Recursos do Cloud KMS

Esta página descreve cada tipo de recurso no Cloud KMS. Saiba mais sobre a hierarquia de recursos.

Chaves

Uma chave do Cloud KMS é um objeto nomeado que contém uma ou mais versões de chave, junto com os metadados da chave. Há uma chave em exatamente um keyring vinculado a um local específico.

É possível permitir e negar o acesso a chaves usando permissões e papéis do gerenciamento de identidade e acesso (IAM, na sigla em inglês). Não é possível gerenciar o acesso a uma versão de chave.

Desativar ou destruir uma chave também desativa ou destrói cada versão da chave.

As seções a seguir discutem as propriedades de uma chave.

Dependendo do contexto, as propriedades de uma chave são mostradas em um formato diferente.

  • Ao usar a Google Cloud CLI ou a API Cloud Key Management Service, a propriedade é mostrada como uma string de letras maiúsculas, como SOFTWARE.
  • Ao usar o console do Google Cloud, a propriedade é mostrada como uma string com a capitalização inicial, como Software.

Nas seções a seguir, cada formato é mostrado onde é apropriado.

Tipo

O tipo de uma chave determina se a chave é usada para operações criptográficas simétricas ou assimétricas.

Na criptografia ou assinatura simétrica, a mesma chave é usada para criptografar e descriptografar dados ou para assinar e verificar uma assinatura.

Na criptografia ou assinatura assimétrica, a chave consiste em uma chave pública e privada. Uma chave privada com a chave pública correspondente é chamada de par de chaves.

  • A chave privada é considerada dados sensíveis e é necessária para descriptografar dados ou para assinatura, dependendo da finalidade configurada da chave.
  • A chave pública não é considerada confidencial e é necessária para criptografar dados ou verificar uma assinatura, dependendo da finalidade configurada da chave.

O tipo de chave é um componente da finalidade dela e não pode ser alterado após a criação.

Motivo

A finalidade de uma chave indica para que tipo de operações criptográficas ela pode ser usada, por exemplo, Criptografia/descriptografia simétrica ou Assinatura assimétrica. Você escolhe a finalidade ao criar a chave, e todas as versões de uma chave têm a mesma finalidade. A finalidade de uma chave não pode ser alterada depois que a chave é criada. Para mais informações sobre finalidades de chave, consulte Finalidades de chave.

Nível de proteção

O nível de proteção de uma chave determina o ambiente de armazenamento da chave em repouso. O nível de proteção é um dos seguintes:

  • Software (SOFTWARE na Google Cloud CLI e na API Cloud Key Management Service)
  • HSM
  • Externo (EXTERNAL na Google Cloud CLI e na API Cloud Key Management Service)
  • External_VPC (EXTERNAL_VPC na Google Cloud CLI e na API Cloud Key Management Service)

O nível de proteção de uma chave não pode ser alterado depois que ela é criada.

Versão principal

As chaves podem ter várias versões de chave ativas e ativadas ao mesmo tempo. As chaves de criptografia simétrica têm uma versão chave primária, que é a versão usada por padrão para criptografar dados se você não especificar uma versão de chave.

Chaves assimétricas não têm versões principais. Você precisa especificar a versão ao usar a chave.

Para chaves simétricas e assimétricas, você pode usar qualquer versão de chave ativada para criptografar e descriptografar dados ou assinar e validar assinaturas.

Versões de chave

Cada versão de uma chave contém o material de chave usado para criptografia ou assinatura. Cada versão recebe um número de versão, começando em 1. Fazer a rotação de uma chave cria uma nova versão da chave. Saiba mais sobre a rotação de chaves.

Para descriptografar dados ou verificar uma assinatura, use a mesma versão de chave usada para criptografar ou assinar os dados. Para encontrar o ID de recurso de uma versão da chave, consulte Como recuperar o ID de recurso de uma chave.

É possível desativar ou destruir versões de chaves individuais sem afetar outras versões. Também é possível desativar ou destruir todas as versões de uma chave.

Não é possível controlar o acesso a versões de chaves independentemente das permissões em vigor na chave. Conceder acesso a uma chave concede acesso a todas as versões ativadas dela.

Por motivos de segurança, nenhum principal do Google Cloud pode visualizar ou exportar o material bruto da chave criptográfica representado por uma versão de chave. Em vez disso, o Cloud KMS acessa o material de chave em seu nome.

As seções a seguir discutem as propriedades de uma versão de chave.

Estado

Cada versão da chave tem um estado que informa o status dela. Normalmente, o estado de uma chave é um dos seguintes:

  • Ativado
  • Desativada
  • Programada para destruição
  • Destruído

Uma versão de chave só pode ser usada quando está ativada. As versões de chave em qualquer estado que não sejam destruídas geram custos. Para mais informações sobre os estados da versão da chave e como as versões podem fazer a transição entre eles, consulte Estados da versão da chave.

