Cloud HSM

Neste tópico, você terá uma visão geral do Cloud HSM e verá como criar e usar chaves de criptografia protegidas por HSM no Cloud Key Management Service.

O que é Cloud HSM?

Usando o Cloud HSM, um serviço de Hardware Security Module (HSM) hospedado na nuvem, você hospeda chaves de criptografia e executa operações criptográficas em um cluster de HSMs FIPS 140-2 de nível 3 certificados. O cluster do HSM é gerenciado pelo Google, e você não precisa se preocupar com o armazenamento em cluster, o escalonamento ou a aplicação de patches. Como o Cloud HSM usa o Cloud KMS como front-end, você aproveita todas as conveniências e recursos do Cloud KMS.

Antes de começar

  • Se você ainda não tiver feito isso, ative o faturamento do seu projeto.

    Ativar faturamento

Criar um keyring

Crie um keyring com o nome hsm-ring.

Console

  1. Acesse a página Chaves de criptografia no Console do GCP.

  2. Clique em Criar keyring.

  3. No campo Nome do keyring, digite hsm-ring.

  4. No menu suspenso Local, selecione uma das regiões compatíveis com o Cloud HSM.

  5. Clique em Criar.

Linha de comando

Crie um novo keyring com o nome hsm-ring em uma das regiões compatíveis com o Cloud HSM.

gcloud kms keyrings create hsm-ring \
  --location [LOCATION]

Criar uma chave

Crie uma chave chamada hsm-key.

Console

  1. Acesse a página Chaves de criptografia no Console do GCP.

  2. Clique no keyring chamado hsm-ring.

  3. Clique em Criar chave.

  4. No campo Nome da chave, digite hsm-key.

  5. Clique no menu suspenso Finalidade e selecione Criptografar/descriptografar simétrico. Para saber mais, consulte Finalidades de chave.

  6. Em Nível de proteção, selecione HSM. Para saber mais, consulte Níveis de proteção.

  7. Opcional: no campo Rótulos, clique em Adicionar rótulo se quiser adicionar rótulos à chave.

  8. Clique em Criar.

Linha de comando

Crie uma nova chave hsm-key no keyring hsm-ring.

gcloud kms keys create hsm-key \
  --location [LOCATION] \
  --keyring hsm-ring \
  --purpose encryption \
  --protection-level hsm

Criptografar dados

Agora que você tem uma chave, basta usá-la para criptografar um texto ou conteúdo binário. Gere algum texto para ser criptografado.

echo "Some text to be encrypted" > ~/my-secret-file

Criptografe o texto simples em um arquivo chamado my-secret-file.enc.

gcloud kms encrypt \
  --location [LOCATION] \
  --keyring hsm-ring \
  --key hsm-key \
  --plaintext-file ~/my-secret-file \
  --ciphertext-file ~/my-secret-file.enc

Descriptografar texto

Para fazer isso, use a mesma chave com que o conteúdo foi criptografado. Descriptografe o arquivo criptografado my-secret-file.enc emitindo este comando:

gcloud kms decrypt \
  --location [LOCATION] \
  --keyring hsm-ring \
  --key hsm-key \
  --ciphertext-file ~/my-secret-file.enc \
  --plaintext-file ~/my-secret-file.dec

Veja que o conteúdo de my-secret-file.dec e o arquivo de texto simples original my-secret-file são idênticos:

cat ~/my-secret-file.dec
Some text to be encrypted

Limpar

Para evitar cobranças na sua conta do GCP pelos recursos usados neste guia de início rápido, siga estas etapas.

A limpeza consiste em destruir as versões de chave usadas neste tópico.

Liste as versões disponíveis para sua chave:

gcloud kms keys versions list \
  --location [LOCATION] \
  --keyring hsm-ring \
  --key hsm-key

Para destruir uma versão, execute o comando a seguir, substituindo [VERSION_NUMBER] pelo número da versão a ser destruída:

gcloud kms keys versions destroy \
  [VERSION_NUMBER] \
  --location [LOCATION] \
  --keyring hsm-ring \
  --key hsm-key

A seguir

Limitações conhecidas

  • O tamanho do bloco é limitado a 16.384 bytes, em comparação com os 64 KiB para chaves de software do Cloud KMS, para texto simples e texto criptografado fornecido pelo usuário, incluindo dados autenticados adicionais.

  • O Cloud HSM está disponível apenas em determinadas regiões. Para saber detalhes, consulte as regiões compatíveis com o Cloud HSM.

  • Atualmente, as operações principais para as chaves armazenadas no Cloud HSM podem resultar em uma latência perceptivelmente maior em comparação com o uso de chaves do software do Cloud KMS.

Se ocorrer um erro

Se você encontrar um problema, consulte as opções de feedback na página de suporte.