Utilizzare le chiavi Cloud KMS in Google Cloud

Questa pagina spiega come utilizzare le chiavi di crittografia gestite dal cliente di Cloud KMS in altri servizi Google Cloud per proteggere le risorse. Per ulteriori informazioni, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Quando un servizio supporta CMEK, si dice che abbia un'integrazione CMEK. Alcuni servizi, come GKE, hanno più integrazioni di CMEK per proteggere diversi tipi di dati relativi al servizio. Per un elenco dei servizi con integrazioni CMEK, consulta Attivare CMEK per i servizi supportati in questa pagina.

Prima di iniziare

Prima di poter utilizzare le chiavi Cloud KMS in altri servizi Google Cloud, devi disporre di una risorsa del progetto contenente le chiavi Cloud KMS. Ti consigliamo di utilizzare un progetto separato per le risorse Cloud KMS che non contiene altre risorse Google Cloud.

Integrazioni CMEK

Preparativi per l'attivazione dell'integrazione CMEK

Per la procedura esatta per attivare CMEK, consulta la documentazione del servizio Google Cloud pertinente. Puoi trovare un link alla documentazione CMEK per ciascun servizio in Attivare CMEK per i servizi supportati in questa pagina. Per ogni servizio, dovrai seguire passaggi simili ai seguenti:

  1. Crea un mazzo di chiavi o selezionane uno esistente. Il portachiavi deve trovarsi il più vicino possibile alle risorse che vuoi proteggere.

  2. Nel keyring selezionato, crea una chiave o selezionane una esistente. Assicurati che il livello di protezione, lo scopo e l'algoritmo della chiave siano appropriati per le risorse che vuoi proteggere. Questa chiave è la chiave CMEK.

  3. Ottieni l'ID risorsa per la chiave CMEK. Ti servirà questo ID risorsa in un secondo momento.

  4. Concedi il ruolo IAM Autore crittografia/decrittografia CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) alla chiave CMEK per l'account di servizio del servizio.

Dopo aver creato la chiave e assegnato le autorizzazioni richieste, puoi creare o configurare un servizio per utilizzare la chiave CMEK.

Utilizzare le chiavi Cloud KMS con i servizi integrati con CMEK

I passaggi che seguono utilizzano Secret Manager come esempio. Per la procedura esatta per utilizzare una chiave CMEK Cloud KMS in un determinato servizio, individua il servizio nell'elenco dei servizi integrati con CMEK.

In Secret Manager, puoi utilizzare una chiave CMEK per proteggere i dati at-rest.

  1. Nella console Google Cloud, vai alla pagina Secret Manager.

    Vai a Secret Manager

  2. Per creare un secret, fai clic su Crea secret.

  3. Nella sezione Crittografia, seleziona Utilizza una chiave di crittografia gestita dal cliente (CMEK).

  4. Nella casella Chiave di crittografia, procedi nel seguente modo:

    1. (Facoltativo) Per utilizzare una chiave in un altro progetto, segui questi passaggi:

      1. Fai clic su Cambia progetto.
      2. Inserisci tutto o parte del nome del progetto nella barra di ricerca, quindi selezionalo.
      3. Per visualizzare le chiavi disponibili per il progetto selezionato, fai clic su Seleziona.
    2. (Facoltativo) Per filtrare le chiavi disponibili in base a località, portachiavi, nome o livello di protezione, inserisci i termini di ricerca nella barra dei filtri.

    3. Seleziona una chiave dall'elenco delle chiavi disponibili nel progetto selezionato. Puoi utilizzare i dettagli visualizzati per località, mazzo di chiavi e livello di protezione per assicurarti di scegliere la chiave corretta.

    4. Se la chiave che vuoi utilizzare non è visualizzata nell'elenco, fai clic su Inserisci chiave manualmente e inserisci l'ID risorsa della chiave.

