Esta página explica como usar chaves de encriptação geridas pelo cliente do Cloud KMS noutros Google Cloud serviços para proteger os seus recursos. Para mais informações, consulte o artigo Chaves de encriptação geridas pelo cliente (CMEK).
Quando um serviço suporta CMEK, diz-se que tem uma integração de CMEK. Alguns serviços, como o GKE, têm várias integrações de CMEK para proteger diferentes tipos de dados relacionados com o serviço. Para ver uma lista de serviços com integrações de CMEK, consulte a secção Ative as CMEK para serviços suportados nesta página.
Antes de começar
Antes de poder usar chaves do Cloud KMS noutros Google Cloud serviços, tem de ter um recurso de projeto para conter as suas chaves do Cloud KMS. Recomendamos que use um projeto separado para os seus recursos do Cloud KMS que não contenha outros recursos. Google Cloud
Integrações de CMEK
Prepare-se para ativar a integração das CMEK
Para ver os passos exatos para ativar as CMEK, consulte a documentação doGoogle Cloud serviço relevante. Pode encontrar um link para a documentação da CMEK para cada serviço em Ative a CMEK para serviços suportados nesta página. Para cada serviço, pode esperar seguir passos semelhantes aos seguintes:
Crie um conjunto de chaves ou selecione um conjunto de chaves existente. O conjunto de chaves deve estar localizado o mais próximo possível, em termos geográficos, dos recursos que quer proteger.
No conjunto de chaves selecionado, crie uma chave ou selecione uma chave existente. Certifique-se de que o nível de proteção, a finalidade e o algoritmo da chave são adequados para os recursos que quer proteger. Esta chave é a chave CMEK.
Obtenha o ID de recurso da chave CMEK. Vai precisar deste ID do recurso mais tarde.
Conceda a função de encriptador/desencriptador de CryptoKey do IAM (
roles/cloudkms.cryptoKeyEncrypterDecrypter) na chave CMEK à conta de serviço do serviço.
Depois de criar a chave e atribuir as autorizações necessárias, pode criar ou configurar um serviço para usar a sua chave CMEK.
Use chaves do Cloud KMS com serviços integrados com CMEK
Os passos seguintes usam o Secret Manager como exemplo. Para ver os passos exatos para usar uma chave CMEK do Cloud KMS num determinado serviço, localize esse serviço na lista de serviços integrados com CMEK.
No Secret Manager, pode usar uma CMEK para proteger dados em repouso.
Na Google Cloud consola, aceda à página Secret Manager.
Para criar um segredo, clique em Criar segredo.
Na secção Encriptação, selecione Usar uma chave de encriptação gerida pelo cliente (CMEK).
Na caixa Chave de encriptação, faça o seguinte:
Opcional: para usar uma chave noutro projeto, faça o seguinte:
- Clique em Mudar de projeto.
- Introduza todo ou parte do nome do projeto na barra de pesquisa e, de seguida, selecione o projeto.
- Para ver as chaves disponíveis para o projeto selecionado, clique em Selecionar.
Opcional: para filtrar as chaves disponíveis por localização, anel de chaves, nome ou nível de proteção, introduza termos de pesquisa na barra de filtros .
Selecione uma chave na lista de chaves disponíveis no projeto selecionado. Pode usar a localização apresentada, o porta-chaves e os detalhes do nível de proteção para se certificar de que escolhe a chave correta.
Se a chave que quer usar não for apresentada na lista, clique em Introduzir chave manualmente e introduza o ID do recurso da chave
Conclua a configuração do segredo e, de seguida, clique em Criar segredo. O Secret Manager cria o Secret e encripta-o com a chave CMEK especificada.
Ative as CMEK para serviços suportados
Para ativar as CMEK, primeiro, localize o serviço pretendido na tabela seguinte. Pode introduzir termos de pesquisa no campo para filtrar a tabela. Todos os serviços nesta lista suportam chaves de software e hardware (HSM). Os produtos que se integram com o Cloud KMS quando usam chaves Cloud EKM são indicados na coluna EKM suportado.
