Cloud EKM.
  • A rotação automática não é compatível.
  • Quando você cria uma chave do Cloud EKM usando a API ou a ferramenta de linha de comando gcloud, ela não pode ter uma versão da chave inicial. Isso não se aplica às chaves do Cloud EKM criadas usando o Console do Cloud.
  • As operações do Cloud EKM estão sujeitas a cotas específicas, além das cotas nas operações do Cloud KMS.

Principais gerentes e regiões externas

O Cloud EKM precisa ser capaz de acessar suas chaves rapidamente para evitar um erro. Ao criar uma chave do Cloud EKM, escolha um local do Google Cloud que esteja geograficamente perto do local da chave do parceiro de gerenciamento externo. Consulte a documentação do parceiro para detalhes sobre a disponibilidade desse local.

Você pode usar o Cloud EKM em qualquer local do Google Cloud compatível com o Cloud KMS, exceto global.

Consulte a documentação do seu parceiro de gerenciamento de chaves externo para determinar os locais compatíveis.

Uso multirregional

Quando você usa uma chave gerenciada externamente com uma multirregião, os metadados da chave, incluindo as informações necessárias para se comunicar com o parceiro de gerenciamento de chaves externas, estão disponíveis em vários data centers. Se o aplicativo fizer o failover de um data center para outro na multirregião, o novo data center iniciará solicitações de chave. O novo data center pode ter características de rede diferentes do anterior, incluindo a distância do parceiro de gerenciamento de chaves externo e a probabilidade de tempos limite. Recomendamos o uso de multirregiões com o Cloud EKM somente se o parceiro de gerenciamento de chave externo fornecer um nível de cobertura que corresponda à cobertura das multirregiões disponíveis do Cloud EKM.

Adições de API para o Cloud EKM

Para oferecer suporte ao Cloud EKM, as seguintes alterações foram feitas na API Cloud Key Management Service:

A seguir