Cloud HSM

Neste tópico, você terá uma visão geral do Cloud HSM e verá como criar e usar chaves de criptografia protegidas por HSM no Cloud Key Management Service.

O que é Cloud HSM?

O Cloud HSM é um serviço de módulo de segurança de hardware (HSM, na sigla em inglês) hospedado na nuvem que permite hospedar chaves de criptografia e realizar operações criptográficas em um cluster de HSMs certificados pelo FIPS 140-2 nível 3. O Google gerencia o cluster de HSM para que você não precise se preocupar com o armazenamento em cluster, o escalonamento ou a aplicação de patches. Como o Cloud HSM usa o Cloud KMS como front-end, você aproveita todas as conveniências e recursos do Cloud KMS.

Antes de começar

  • Se você ainda não tiver feito isso, ative o faturamento do seu projeto.

    Ativar faturamento

Criar um keyring

Crie um keyring chamado hsm-ring.

Console

  1. Acesse a página Chaves criptográficas no Console do GCP.

  2. Clique em Criar keyring.

  3. No campo Nome do keyring, digite hsm-ring.

  4. No menu suspenso Local, selecione uma das regiões compatíveis com o Cloud HSM.

  5. Clique em Criar.

Linha de comando

Crie um novo keyring chamado hsm-ring em uma das regiões compatíveis com o Cloud HSM.

gcloud kms keyrings create hsm-ring \
  --location [LOCATION]

Crie uma chave

Crie uma chave chamada hsm-key.

Console

  1. Acesse a página Chaves criptográficas no Console do GCP.

  2. Clique no keyring chamado hsm-ring.

  3. Clique em Criar chave.

  4. No campo Nome da chave, digite hsm-key.

  5. Clique no menu suspenso Finalidade e selecione Criptografar/descriptografar simétrico. Para saber mais, consulte Finalidades de chave.

  6. Em nível de proteção, selecione HSM. Para saber mais, consulte Níveis de proteção.

  7. [Opcional] No campo Rótulos, clique em Adicionar rótulo para adicioná-los à chave.

  8. Clique em Criar.

Linha de comando

Crie uma nova chave hsm-key no keyring hsm-ring.

gcloud kms keys create hsm-key \
  --location [LOCATION] \
  --keyring hsm-ring \
  --purpose encryption \
  --protection-level hsm

Criptografar dados

Agora que você tem uma chave, basta usá-la para criptografar um texto ou conteúdo binário. Gere algum texto para ser criptografado.

echo "Some text to be encrypted" > ~/my-secret-file

Criptografe o texto simples em um arquivo chamado my-secret-file.enc

gcloud kms encrypt \
  --location [LOCATION] \
  --keyring hsm-ring \
  --key hsm-key \
  --plaintext-file ~/my-secret-file \
  --ciphertext-file ~/my-secret-file.enc

Descriptografar texto

Para fazer isso, use a mesma chave com que o conteúdo foi criptografado. Descriptografe o arquivo criptografado my-secret-file.enc emitindo o seguinte comando:

gcloud kms decrypt \
  --location [LOCATION] \
  --keyring hsm-ring \
  --key hsm-key \
  --ciphertext-file ~/my-secret-file.enc \
  --plaintext-file ~/my-secret-file.dec

Você deverá ver que o conteúdo de my-secret-file.dec e do arquivo de texto simples original my-secret-file são idênticos:

cat ~/my-secret-file.dec
Some text to be encrypted

Limpar

Para evitar cobranças na sua conta do GCP pelo uso de recursos neste início rápido:

A limpeza consiste em destruir as versões de chave usadas neste tópico.

Liste as versões disponíveis para sua chave:

gcloud kms keys versions list \
  --location [LOCATION] \
  --keyring hsm-ring \
  --key hsm-key

Para destruir uma versão, execute o comando a seguir, substituindo [VERSION_NUMBER] pelo número da versão a ser destruída:

gcloud kms keys versions destroy \
  [VERSION_NUMBER] \
  --location [LOCATION] \
  --keyring hsm-ring \
  --key hsm-key

A seguir

Limitações conhecidas

  • O tamanho do bloco é limitado a 16.384 bytes, em comparação com os 64 KiB para chaves de software do Cloud KMS, para texto simples e texto criptografado fornecido pelo usuário, incluindo dados autenticados adicionais.

  • O Cloud HSM está disponível apenas em determinadas regiões. Para saber detalhes, consulte as regiões compatíveis com o Cloud HSM.

  • Atualmente, as operações principais para as chaves armazenadas no Cloud KMS podem resultar em uma latência perceptivelmente maior em comparação com o uso de chaves do software do Cloud KMS.

Se ocorrer um erro

Se você encontrar um problema, consulte as opções de feedback em Suporte.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…