Esta página foi traduzida pela API Cloud Translation.

Integre o Cloud HSM para o Google Workspace

Esta página descreve como integrar o Cloud HSM para Google Workspace (CHGWS), o serviço de chaves de encriptação para o Google Workspace oferecido pelo Cloud Key Management Service (Cloud KMS). O Cloud HSM para o Google Workspace oferece controlos de privacidade melhorados para o Google Workspace, ajudando a alcançar normas regulamentares, como a DISA IL5, e a aumentar a segurança dos dados. O Cloud HSM é um serviço de gestão de chaves alinhado com as normas, altamente disponível e totalmente gerido, operado à escala da nuvem com chaves suportadas por hardware armazenadas em HSMs (módulos de segurança de hardware) em conformidade com a norma FIPS 140-2 Nível 3.

Para mais informações, consulte o artigo Cloud HSM para o Google Workspace.

Antes de começar

Antes de integrar o Cloud HSM para o Google Workspace, conclua os seguintes pré-requisitos:

Configure um Google Workspace.
Ative a encriptação por parte do cliente (EPC) do Google Workspace no seu Google Workspace.
Configure o seu fornecedor de identidade (IdP) na EPC do Google Workspace. Tome nota do ID de cliente do seu IdP. Se usar a Google Identity Platform, encontre o ID de cliente no seu Google Cloud projeto.
Opcional: se permitir o acesso a conteúdo encriptado com CSE em aplicações de plataforma que não sejam a Web (como dispositivos móveis ou computadores), adicione os IDs de cliente dessas plataformas nas definições do IdP na consola do administrador do Google Workspace. Tome nota de todos os IDs de clientes para este IdP. Se usar a Google Identity Platform, encontre estes IDs de cliente no seu Google Cloud projeto. Para outros fornecedores de identidade, crie estes IDs de clientes separadamente.

Peça a integração do Google Workspace

Para integrar o Cloud HSM para o Google Workspace, contacte o seu representante da conta para receber ajuda com o envio de um pedido de integração do Workspace. Na solicitação, inclua as seguintes informações:

ID do Google Workspace: o seu ID do Google Workspace. Siga as instruções em Encontre o seu ID de cliente para encontrar o seu ID do Google Workspace.
Endereços de email do administrador do Google Workspace: faculte uma lista de endereços de email do administrador separados por vírgulas.
Detalhes do Fornecedor de identidade (IdP) principal:
- URL do conjunto de chaves Web JSON (JWKS) do IdP: para a Google Identity Platform, use https://www.googleapis.com/oauth2/v3/certs.
- Emissor do token do símbolo da Web JSON (JWT): para a Google Identity Platform, use https://accounts.google.com.
- Público-alvo do JWT: o ID de cliente do seu IdP para aplicações Web.
- Públicos-alvo JWT adicionais: opcional. Indique os IDs de cliente para aplicações de plataformas não Web, se configurados. Para a Google Identity Platform, use os IDs de cliente indicados em Se usar a identidade Google para o CSE.
Detalhes do IdP de convidado: opcional. Preencha esta secção se estiver a usar um IdP convidado.
- URL JWKS do IdP de convidado: o URL JWKS do seu IdP de convidado.
- Emissor do token JWT de convidado: o emissor do token JWT do seu IdP de convidado.
- Público-alvo do JWT de convidado: o ID de cliente do seu IdP de convidado para aplicações Web, exceto para o Google Meet.
- Públicos-alvo JWT adicionais de convidados: opcional. Se configurar um ID de cliente Web do Google Meet ou outros IDs de clientes de aplicações de plataformas não Web, indique os IDs de clientes de cada um. Para a Google Identity Platform, use os IDs de cliente indicados em Se usar a identidade Google para o CSE.
Localização do ponto final: us-central1.
Número esperado de utilizadores: indique o número esperado de utilizadores na sua instância do Google Workspace.

Verifique se o URL JWKS do IdP está acessível publicamente. Confirme os valores do emissor do token JWT e do público-alvo do JWT com o administrador do IdP.

Configure um Google Cloud projeto para o Cloud KMS

O Cloud HSM para os endpoints do Google Workspace baseia-se nas chaves do Cloud KMS para operações criptográficas. Configure um novo Google Cloud projeto para alojar as chaves do Cloud KMS.

Crie um Google Cloud projeto. Este é o seu projeto principal. Anote o ID do projeto e o número do projeto. Precisa destes dados para concluir a configuração.
Ative a faturação no projeto que criou.
Ative a API Cloud KMS no seu Google Cloud projeto de chaves.