  5. Completa la configurazione del secret e fai clic su Crea secret. Secret Manager crea il secret e lo cripta utilizzando la chiave CMEK specificata.

Attivare CMEK per i servizi supportati

Per attivare CMEK, individua prima il servizio desiderato nella tabella seguente. Puoi inserire termini di ricerca nel campo per filtrare la tabella. Tutti i servizi in questo elenco supportano chiavi software e hardware (HSM). I prodotti che si integrano con Cloud KMS quando si utilizzano chiavi Cloud EKM esterne sono indicati nella colonna EKM supportato.

Segui le istruzioni per ciascun servizio per cui vuoi attivare le chiavi CMEK.

Servizio Protetto con CMEK EKM supportato Argomento
Agent Assist Dati at-rest Chiavi di crittografia gestite dal cliente (CMEK)
AI Platform Training Dati sui dischi VM No Utilizzo delle chiavi di crittografia gestite dal cliente
AlloyDB per PostgreSQL Dati scritti nei database Utilizzo delle chiavi di crittografia gestite dal cliente
Anti Money Laundering AI Dati nelle risorse dell'istanza AML AI No Eseguire la crittografia dei dati utilizzando le chiavi di crittografia gestite dal cliente (CMEK)
Apigee Dati at-rest No Introduzione a CMEK
Hub API Apigee Dati at-rest Crittografia
Application Integration Dati scritti nei database per l'integrazione delle applicazioni No Utilizzo delle chiavi di crittografia gestite dal cliente
Artifact Registry Dati nei repository Abilitazione delle chiavi di crittografia gestite dal cliente
Backup per GKE Dati in Backup per GKE Informazioni sulla crittografia CMEK di Backup for GKE
BigQuery Dati in BigQuery Protezione dei dati con le chiavi Cloud KMS
Bigtable Dati at-rest Chiavi di crittografia gestite dal cliente (CMEK)
Cloud Composer Dati ambientali Utilizzo delle chiavi di crittografia gestite dal cliente
Cloud Data Fusion Dati ambientali Utilizzo delle chiavi di crittografia gestite dal cliente
API Cloud Healthcare Set di dati dell'API Cloud Healthcare Utilizzare le chiavi di crittografia gestite dal cliente (CMEK)
Cloud Logging Dati nel router dei log Gestire le chiavi che proteggono i dati di Log Router
Cloud Logging Dati nello spazio di archiviazione del logging Gestire le chiavi che proteggono i dati di archiviazione di Log
Cloud Run Immagine container Utilizzo delle chiavi di crittografia gestite dal cliente con Cloud Run
Funzioni Cloud Run Dati nelle funzioni Cloud Run Utilizzo delle chiavi di crittografia gestite dal cliente
Cloud SQL Dati scritti nei database Utilizzo delle chiavi di crittografia gestite dal cliente
Cloud Storage Dati nei bucket di archiviazione Utilizzo delle chiavi di crittografia gestite dal cliente
Cloud Tasks Testo e intestazione dell'attività at-rest Utilizzare le chiavi di crittografia gestite dal cliente
Cloud Workstations Dati sui dischi VM Crittografia delle risorse della workstation
Colab Enterprise Runtime e file di notebook No Utilizzare le chiavi di crittografia gestite dal cliente
Compute Engine Dischi permanenti Protezione delle risorse con le chiavi Cloud KMS
Compute Engine Snapshot Protezione delle risorse con le chiavi Cloud KMS
Compute Engine Immagini personalizzate Protezione delle risorse con le chiavi Cloud KMS
Compute Engine Immagini macchina Protezione delle risorse con le chiavi Cloud KMS
Conversational Insights Dati at-rest Chiavi di crittografia gestite dal cliente (CMEK)
Migrazioni omogenee di Database Migration Service Migrazioni MySQL: dati scritti nei database Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)
Migrazioni omogenee di Database Migration Service Migrazioni PostgreSQL: dati scritti nei database Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)
