Nesta página, mostramos como ativar e configurar o Autokey do Cloud KMS em uma pasta de recursos. Para saber mais sobre o Autokey, consulte Visão geral do Autokey. As etapas descritas nesta página devem ser concluídas por um administrador de segurança.
Antes de começar
Antes de ativar o Autokey do Cloud KMS, você precisa ter:
- Um recurso da organização que contém uma pasta em que você quer ativar o Autokey. Se você não tiver uma pasta em que queira ativar o Autokey, crie uma nova pasta de recursos. Ativar o Autokey nesta pasta ativa o Autokey para todos os projetos de recursos dentro da pasta.
- Se você tiver projetos de recursos em que queira usar o Autokey, mas não estiverem dentro de uma pasta em que o Autokey será ativado, mova os projetos de recursos existentes para novas pastas.
Funções exigidas
Para receber as permissões necessárias para ativar e configurar o Autokey, peça ao administrador para conceder a você os seguintes papéis do IAM na organização ou na pasta:
-
Administrador do Autokey do Cloud KMS (
roles/cloudkms.autokeyAdmin
) -
Administrador de IAM de pastas (
roles/resourcemanager.folderIamAdmin
) -
Usuário da conta de faturamento (
roles/billing.user
)
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
Esses papéis predefinidos contêm as permissões necessárias para ativar e configurar o Autokey. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As seguintes permissões são necessárias para ativar e configurar o Autokey:
-
cloudkms.autokeyConfigs.*
-
cloudkms.projects.showEffectiveAutokeyConfig
-
resourcemanager.folders.get
-
resourcemanager.folders.getIamPolicy
-
resourcemanager.folders.setIamPolicy
-
billing.resourceAssociations.create
Também é possível receber essas permissões com papéis personalizados ou outros papéis predefinidos.
Decida como você quer ativar o Autokey
É possível ativar o Autokey como parte da sua estratégia de infraestrutura como serviço usando o Terraform para fazer as alterações de configuração necessárias. Se você quiser usar o Terraform para ativar o Autokey, consulte Ativar o Autokey usando o Terraform nesta página. Se não quiser usar o Terraform, comece seguindo as instruções na próxima seção.
Configurar o projeto principal
Recomendamos a criação de um novo projeto de chave para conter os recursos do Cloud KMS criados pelo Autokey. Crie o projeto de chave dentro do recurso da organização. Se você já tiver um projeto de chave que queira usar para chaves criadas pelo Autokey, pule a seção Criar um projeto de chave e continue da seção Configurar o projeto de chave do Autokey nesta página.
O projeto principal pode ser criado dentro da mesma pasta em que você planeja ativar o Autokey. Não crie outros recursos dentro do projeto principal. Se você tentar criar recursos protegidos pelo Autokey no projeto de chave, ele vai rejeitar a solicitação de uma nova chave.
Caso queira migrar para o Assured Workloads no futuro, crie o projeto de chave dentro da mesma pasta dos recursos protegidos por essas chaves.
Caso sua organização use a restrição de política constraints/gcp.restrictCmekCryptoKeyProjects
para garantir que todas as CMEKs sejam de projetos de chave
especificados, adicione seu projeto de chave à lista de projetos permitidos. Para
mais informações sobre a política da organização de CMEK, consulte
Políticas da organização de CMEK.
Criar um projeto principal
Console
- No Console do Google Cloud, acesse a página Gerenciar recursos.
- Em Selecionar organização, escolha o recurso da organização em que você quer criar um projeto.
- Clique em Criar projeto.
- Na janela Novo projeto que é exibida, insira o nome do projeto e selecione uma conta de faturamento. O nome de um projeto só pode conter letras, números, aspas simples, hifens, espaços ou pontos de exclamação e precisa ter entre 4 e 30 caracteres.
- Em Local, selecione o recurso que você quer que seja o pai do projeto de chave.
- Para concluir a criação do projeto, clique em Criar.
gcloud
Crie um novo projeto:
gcloud projects create PROJECT_ID \ --PARENT_TYPE=PARENT_ID
Substitua:
PROJECT_ID
: o ID do projeto que contém o keyring.PARENT_TYPE
: o tipo de recurso em que você quer criar o novo projeto de chave. Insiraorganization
para criar o novo projeto de chave em uma determinada organização ou digitefolder
para criar o novo projeto de chave em uma determinada pasta.PARENT_ID
: o ID da organização ou pasta em que você quer criar o projeto de chave.
Prepare o projeto de chave do Autokey
Console
Ative a API Cloud KMS no projeto de chave.
Se você estiver usando um novo projeto de chave, conceda permissões de administrador do Cloud KMS aos usuários administradores do Cloud KMS:
No console do Google Cloud, abra a página IAM.
Selecione o projeto principal.