Ative a API
Na Google Cloud consola, clique em terminal Ativar Cloud Shell.
Confirme se está no projeto correto comparando o ID do projeto com o ID do projeto na linha de comandos do Cloud Shell.
Usando o Cloud Shell, crie a conta de serviço do Cloud HSM para o Google Workspace:
```
gcloud beta services identity create --service=cloudkmskacls-pa.googleapis.com
```
Tome nota da identidade do serviço criada por este comando. Precisa do nome da identidade do serviço no passo seguinte.
Conceda a função de agente de serviço da chave CHGWS à conta de serviço que criou:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \
    --role=roles/cloudkmskacls.serviceAgent
```
Substitua o seguinte:
- PROJECT_ID: o ID do projeto do seu projeto principal.
- PROJECT_NUMBER: o número do projeto do seu projeto principal.

Faça a gestão do ponto final do serviço CHGWS

As secções seguintes mostram como configurar e gerir os seus pontos finais do CHGWS.

Configure chaves do Cloud KMS

Configure os recursos do Cloud KMS para o seu ponto final do serviço da chave CHGWS.

Crie um conjunto de chaves na região us-central1:
```
gcloud kms keyrings create KEY_RING --location us-central1
```
Substitua KEY_RING pelo nome que quer usar para o seu conjunto de chaves CHGWS, por exemplo, CHGWS_KEY_RING.
Crie uma chave do Cloud HSM:
```
gcloud kms keys create KEY_NAME \
--protection-level "hsm" \
--keyring KEY_RING \
--location us-central1 \
--purpose "encryption" \
--rotation-period ROTATION_PERIOD \
--next-rotation-time NEXT_ROTATION_TIME
```
Substitua o seguinte:
- KEY_NAME: o nome que quer usar para a sua chave, por exemplo, CHGWS_KEY_RING.
- KEY_RING: o nome do seu conjunto de chaves, por exemplo, CHGWS_KEY.
- ROTATION_PERIOD: a frequência com que quer rodar as chaves, por exemplo, 7d.
- NEXT_ROTATION_TIME: a data e a hora em que ocorre a próxima rotação de chaves, por exemplo, 2024-03-20T01:00:00.

Peça a criação de um ponto final

Para pedir a criação de um ponto final, contacte o representante da sua conta para receber ajuda no envio de um pedido de integração de pontos finais. Na solicitação, inclua as seguintes informações:

ID do espaço de trabalho: GOOGLE_WORKSPACE_ID
ID do projeto do Google Cloud: PROJECT_ID
Número do projeto do Google Cloud: PROJECT_NUMBER
Nome do conjunto de chaves do Cloud KMS: KEY_RING
Localização do conjunto de chaves do Cloud KMS: us-central1
Nome da chave do Cloud KMS: KEY_NAME
URL base do CHGWS: opcional. Uma lista de URLs para ativar a migração de chaves. Se configurar o CHGWS pela primeira vez para este Google Workspace, deixe este campo em branco.

Configure o ponto final CHGWS na CSE do Google Workspace

Configure o CSE do Google Workspace para usar o URL CHGWS gerado quando criou o ponto final CHGWS. Siga as instruções em Adicione e faça a gestão de serviços de chaves para a encriptação por parte do cliente.

Migre pontos finais

O CHGWS oferece flexibilidade para mover o seu serviço de chaves para ou do CHGWS. Para iniciar uma migração do CHGWS, contacte o seu representante da conta para receber assistência com o envio de um pedido de migração. Na solicitação, inclua as seguintes informações:

ID do ponto final: o ID do ponto final do CHGWS.
URL base do CHGWS: uma lista de URLs para ativar a migração da chave do CHGWS.
- Se migrar para o HSM na nuvem para o Google Workspace, indique o URL base de cada ponto final do CHGWS a partir do qual está a migrar.
- Se migrar do Cloud HSM para o Google Workspace, indique os URLs base dos pontos finais do CHGWS que quer migrar.

Se migrar entre dois pontos finais diferentes do Cloud HSM para o Google Workspace, envie duas solicitações separadas: uma do ponto final anterior e outra para o novo ponto final.

Elimine ou desative pontos finais

As operações de eliminação ou desativação no ponto final do Cloud HSM para o Google Workspace não são suportadas diretamente. No entanto, pode desativar um ponto final do Cloud HSM para o Google Workspace desativando todas as versões da chave do Cloud KMS de apoio.

Para cada versão da chave do Cloud KMS que suporta o ponto final, execute o seguinte comando:
```
gcloud kms keys versions disable KEY_VERSION --keyring \
    KEY_RING --location us-central1 --key KEY_NAME
```
Substitua o seguinte:
- KEY_VERSION: a versão da chave que quer desativar, por exemplo, 1.
- KEY_RING: o nome do conjunto de chaves, por exemplo, CHGWS_KEY_RING.
- KEY_NAME: o nome da chave, por exemplo, CHGWS_KEY.

Ative os pontos finais

Se desativou um ponto final do CHGWS desativando todas as versões da chave do Cloud KMS subjacente, pode reativar o ponto final do CHGWS. Para reativar o ponto final, ative todas as versões ativas da chave do Cloud KMS subjacente através do seguinte comando da CLI gcloud:

Para cada versão da chave do Cloud KMS que suporta o ponto final, execute o seguinte comando:
```
gcloud kms keys versions enable KEY_VERSION \
    --keyring KEY_RING --location us-central1 --key KEY_NAME
```
Substitua o seguinte:
- KEY_VERSION: a versão da chave que quer desativar, por exemplo, 1.
- KEY_RING: o nome do conjunto de chaves, por exemplo, CHGWS_KEY_RING.
- KEY_NAME: o nome da chave, por exemplo, CHGWS_KEY.

O que se segue?

Saiba mais sobre o HSM na nuvem para o Google Workspace.
Saiba mais sobre o Cloud Key Management Service.
Saiba como adicionar e gerir serviços de chaves para a encriptação por parte do cliente.

Integre o Cloud HSM para o Google Workspace Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.