Como gerenciar chaves do Cloud EKM

Este tópico explica como usar o Cloud External Key Manager (Cloud EKM) para criptografar seus dados em repouso usando chaves gerenciadas fora do Google Cloud.

Antes de começar

Depois de concluir as etapas a seguir, você poderá começar a usar as chaves do Cloud EKM para proteger seus dados.

Criar um novo projeto

Ao testar o Cloud EKM, recomendamos que você configure um novo projeto.

  1. No Console do Google Cloud, acesse a página "Gerenciar recursos".

    Acessar a página "Gerenciar recursos"

  2. Crie um novo projeto do Google Cloud ou selecione um projeto atual.

  3. Verifique se o faturamento está ativado para seu projeto na nuvem. Saiba como confirmar se o faturamento está ativado para o projeto.

  4. Saiba mais sobre os preços do Cloud EKM.

Ativar o Cloud KMS

  1. Ative a API Cloud Key Management Service para o projeto.

    Ativar a API Cloud Key Management Service

  2. Anote a conta de serviço do Cloud EKM do seu projeto. No exemplo a seguir, substitua project-number pelo número do seu projeto do Google Cloud. Essas informações também ficam visíveis sempre que você usa o Console do Google Cloud para criar uma chave do Cloud EKM.

    service-project-number@gcp-sa-ekms.iam.gserviceaccount.com
    

Preparar o sistema de parceiro de gerenciamento de chave externo

No sistema de parceiros de gerenciamento de chaves externas, conceda à conta de serviço do Google Cloud acesso para usar a chave externa. Trate a conta de serviço como um endereço de e-mail. Os parceiros podem usar uma terminologia diferente da usada neste tópico.

Criar uma chave externa

Você executa essas etapas no sistema do parceiro de gerenciamento de chave externo. As etapas exatas variam de acordo com o parceiro externo de gerenciamento de chaves. Consulte a lista de parceiros compatíveis do Cloud EKM.

  1. Se necessário, solicite acesso ao seu parceiro externo de gerenciamento de chaves para participar deste lançamento .

  2. Crie uma chave no sistema do parceiro de gerenciamento de chave externo ou selecione uma chave atual.

    Crie a chave em uma região próxima à região do Google Cloud que você planeja usar para as chaves do Cloud EKM. Isso ajuda a reduzir a latência de rede entre seu projeto do Google Cloud e o parceiro de gerenciamento de chaves externo. Caso contrário, talvez ocorra um aumento no número de operações com falha. Consulte Cloud EKM e as regiões para mais informações.

  3. Anote o URI da chave externa. Você precisa dessas informações para criar uma chave do Cloud EKM.

Criar uma chave do Cloud EKM

Ao criar uma chave, você a adiciona a um keyring que existe no local em que pretende usá-la. Para chaves do Cloud EKM, o local também precisa estar próximo ao local da chave externa.

Este tema mostra como criar um keyring, mas você pode criar uma chave em um keyring existente em um local apropriado.

gcloud

  1. Crie um keyring em uma das regiões recomendadas pelo seu parceiro externo de gerenciamento de chaves.

    gcloud kms keyrings \
     create key-ring-name \
     --location location
    
  2. Crie uma chave no keyring. Defina o nível de proteção como external e defina a finalidade como encryption. Adicione --skip-initial-version-creation para evitar que uma versão inicial da chave seja criada. Defina o default algorithm como external-symmetric-encryption.

    gcloud kms keys \
     create key-name \
     --keyring key-ring-name \
     --location location \
     --purpose encryption \
     --protection-level external \
     --skip-initial-version-creation \
     --default-algorithm external-symmetric-encryption
    
  3. Crie uma versão de chave para a chave que você acabou de criar. Defina a sinalização --external-key-uri como o URI da chave externa. Inclua a sinalização --primary para tornar essa versão a chave principal. Use o mesmo nome de chave, keyring e local das etapas anteriores.

    gcloud kms keys versions \
     create \
     --key key-name \
     --keyring key-ring-name \
     --location location \
     --external-key-uri external-key-uri \
     --primary
    

Console

Crie um keyring:

  1. Acesse a página Chaves criptográficas no Console do Cloud.

    Acessar a página "Chaves criptográficas"

  2. Clique em Criar keyring.

  3. No campo Nome do keyring, digite o nome do seu keyring.

  4. No menu suspenso Local, selecione uma das regiões recomendadas por seu parceiro de gerenciamento de chaves externo.

  5. Clique em Criar O keyring é criado e a caixa de diálogo de criação da chave é exibida.

Crie uma chave do Cloud EKM.

