Perguntas frequentes sobre o Cloud KMS

Sobre o Cloud KMS

O que é o Cloud KMS? O que ele faz?

O Cloud KMS é um serviço de gerenciamento de chaves hospedado na nuvem que permite gerenciar a criptografia dos serviços de nuvem da mesma forma que se faz localmente. É possível gerar, usar, rotacionar e destruir chaves criptográficas. O Cloud KMS é integrado ao Cloud Identity and Access Management e ao Cloud Audit Logging, o que permite gerenciar permissões para chaves individuais e monitorar como elas são usadas.

Posso armazenar chaves secretas?

Ao usar o Cloud KMS, você pode criptografar chaves secretas que são armazenadas em outro lugar. Por exemplo, é possível armazenar uma chave secreta em um intervalo do Cloud Storage. Para detalhes, consulte Como armazenar chaves secretas.

Há algum SLA?

Sim, consulte Contrato de nível de serviço do Cloud KMS.

Como faço para enviar feedback do produto?

Entre em contato com a equipe de engenharia em cloudkms-feedback@google.com.

Como faço para enviar feedback da documentação?

Ao visualizar a documentação do Cloud KMS, clique em Enviar feedback perto do canto superior direito da página. Será aberto um formulário de feedback.

Se eu precisar de ajuda, quais serão as minhas opções?

Convidamos nossos usuários a postar suas perguntas no Stack Overflow. Junto com a comunidade ativa do Stack Overflow, nossa equipe monitora ativamente as postagens e responde a perguntas que constam lá com a tag google-cloud-kms.

Nós também oferecemos vários níveis de suporte, dependendo de suas necessidades. Para conhecer outras opções de suporte, consulte nossos pacotes de suporte do Cloud Platform.

O Cloud KMS trabalha com cotas?

Sim, o Cloud KMS tem cotas para o seguinte:

  • Solicitações de leitura: número de solicitações de leitura de chave, keyring e versão de chave por minuto.

  • Solicitações de gravação: número de solicitações de gravação de chave, keyring e versão de chave por minuto.

  • Solicitações criptográficas: número de solicitações de criptografia e descriptografia por minuto.

Como faço para descobrir qual quantidade de cotas estou usando ou me resta?

Veja sua cota atual de projeto na página Cotas do Cloud KMS do Console do Google Cloud Platform.

Como solicitar mais cota?

Você pode aumentar automaticamente suas cotas (até um limite) usando a página Cotas do Cloud KMS no Console do GCP. Se a intenção for aumentar ainda mais a cota, inscreva-se para uma cota mais alta.

Há algum limite para o número de chaves ou outros recursos do Cloud KMS que posso ter?

Não há limite para chaves, keyrings ou versões de chaves, incluindo chaves por keyring e versões de chaves por chave.

Em que países posso usar o Cloud KMS?

Você pode usar o Cloud KMS em qualquer país em que os serviços do Google Cloud Platform sejam compatíveis.

Chaves

Que tipo de chave o Cloud KMS gera?

Consulte Algoritmos e finalidades de chave.

As chaves são protegidas por HSM?

As chaves com nível de proteção HSM são protegidas por um módulo de segurança de hardware (HSM, na sigla em inglês) e as chaves com nível de proteção SOFTWARE não.

A que padrões as chaves obedecem?

As chaves do Cloud KMS e as operações criptográficas executadas com essas chaves estão em conformidade com a publicação Requisitos de segurança para os módulos criptográficos 140-2 (em inglês) do Padrão Federal de Processamento de Informações (FIPS, na sigla em inglês).

  • As chaves com nível de proteção SOFTWARE e as operações criptográficas executadas com elas estão em conformidade com o Nível 1 do FIPS 140-2.

  • As chaves com nível de proteção HSM e as operações criptográficas executadas com elas estão em conformidade com o Nível 3 do FIPS 140-2.

Como o material de chave é gerado?

A geração de chaves do Cloud KMS protegidas por software usa a biblioteca criptográfica comum do Google com um gerador de números aleatórios (RNG, na sigla em inglês) criado pelo Google. As chaves protegidas por HSM são geradas com segurança pelo HSM, que foi validado para atender ao Nível 3 do FIPS 140-2.

Qual biblioteca é usada para gerar material de chave?

A geração de chaves do Cloud KMS usa a biblioteca criptográfica comum do Google, que implementa algoritmos criptográficos por meio de BoringSSL. Para mais informações, consulte a biblioteca criptográfica comum do Google.

As chaves são limitadas a um local geográfico?

As chaves pertencem a uma região, mas não ficam limitadas a ela. Para mais informações, consulte Locais do Cloud KMS.

Posso remover as chaves automaticamente?

Não.

Posso fazer a rotação de chave automaticamente?

Para chaves com a finalidade ENCRYPT_DECRYPT, sim. Consulte Rotação automática: como configurar o período de rotação de uma chave.