Algoritmo

O algoritmo de uma versão de chave determina como o material da chave é criado e os parâmetros necessários para operações criptográficas. As chaves simétricas e assimétricas usam algoritmos diferentes. A criptografia e a assinatura usam algoritmos diferentes.

Se você não especificar um algoritmo ao criar uma nova versão de chave, o algoritmo da versão anterior será usado.

Independentemente do algoritmo, o Cloud KMS usa criptografia probabilística. Assim, o mesmo texto simples criptografado duas vezes com a mesma versão de chave não retorna o mesmo texto criptografado.

Keyrings

Um keyring organiza chaves em um local específico do Google Cloud e permite gerenciar o controle de acesso em grupos de chaves. O nome de um keyring não precisa ser exclusivo em um projeto do Google Cloud, mas precisa ser exclusivo em um determinado local. Após a criação, não é possível excluir um keyring. Os keyrings não geram custos.

Identificadores de chaves

Um identificador de chave é um recurso do Cloud KMS que ajuda a abranger com segurança a separação de funções para criar novas chaves do Cloud KMS para CMEK usando o Autokey. A criação de um identificador de chave em um projeto de recurso aciona a criação de uma chave do Cloud KMS no projeto de chave para a configuração CMEK sob demanda.

Um identificador de chave contém uma referência à chave do Cloud KMS que foi criada. É possível recuperar o ID do recurso do Cloud KMS de uma chave criada pelo Autokey usando o identificador de chave. Ferramentas de infraestrutura como código, como o Terraform, podem funcionar com identificadores de chave para gerenciar recursos protegidos por CMEK sem privilégios elevados.

Os identificadores de chave não aparecem no console do Google Cloud, mas, para usar o Autokey com a API REST ou o Terraform, é necessário trabalhar com identificadores de chave. Para mais informações sobre o uso de identificadores de chave, consulte Criar recursos protegidos usando a chave automática do Cloud KMS.

Configurações da chave automática

Uma configuração de chave automática é um recurso no nível da pasta que define se a chave automática está ativada para a pasta. A configuração do Autokey também define qual projeto de chave é usado para chaves criadas pelo Cloud KMS Autokey para proteger os recursos nessa pasta. Ao ativar a chave automática, você cria ou atualiza uma configuração da chave automática na pasta de recursos. Para mais informações sobre o uso de configurações de chaves automáticas, consulte Ativar o Cloud KMS Autokey.

Conexões EKM

Uma conexão de EKM é um recurso do Cloud KMS que organiza conexões de VPC com EKMs locais em um local específico do Google Cloud. Com uma conexão EKM, é possível se conectar e usar chaves de um gerenciador de chaves externo em uma rede VPC. Após a criação, não é possível excluir uma conexão EKM. As conexões EKM não geram custos.

Como recuperar o ID de um recurso

Algumas chamadas de API e CLI gcloud podem exigir que você se refira a um keyring, uma chave ou uma versão de chave pelo ID do recurso, que é uma string que representa o nome CryptoKeyVersion totalmente qualificado. Os IDs dos recursos são hierárquicos, semelhantes a um caminho do sistema de arquivos. O ID do recurso de uma chave também contém informações sobre o keyring e o local.

Objeto Formato de código do recurso
Keyring projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING
Chave projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
Versão da chave projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION
Alça da chave projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE
Conexão EKM projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION
Configuração da chave automática folders/FOLDER_NUMBER/autopilotConfig

Para saber mais, consulte Como conseguir um código de recurso do Cloud KMS.

Como organizar recursos

Ao planejar como organizar os recursos no seu projeto do Google Cloud, considere as regras de negócios e como você planeja gerenciar o acesso. É possível conceder acesso a uma única chave, a todas as chaves em um keyring ou a todas as chaves em um projeto. Os seguintes padrões de organização são comuns:

  • Por ambiente, como prod, test e develop.
  • Por área de trabalho, como payroll ou insurance_claims.
  • Por confidencialidade ou características dos dados, como unrestricted, restricted, confidential, top-secret.

Ciclos de vida de recursos

Os keyrings, as chaves e as versões da chave não podem ser excluídos. Isso garante que o identificador de recurso de uma versão de chave seja exclusivo e sempre aponte para o material de chave original dessa versão, a menos que ele tenha sido destruído. É possível armazenar um número ilimitado de keyrings, chaves ativadas ou desativadas e versões de chave ativadas, desativadas ou destruídas. Para mais informações, consulte Preços e Cotas.

Para saber como destruir ou restaurar uma versão de chave, consulte Como destruir e restaurar versões de chave.

Depois de programar o encerramento de um projeto do Google Cloud, não será possível acessar os recursos do projeto, incluindo os do Cloud KMS, a menos que você recupere o projeto seguindo as etapas para restaurar um projeto.

A seguir