Migrazioni omogenee di Database Migration Service Migrazioni da PostgreSQL ad AlloyDB: dati scritti nei database Informazioni su CMEK
Migrazioni eterogenee di Database Migration Service Dati a riposo da Oracle a PostgreSQL Utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per le migrazioni continue
Dataflow Dati sullo stato della pipeline Utilizzo delle chiavi di crittografia gestite dal cliente
Dataform Dati nei repository Utilizzare le chiavi di crittografia gestite dal cliente
Dataproc Dati dei cluster Dataproc sui dischi VM Chiavi di crittografia gestite dal cliente
Dataproc Dati di Dataproc Serverless sui dischi VM Chiavi di crittografia gestite dal cliente
Dataproc Metastore Dati at-rest Utilizzo delle chiavi di crittografia gestite dal cliente
Datastream Dati in transito No Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)
Dialogflow CX Dati at-rest Chiavi di crittografia gestite dal cliente (CMEK)
Document AI Dati at-rest e dati in uso Chiavi di crittografia gestite dal cliente (CMEK)
Eventarc Advanced (anteprima) Dati at-rest No Utilizzare le chiavi di crittografia gestite dal cliente (CMEK)
Eventarc Standard Dati at-rest Utilizzare le chiavi di crittografia gestite dal cliente (CMEK)
Filestore Dati at-rest Criptare i dati con chiavi di crittografia gestite dal cliente
Firestore Dati at-rest Utilizzare le chiavi di crittografia gestite dal cliente (CMEK)
Google Cloud Managed Service per Apache Kafka Dati associati agli argomenti Configurare la crittografia dei messaggi
Google Cloud NetApp Volumes Dati at-rest No Creare un criterio CMEK
Google Distributed Cloud Dati sui nodi Edge Sicurezza dello spazio di archiviazione locale
Google Kubernetes Engine Dati sui dischi VM Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)
Google Kubernetes Engine Secret a livello di applicazione Crittografia dei secret a livello di applicazione
Looker (Google Cloud core) Dati at-rest Abilita CMEK per Looker (Google Cloud core)
Memorystore for Redis Dati at-rest Chiavi di crittografia gestite dal cliente (CMEK)
Migrate to Virtual Machines Dati migrati da origini VM VMware, AWS e Azure Utilizzare le chiavi CMEK per criptare i dati archiviati durante una migrazione
Migrate to Virtual Machines Dati di cui è stata eseguita la migrazione da origini di immagini macchina e disco Utilizzare CMEK per criptare i dati sui dischi di destinazione e sulle immagini macchina
Pub/Sub Dati associati agli argomenti Configurare la crittografia dei messaggi
Secret Manager Payload segreti Abilitare le chiavi di crittografia gestite dal cliente per Secret Manager
Secure Source Manager Istanze Criptare i dati con chiavi di crittografia gestite dal cliente
Spanner Dati at-rest Chiavi di crittografia gestite dal cliente (CMEK)
Speaker ID (GA con limitazioni) Dati at-rest Utilizzo delle chiavi di crittografia gestite dal cliente
Speech-to-Text Dati at-rest Utilizzo delle chiavi di crittografia gestite dal cliente
Vertex AI Dati associati alle risorse Utilizzo delle chiavi di crittografia gestite dal cliente
Vertex AI Agent Builder Dati at-rest No Chiavi di crittografia gestite dal cliente
Blocchi note gestiti da Vertex AI Workbench Dati utente at-rest No Chiavi di crittografia gestite dal cliente
Notebook gestiti dall'utente di Vertex AI Workbench Dati sui dischi VM No Chiavi di crittografia gestite dal cliente
Istanze Vertex AI Workbench Dati sui dischi VM Chiavi di crittografia gestite dal cliente
Workflows Dati at-rest Utilizzare le chiavi di crittografia gestite dal cliente (CMEK)