Clique em
Conceder acesso e insira o endereço de e-mail do usuário.Selecione o papel Administrador do Cloud KMS.
Clique em Salvar.
gcloud
Ative a API Cloud KMS no projeto principal:
gcloud services enable cloudkms.googleapis.com
Conceda permissões de administrador do Cloud KMS no projeto principal aos usuários administradores do Cloud KMS:
gcloud projects add-iam-policy-binding PROJECT_NUMBER \ --role=roles/cloudkms.admin \ --member=user:KEY_ADMIN_EMAIL
Substitua:
PROJECT_NUMBER
: o número do projeto chave.KEY_ADMIN_EMAIL
: o endereço de e-mail do usuário responsável por gerenciar as chaves do Cloud KMS.
Ativar o Autokey do Cloud KMS em uma pasta de recursos
Console
No console do Google Cloud, acesse a página Controles do KMS.
No seletor de contexto, selecione a pasta em que você quer ativar o Autokey.
Selecione Ativar.
Selecione o projeto principal e clique em Enviar.
Uma mensagem confirma que o Autokey do Cloud KMS está ativado na pasta.
API
Crie o AutokeyConfig
para a pasta em que você quer ativar o
Autokey:
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/autokeyConfig?updateMask=keyProject" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"key_project": "projects/PROJECT_ID"}'
Substitua:
FOLDER_ID
: o ID da pasta em que você quer ativar o Autokey.PROJECT_ID
: o ID do projeto principal.
Configurar o agente de serviço do Cloud KMS
O agente de serviço do Cloud KMS para um projeto importante cria chaves e aplica vinculações de políticas do IAM durante a criação de recursos, em nome de um administrador humano do Cloud KMS. Para criar e atribuir chaves, o agente de serviço do Cloud KMS requer permissões de administrador do Cloud KMS.
Crie o agente de serviço do Cloud KMS:
gcloud beta services identity create --service=cloudkms.googleapis.com \ --project=PROJECT_NUMBER
Substitua
PROJECT_NUMBER
pelo número do projeto principal.Conceda permissões de administrador do Cloud KMS ao agente de serviço:
gcloud projects add-iam-policy-binding PROJECT_NUMBER \ --role=roles/cloudkms.admin \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com
Substitua
PROJECT_NUMBER
pelo número do projeto principal.
Conceder papéis de usuário do Autokey
Antes que seus desenvolvedores possam usar o Autokey, você precisa conceder a eles o papel necessário. É possível conceder o papel no nível da pasta ou no nível do projeto. Esse papel permite que os desenvolvedores solicitem chaves do agente de serviço do Cloud KMS ao criar recursos nessa pasta ou projeto.
Escolha uma das etapas a seguir ou ambas:
Conceda o papel
roles/cloudkms.autokeyUser
no nível da pasta:gcloud resource-manager folders add-iam-policy-binding \ FOLDER_ID --role=roles/cloudkms.autokeyUser \ --member=user:USER_EMAIL
Substitua:
FOLDER_ID
: o ID da pasta em que você quer ativar o Autokey.USER_EMAIL
: o endereço de e-mail do usuário a quem você quer conceder permissão para usar o Autokey.
Conceda o papel
roles/cloudkms.autokeyUser
no nível do projeto:gcloud projects add-iam-policy-binding PROJECT_NUMBER \ --role=roles/cloudkms.autokeyUser \ --member=user:USER_EMAIL
Substitua:
PROJECT_ID
: o ID do projeto de recursos.USER_EMAIL
: o endereço de e-mail do usuário a quem você quer conceder permissão para usar o Autokey.
Agora os desenvolvedores do Autokey podem criar chaves sob demanda. Para saber como criar recursos protegidos usando chaves criadas sob demanda pelo Autokey, consulte Criar recursos protegidos usando o Autokey.
Ativar o Autokey usando o Terraform
O exemplo do Terraform a seguir automatiza as seguintes etapas de configuração:
- Criar uma pasta de recursos
- Criar um projeto principal
- Conceder permissões ao usuário
- Configurar o agente de serviço do Cloud KMS
- Ativar Autokey
Você precisa criar projetos de recursos separados na pasta correspondente.