Para chaves com a finalidade de chave ASYMMETRIC_SIGN ou ASYMMETRIC_DECRYPT, não. Para saber o motivo, consulte Rotação de chave assimétrica.

A rotação de chave recriptografa dados? Em caso negativo, por quê?

A rotação de chave não recriptografa dados automaticamente. Quando você descriptografa dados, o Cloud KMS sabe qual versão de chave usar para a descriptografia. Enquanto uma versão de chave não é desativada ou destruída, o Cloud KMS pode usá-la para a descriptografia.

Por que não consigo excluir chaves ou keyrings?

Para evitar conflitos com os nomes dos recursos, NÃO É POSSÍVEL excluir keyrings e recursos de chave. Isso também se aplica a versões de chave, mas é possível destruir o material delas para impedir o uso dos respectivos recursos. Para mais informações, consulte Duração dos objetos.

Posso exportar chaves?

Não. Por questões de design, as chaves não são exportáveis a partir do Cloud KMS. Todas as criptografias e descriptografias com essas chaves precisam ser feitas dentro do Cloud KMS. Isso ajuda a evitar vazamentos e uso indevido, além de permitir que o Cloud KMS gere uma trilha de auditoria quando as chaves são usadas.

Posso importar chaves?

Sim. A importação de chaves é possível por meio de uma versão Alfa. É possível importar somente em chaves com nível de proteção HSM e em chaves com finalidade de criptografia simétrica (ENCRYPT_DECRYPT). Para participar do grupo de lançamento do Alfa, inscreva-se usando este formulário.

Separadamente do Cloud KMS, os produtos a seguir são compatíveis com a funcionalidade de chaves de criptografia fornecidas pelo cliente (CSEK, na sigla em inglês).

Produto Tópico da CSEK
Compute Engine Como criptografar discos com chaves de criptografia fornecidas pelo cliente
Cloud Storage Como usar chaves de criptografia fornecidas pelo cliente

Após destruir uma versão de chave, quanto tempo terei para recuperá-la?

Depois de programar uma versão de chave para destruição, você terá 24 horas antes da versão de chave ser realmente destruída. Durante esse período, se necessário, você poderá restaurar a versão de chave.

Posso alterar o período de 24 horas antes de uma chave programada ser destruída?

Não.

Quando faço alterações em uma chave, com que rapidez elas são efetivadas?

Algumas operações em recursos do Cloud KMS têm consistência forte. Outras têm consistência eventual e podem demorar até 3 horas para serem propagadas. Para mais detalhes, consulte Consistência de recursos do Cloud KMS.

Por que minha chave está no estado PENDING_GENERATION?

Devido ao custo da CPU de gerar material de chave, a criação de uma versão de chave assimétrica pode levar alguns minutos. As versões de chave protegidas por um módulo de segurança de hardware (HSM) também levam algum tempo. Quando uma nova versão de chave está pronta, o estado muda automaticamente para ENABLED.

Autorização e autenticação

Como faço para me autenticar na API Cloud KMS?

O modo como os clientes se autenticam pode variar um pouco, dependendo da plataforma de execução do código. Para detalhes, consulte Como acessar a API.

Quais papéis do Cloud IAM preciso usar?

Para impor o princípio do menor privilégio, assegure-se de que usuários e contas de serviço da organização só tenham as permissões essenciais para a execução dos papéis pretendidos. Para mais informações, consulte Separação de deveres.

Quando eu removo uma permissão do Cloud IAM, com que rapidez ela é removida?

A remoção de uma permissão é efetivada em menos de uma hora.

Diversos

O que são dados autenticados adicionais e quando usá-los?

O termo “dados autenticados adicionais” (AAD, na sigla em inglês) refere-se a qualquer string transmitida para o Cloud KMS como parte de uma solicitação de criptografia ou descriptografia. Eles são usados como verificação de integridade e protegem os dados contra ataques de confused deputy. Para mais informações, consulte Dados autenticados adicionais.

Os registros de acesso a dados são ativados por padrão? Como faço para ativá-los?

Os registros de acesso a dados não são ativados por padrão. Para ativá-los, consulte Como ativar registros de acesso a dados.

Qual a relação entre as chaves do Cloud KMS e as chaves de conta de serviço?

As chaves da conta de serviço são usadas na autenticação de serviço a serviço no GCP. Elas não estão relacionadas às chaves do Cloud KMS.

Qual a relação entre as chaves do Cloud KMS e as chaves de API?

As chaves de API são strings criptografadas simples que você pode usar ao chamar determinadas APIs que não precisam acessar dados particulares de usuário. Também são usadas no rastreamento de solicitações de API associadas ao projeto, para fins de cota e faturamento. As chaves de API não têm qualquer relação com as chaves do Cloud KMS.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…