Questa pagina spiega come utilizzare le chiavi di crittografia gestite dal cliente di Cloud KMS in altri servizi Google Cloud per proteggere le risorse. Per saperne di più, consulta Chiavi di crittografia gestite dal cliente (CMEK).
Quando un servizio supporta CMEK, si dice che abbia un'integrazione CMEK. Alcuni servizi, come GKE, hanno più integrazioni CMEK per proteggere diversi tipi di dati relativi al servizio. Per un elenco di servizi con integrazioni CMEK, vedi Abilitare CMEK per i servizi supportati in questa pagina.
Prima di iniziare
Per poter utilizzare le chiavi Cloud KMS in altri servizi Google Cloud, devi disporre di una risorsa di progetto che contenga le chiavi Cloud KMS. Ti consigliamo di utilizzare un progetto separato per le risorse Cloud KMS che non contiene altre risorse Google Cloud.
Integrazioni CMEK
Preparati ad abilitare l'integrazione CMEK
Per i passaggi esatti per abilitare CMEK, consulta la documentazione del servizio Google Cloud pertinente. Puoi trovare un link alla documentazione su CMEK per ciascun servizio in Abilitare CMEK per i servizi supportati in questa pagina. Per ogni servizio puoi aspettarti di seguire passaggi simili ai seguenti:
Crea un keyring o selezionane uno esistente. Il keyring deve trovarsi geograficamente il più vicino possibile alle risorse che vuoi proteggere.
Nel keyring selezionato, crea una chiave o selezionane una esistente. Assicurati che il livello di protezione, lo scopo e l'algoritmo per la chiave siano appropriati per le risorse che vuoi proteggere. Questa è la chiave CMEK.
Recupera l'ID risorsa per la chiave CMEK. Questo ID risorsa ti servirà in un secondo momento.
Concedi il ruolo IAM Autore crittografia/decrittografia CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter
) nella chiave CMEK all'account di servizio per il servizio.
Dopo aver creato la chiave e assegnato le autorizzazioni richieste, puoi creare o configurare un servizio per utilizzare la chiave CMEK.
Usa le chiavi Cloud KMS con i servizi integrati con CMEK
Nei passaggi seguenti viene utilizzato Secret Manager come esempio. Per i passaggi esatti per utilizzare una chiave CMEK di Cloud KMS in un determinato servizio, individua il servizio nell'elenco dei servizi integrati con CMEK.
In Secret Manager, puoi utilizzare una CMEK per proteggere i dati at-rest.
Nella console Google Cloud, vai alla pagina Secret Manager.
Per creare un secret, fai clic su Create Secret (Crea secret).
Nella sezione Crittografia, seleziona Utilizza una chiave di crittografia gestita dal cliente (CMEK).
Nella casella Chiave di crittografia, procedi nel seguente modo:
(Facoltativo) Per utilizzare una chiave in un altro progetto:
- Fai clic su Cambia progetto.
- Inserisci tutto o parte del nome del progetto nella barra di ricerca, poi seleziona il progetto.
- Per visualizzare le chiavi disponibili per il progetto selezionato, fai clic su Seleziona.
(Facoltativo) Per filtrare le chiavi disponibili in base alla località, al keyring, al nome o al livello di protezione, inserisci i termini di ricerca nella barra dei filtri .
Seleziona una chiave dall'elenco di chiavi disponibili nel progetto selezionato. Puoi utilizzare i dettagli relativi a posizione, keyring e livello di protezione visualizzati per assicurarti di scegliere la chiave corretta.
Se la chiave che vuoi utilizzare non è presente nell'elenco, fai clic su Inserisci la chiave manualmente e inserisci l'ID risorsa della chiave
Completa la configurazione del secret, quindi fai clic su Crea secret. Secret Manager crea il secret e lo cripta utilizzando la chiave CMEK specificata.
Abilita CMEK per i servizi supportati
Per abilitare CMEK, individua prima il servizio desiderato nella tabella seguente. Puoi inserire i termini di ricerca nel campo per filtrare la tabella. Tutti i servizi in questo elenco supportano chiavi software e hardware (HSM). I prodotti che si integrano con Cloud KMS quando si utilizzano chiavi Cloud EKM esterne sono indicati nella colonna EKM supportate.
Segui le istruzioni per ogni servizio per cui vuoi abilitare le chiavi CMEK.