variable "organization_ID" {
description = "Your Google Cloud Org ID"
type = string
default = "ORGANIZATION_ID"
}
variable "billing_account" {
description = "Your Google Cloud Billing Account ID"
type = string
default = "BILLING_ACCOUNT_ID"
}
/* List the users who should have the authority to enable and configure
Autokey at a folder level */
variable "autokey_folder_admins" {
type = list(string)
default = [AUTOKEY_ADMIN_USER_IDS]
}
/* List the users who should have the authority to protect their resources
with Autokey */
variable "autokey_folder_users" {
type = list(string)
default = [AUTOKEY_DEVELOPER_USER_IDS]
}
/* List the users who should have the authority to manage crypto operations in
the Autokey key project */
variable "autokey_project_kms_admins" {
type = list(string)
default = [KEY_PROJECT_ADMIN_USER_IDS]
}
/* The project ID to use for the key project. The project ID must be 6 to 30
characters with lowercase letters, digits, hyphens. The project ID must start
with a letter. Trailing hyphens are prohibited */
variable "key_management_project_ID" {
description = "Sets the project ID for the Key Management Project. This project will contain the Key Rings and Keys generated by Cloud KMS Autokey"
type = string
default = "KEY_PROJECT_ID"
}
# Create a new folder
resource "google_folder" "autokey_folder" {
parent = "organizations/${var.organization_ID}"
display_name = "autokey_folder"
}
# Set permissions for key admins to use Autokey in this folder
resource "google_folder_iam_binding" "autokey_folder_admin" {
folder = google_folder.autokey_folder.name
role = "roles/cloudkms.autokeyAdmin"
members = var.autokey_folder_admins
}
# Set permissions for users to protect resources with Autokey in this folder
resource "google_folder_iam_binding" "autokey_folder_users" {
folder = google_folder.autokey_folder.name
role = "roles/cloudkms.autokeyUser"
members = var.autokey_folder_users
}
# Create a key project to store keys created by Autokey
resource "google_project" "key_management_project" {
project_id = var.key_management_project_ID
name = var.key_management_project_ID
billing_account = var.billing_account
folder_id = google_folder.autokey_folder.name
}
output "project_number" {
value = google_project.key_management_project.number
}
# Grant role for Cloud KMS admins to use Autokey in the key project
resource "google_project_iam_binding" "autokey_project_admin" {
project = google_project.key_management_project.project_id
role = "roles/cloudkms.admin"
members = var.autokey_project_kms_admins
depends_on = [ google_project.key_management_project ]
}
# Enable the Cloud KMS API in the key project
resource "google_project_service" "enable_api" {
service = "cloudkms.googleapis.com"
project = google_project.key_management_project.project_id
disable_on_destroy = false
disable_dependent_services = false
depends_on = [google_project.key_management_project]
}
# Create Cloud KMS service agent
resource "google_project_service_identity" "KMS_Service_Agent" {
provider = google-beta
service = "cloudkms.googleapis.com"
project = google_project.key_management_project.project_id
depends_on = [google_project.key_management_project]
}
/* Grant role for the Cloud KMS service agent to use delegated
Cloud KMS admin permissions */
resource "google_project_iam_member" "autokey_project_admin" {
project = google_project.key_management_project.project_id
role = "roles/cloudkms.admin"
member = "serviceAccount:service-${google_project.key_management_project.number}@gcp-sa-cloudkms.iam.gserviceaccount.com"
}
/* Enable AutokeyConfig in this folder */
resource "google_kms_autokey_config" "autokey_config" {
provider = google-beta
folder = google_folder.autokey_folder.folder_id
key_project = google_project.key_management_project.project_id
}
Substitua:
BILLING_ACCOUNT_ID
: o ID da conta de faturamento do Google Cloud. O ID da conta de faturamento é um valor alfanumérico de 18 caracteres separado por traços, por exemplo,010101-F0FFF0-10XX01
.AUTOKEY_ADMIN_USER_IDS
: uma lista de endereços de e-mail para usuários que precisam ter o papelroles/cloudkms.autokeyAdmin
, por exemplo,"Ariel@example.com", "Charlie@example.com"
.AUTOKEY_DEVELOPER_USER_IDS
: uma lista de endereços de e-mail para usuários que precisam ter o papelroles/cloudkms.autokeyUser
, por exemplo,"Kalani@example.com", "Mahan@example.com"
.KEY_PROJECT_ADMIN_USER_IDS
: uma lista de endereços de e-mail para usuários que precisam ter o papelroles/cloudkms.admin
, por exemplo,"Sasha@example.com", "Nur@example.com"
.KEY_PROJECT_ID
: o ID a ser usado para o projeto de chave, por exemplo,autokey-key-project
.
Aplicar o uso do Autokey
Se você quiser aplicar o uso do Autokey em uma pasta, combine os controles de acesso do IAM com as políticas da organização CMEK. Isso funciona removendo as permissões de criação de chaves dos principais que não sejam o agente de serviço do Cloud KMS e exigindo que todos os recursos sejam protegidos pela CMEK usando o projeto de chave do Autokey.
Para aplicar o uso do Autokey em uma pasta, siga estas etapas:
Remover o acesso para criar chaves manualmente no projeto principal. Se não for possível criar as chaves manualmente, somente as criadas pelo Autokey poderão ser criadas neste projeto. Para mais informações sobre como controlar o acesso, consulte Controle de acesso com o IAM.
