Questa pagina spiega come utilizzare la crittografia gestita dal cliente di Cloud KMS in altri servizi Google Cloud per proteggere le tue risorse. Per ulteriori informazioni per ulteriori informazioni, vedi Chiavi di crittografia gestite dal cliente (CMEK).
Quando un servizio supporta CMEK, si dice che Integrazione CMEK. Alcuni servizi, come GKE, hanno più Integrazioni CMEK per proteggere diversi tipi di dati relativi al servizio. Per un elenco di servizi con integrazioni CMEK, vedi Abilitare CMEK per servizi in questa pagina.
Prima di iniziare
Prima di poter utilizzare le chiavi Cloud KMS in altri servizi Google Cloud, devi avere una risorsa di progetto che contenga le chiavi Cloud KMS. Me di utilizzare un progetto separato per le risorse Cloud KMS non contiene altre risorse Google Cloud.
Integrazioni CMEK
Preparati ad abilitare l'integrazione CMEK
Per i passaggi esatti per abilitare CMEK, consulta la documentazione relativa al dal servizio Google Cloud. Puoi trovare un link alla documentazione CMEK per ogni servizio in Abilita CMEK per i servizi supportati su questa pagina. Per ogni servizio puoi aspettarti di seguire una procedura simile alla seguenti:
Crea un keyring o selezionane una esistente suonano. Il keyring deve essere posizionato il più vicino possibile a le risorse che vuoi proteggere.
Nel keyring selezionato, crea una chiave oppure seleziona una chiave esistente. Assicurati che il livello, lo scopo e l'algoritmo di protezione chiave sono appropriati per le risorse che vuoi proteggere. Questa chiave è la chiave CMEK.
Ottieni l'ID risorsa per CMEK chiave. Questo ID risorsa ti servirà in un secondo momento.
Concedi l'autorizzazione IAM Autore crittografia/decriptazione CryptoKey ruolo (
roles/cloudkms.cryptoKeyEncrypterDecrypter
) sulla chiave CMEK l'account di servizio per il servizio.
Dopo aver creato la chiave e aver assegnato le autorizzazioni necessarie, puoi creare o configurare un servizio per usare la chiave CMEK.
Usa le chiavi Cloud KMS con i servizi integrati con CMEK
Nei passaggi seguenti viene utilizzato Secret Manager come esempio. Per l'esatto passaggi per utilizzare una chiave CMEK di Cloud KMS in un determinato servizio, nell'elenco di servizi integrati con CMEK.
In Secret Manager, puoi utilizzare una CMEK per proteggere i dati at-rest.
Nella console Google Cloud, vai alla pagina Secret Manager.
Per creare un secret, fai clic su Crea secret.
Nella sezione Crittografia, seleziona Utilizza una crittografia gestita dal cliente. (CMEK).
Nella casella Chiave di crittografia, procedi nel seguente modo:
(Facoltativo) Per utilizzare una chiave in un altro progetto, segui questi passaggi:
- Fai clic su Cambia progetto.
- Inserisci tutto o parte del nome del progetto nella barra di ricerca, quindi seleziona del progetto.
- Per visualizzare le chiavi disponibili per il progetto selezionato, fai clic su Seleziona.
(Facoltativo) Per filtrare le chiavi disponibili per posizione, keyring, nome o di protezione, inserisci i termini di ricerca nella Barra dei filtri .
Seleziona una chiave dall'elenco di chiavi disponibili nel progetto selezionato. Puoi usare la posizione, il keyring e il livello di protezione visualizzati dettagli per assicurarti di scegliere la chiave corretta.
Se la chiave che vuoi utilizzare non è presente nell'elenco, premi Invio manualmente e inserisci ID risorsa del chiave
Completa la configurazione del secret, quindi fai clic su Crea secret. Secret Manager crea il secret e lo cripta utilizzando il metodo chiave CMEK specificata.
Abilita CMEK per i servizi supportati
Per abilitare CMEK, individua prima il servizio desiderato nella tabella seguente. Puoi inserisci i termini di ricerca nel campo per filtrare la tabella. Tutti i servizi in questo elenco Supportano chiavi software e hardware (HSM). Prodotti che si integrano con Cloud KMS quando si utilizzano chiavi Cloud EKM esterne sono indicate nella colonna EKM supportato.
Segui le istruzioni relative a ogni servizio per cui vuoi abilitare le chiavi CMEK.