  1. Para o tipo de chave, selecione Chave gerenciada externamente. A Finalidade é definida automaticamente como Criptografia / descriptografia simétrica e o campo Tipo de chave e algoritmo é definido como Chave simétrica externa. Esses valores não podem ser modificados.

  2. Insira um nome para a chave.

  3. Insira o URI da chave externa.

  4. Opcionalmente, adicione rótulos à chave. Saiba mais sobre como rotular chaves.

  5. Clique em Criar

A versão da chave é criada automaticamente e se torna a versão principal.

Você pode recuperar o código do recurso da chave da nova chave e começar a usá-lo para proteger os dados nos seguintes cenários:

Girar uma chave externa

Você pode alternar a chave do Cloud EKM se precisar alterar o URI da chave externa. A rotação da chave adiciona uma nova versão à chave do Cloud EKM.

Depois de fazer a rotação de uma chave do Cloud EKM, ainda é possível descriptografar dados que foram criptografados com uma versão anterior, desde que a versão anterior da chave externa ainda esteja disponível no URI da chave externa no sistema do parceiro de gerenciamento de chaves externas.

Se o material da chave no sistema do parceiro de gerenciamento de chaves externas não mudar, mas o URI mudar, atualize o URI externo da chave sem girar a chave.

gcloud

Para alternar a chave, crie uma nova versão de chave que contenha o URI da chave externa atualizada e torne essa versão a chave principal. Use o mesmo nome, keyring e local usados ao criar a chave.

gcloud kms keys versions \
  create \
  --key key-name \
  --keyring key-ring-name \
  --location location \
  --external-key-uri new-external-key-uri \
  --primary

Console

  1. Acesse a página Chaves criptográficas no Console do Cloud.
    Acessar a página "Chaves de criptografia"

  2. Selecione o keyring e a chave.

  3. Selecione Girar.

  4. Digite o URI da nova chave e selecione Girar chave.

A nova versão da chave se torna a principal.

Atualizar o URI de uma versão de chave

É possível atualizar o URI da chave para uma versão de chave do Cloud EKM sem alterná-la, desde que o novo URI da chave tenha exatamente o mesmo material da chave original. Se os URIs não contiverem o mesmo material de chave, a atualização do URI da chave falhará. Também é possível atualizar o URI da chave de uma versão de chave que não seja a principal.

Se o material da chave tiver sido girado no sistema do parceiro de gerenciamento de chaves externas, gire a chave.

gcloud

Para atualizar o URI da versão da chave, use o comando gcloud beta kms versions update, especifique a versão da chave a ser atualizada e defina a sinalização --external-key-uri para o novo URI.

gcloud kms keys versions update key-version \
  --key key \
  --keyring keyring \
  --location location \
  --external-key-uri uri

Por exemplo, o comando a seguir atualiza o URI para a versão 2 da chave example-key ser https://example-key.example.com/v0/example_key:

gcloud kms keys versions update 2 \
  --key example-key> \
  --keyring example-keyring \
  --location us-west1 \
  --external-key-uri https://example-key.example.com/v0/example_key

Console

  1. Acesse a página Chaves criptográficas no Console do Cloud.
    Acessar a página "Chaves de criptografia"

  2. Selecione o keyring, a chave e a versão.

  3. Clique em Mais e depois em Visualizar URI da chave.

  4. Clique em Atualizar URI da chave.

  5. Insira o novo URI da chave e clique em Salvar.

Desativar ou destruir uma chave externa

Para desativar temporariamente a associação entre uma chave do Cloud EKM e uma chave externa, desative a chave do Cloud EKM ou a versão da chave. Recomendamos desativar a chave inteira. A desativação de uma chave entra em vigor em três horas.

Ao desativar uma chave, você também precisa revogar o acesso à chave. As operações do IAM são consistentes em segundos. Considere também revogar o acesso da conta de serviço do Google Cloud no sistema de parceiros de gerenciamento de chaves externo.

Para remover permanentemente a associação entre uma chave do Cloud EKM e uma chave externa, programe a versão da chave do Cloud EKM para destruição. Após um período de 24 horas, a chave é destruída. A destruição de uma chave é permanente. Depois que a versão da chave for destruída, não será possível mais criptografar nem descriptografar dados criptografados com a versão de chave do Cloud EKM. Não é possível recriar uma versão de chave do Cloud EKM que foi destruída, mesmo se você usar o mesmo URI de chave externa.

Como interpretar erros

Se você receber um erro ao criar ou usar uma chave do Cloud EKM, um erro será registrado. Consulte a referência de erros do Cloud EKM para ver detalhes sobre como interpretar e corrigir esses erros.

Como receber suporte

Se você tiver um problema com o Cloud EKM, entre em contato com o suporte.