Defina uma política da organização na pasta para exigir que os recursos sejam protegidos com uma CMEK usando a restrição
constraints/gcp.restrictNonCmekServices
. Para mais informações, consulte Exigir proteção CMEK.Defina uma política da organização na pasta para exigir que as chaves usadas para CMEK sejam do projeto de chave do Autokey usando a restrição
constraints/gcp.restrictCmekCryptoKeyProjects
. Para mais informações, consulte Limitar o uso de chaves do Cloud KMS para CMEK.
Desativar Autokey
O Autokey do Cloud KMS está ativado e desativado no nível da pasta. Os mesmos
papéis que podem ativar o Autokey para uma pasta podem desativar o Autokey
nessa pasta. Para desativar o Autokey em uma pasta, limpe o
AutokeyConfig
para remover a associação entre a pasta e o
projeto de chave do Autokey.
Depois que a configuração do Autokey na pasta for removida, o
agente de serviço do Cloud KMS não poderá mais criar chaves para os desenvolvedores quando
eles criarem recursos na pasta. Remover o link entre a pasta e
o projeto principal desativa o Autokey na pasta. No entanto, recomendamos que você também remova as vinculações do IAM dos
papéis roles/cloudkms.autokeyAdmin
e roles/cloudkms.autokeyUser
.
Desativar o Autokey não afeta as chaves atuais no projeto principal. É possível continuar usando essas chaves para proteger os recursos.
Limpar AutokeyConfig
Console
No console do Google Cloud, acesse a página Controles do KMS.
No seletor de contexto, selecione a pasta em que você quer desativar o Autokey.
Clique em Desativar.
Uma mensagem será exibida solicitando que você confirme que quer desativar o Autokey.
Para desativar o Autokey, clique em Confirmar.
Uma mensagem confirma que o Autokey do Cloud KMS está desativado na pasta.
API
Limpe o AutokeyConfig
da pasta em que você quer desativar o
Autokey:
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/autokeyConfig?updateMask=keyProject" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{}'
Substitua:
FOLDER_ID
: o ID da pasta em que você quer desativar o Autokey.
Revogar papéis do Autokey
Opcional – Revogue o papel
roles/cloudkms.autokeyAdmin
:gcloud resource-manager folders remove-iam-policy-binding \ FOLDER_ID --role=roles/cloudkms.autokeyAdmin \ --member=user:USER_EMAIL
Substitua:
FOLDER_ID
: o ID da pasta em que você desativou o Autokey.USER_EMAIL
: o endereço de e-mail do usuário para quem você quer revogar a permissão para gerenciar o Autokey.
Opcional: revogue o papel
roles/cloudkms.autokeyUser
no nível da pasta:gcloud resource-manager folders remove-iam-policy-binding \ FOLDER_ID --role=roles/cloudkms.autokeyUser \ --member=user:USER_EMAIL
Substitua:
FOLDER_ID
: o ID da pasta em que você desativou o Autokey.USER_EMAIL
: o endereço de e-mail do usuário para quem você quer revogar a permissão para usar o Autokey.
Opcional: revogue o papel
roles/cloudkms.autokeyUser
no nível do projeto:gcloud projects remove-iam-policy-binding RESOURCE_PROJECT_NUMBER \ --role=roles/cloudkms.autokeyUser \ --member=user:USER_EMAIL
Substitua:
RESOURCE_PROJECT_NUMBER
: o número de um projeto de recurso na pasta em que você desativou o Autokey.USER_EMAIL
: o endereço de e-mail do usuário para quem você quer revogar a permissão para usar o Autokey.
Opcional: se você não planeja continuar usando o projeto principal do Autokey para outras pastas, revogue o papel
roles/cloudkms.admin
para o agente de serviço do Cloud KMS:gcloud projects remove-iam-policy-binding KEY_PROJECT_NUMBER \ --role=roles/cloudkms.admin \ --member=serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com
Substitua
KEY_PROJECT_NUMBER
pelo ID numérico do projeto principal.Opcional: se você não planeja continuar usando chaves criadas dentro do projeto de chave, revogue o papel
roles/cloudkms.admin
para o administrador do Cloud KMS:gcloud projects remove-iam-policy-binding KEY_PROJECT_NUMBER \ --role=roles/cloudkms.admin \ --member=user:KEY_ADMIN_EMAIL
Substitua:
KEY_PROJECT_NUMBER
: o número do projeto principal.USER_EMAIL
: o endereço de e-mail do usuário para quem você quer revogar a permissão para usar o Autokey.
A seguir
- Saiba mais sobre quando usar o Autokey.
- Saiba mais sobre como o Autokey funciona.
- Os desenvolvedores do Autokey agora podem criar recursos protegidos usando o Autokey.