Siga as instruções para cada serviço para o qual quer ativar as chaves CMEK.
| Serviço | Protegido com CMEK | EKM suportado | Tópico |
|---|---|---|---|
| Agent Assist | Dados em repouso | Sim | Chaves de encriptação geridas pelo cliente (CMEK) |
| Aplicações de IA | Dados em repouso | Não | Chaves de encriptação geridas pelo cliente |
| AlloyDB para PostgreSQL | Dados escritos em bases de dados | Sim | Usar chaves de encriptação geridas pelo cliente |
| IA antilavagem de dinheiro | Dados nos recursos de instância de IA da AML | Não | Encriptar dados com chaves de encriptação geridas pelo cliente (CMEK) |
| Apigee | Dados em repouso | Não | Introdução às CMEK |
| Apigee API Hub | Dados em repouso | Sim | Encriptação |
| Application Integration | Dados em repouso | Sim | Usar chaves de encriptação geridas pelo cliente |
| Artifact Registry | Dados em repositórios | Sim | Ativar chaves de encriptação geridas pelo cliente |
| Cópia de segurança do GKE | Dados na Cópia de segurança do GKE | Sim | Acerca da encriptação CMEK da Cópia de segurança do GKE |
| BigQuery | Dados no BigQuery | Sim | Proteger dados com chaves do Cloud KMS |
| Bigtable | Dados em repouso | Sim | Chaves de encriptação geridas pelo cliente (CMEK) |
| Cloud Composer | Dados do ambiente | Sim | Usar chaves de encriptação geridas pelo cliente |
| Cloud Data Fusion | Dados do ambiente | Sim | Usar chaves de encriptação geridas pelo cliente |
| API Cloud Healthcare | Conjuntos de dados da Cloud Healthcare API | Sim | Use chaves de encriptação geridas pelo cliente (CMEK) |
| Cloud Logging | Dados no Log Router | Sim | Faça a gestão das chaves que protegem os dados do Log Router |
| Cloud Logging | Dados no armazenamento de registos | Sim | Faça a gestão das chaves que protegem os dados de armazenamento de registos |
| Cloud Run | Imagem de contentor | Sim | Usar chaves de encriptação geridas pelo cliente com o Cloud Run |
| Funções do Cloud Run | Dados em funções do Cloud Run | Sim | Usar chaves de encriptação geridas pelo cliente |
| Cloud SQL | Dados escritos em bases de dados | Sim | Usar chaves de encriptação geridas pelo cliente |
| Cloud Storage | Dados em contentores de armazenamento | Sim | Usar chaves de encriptação geridas pelo cliente |
| Cloud Tasks | Corpo e cabeçalho da tarefa em repouso | Sim | Use chaves de encriptação geridas pelo cliente |
| Cloud Workstations | Dados em discos de VMs | Sim | Encriptar recursos da estação de trabalho |
| Colab Enterprise | Tempos de execução e ficheiros de blocos de notas | Não | Use chaves de encriptação geridas pelo cliente |
| Compute Engine | Discos persistentes | Sim | Proteger recursos com chaves do Cloud KMS |
| Compute Engine | Instantâneos | Sim | Proteger recursos com chaves do Cloud KMS |
| Compute Engine | Imagens personalizadas | Sim | Proteger recursos com chaves do Cloud KMS |
| Compute Engine | Imagens de máquinas | Sim | Proteger recursos com chaves do Cloud KMS |
| Conversational Insights | Dados em repouso | Sim | Chaves de encriptação geridas pelo cliente (CMEK) |
| Migrações homogéneas do Database Migration Service | Migrações do MySQL: dados escritos em bases de dados | Sim | Usar chaves de encriptação geridas pelo cliente (CMEK) |
| Migrações homogéneas do Database Migration Service | Migrações do PostgreSQL: dados escritos em bases de dados | Sim | Usar chaves de encriptação geridas pelo cliente (CMEK) |
| Migrações homogéneas do Database Migration Service | Migrações do PostgreSQL para o AlloyDB: dados escritos em bases de dados | Sim | Acerca das CMEK |
| Migrações homogéneas do Database Migration Service | Migrações do SQL Server: dados escritos em bases de dados | Sim | Acerca das CMEK |
| Migrações heterogéneas do Database Migration Service | Dados em repouso do Oracle para o PostgreSQL | Sim | Use chaves de encriptação geridas pelo cliente (CMEK) para migrações contínuas |
| Dataflow | Dados do estado da pipeline | Sim | Usar chaves de encriptação geridas pelo cliente |
| Dataform | Dados em repositórios | Sim | Use chaves de encriptação geridas pelo cliente |
| Dataplex Universal Catalog | Dados em repouso | Sim | Chaves de encriptação geridas pelo cliente |
| Dataproc | Dados dos clusters do Dataproc em discos de VMs | Sim | Chaves de encriptação geridas pelo cliente |
| Dataproc | Dados do Dataproc sem servidor em discos de VMs | Sim | Chaves de encriptação geridas pelo cliente |
| Dataproc Metastore | Dados em repouso | Sim | Usar chaves de encriptação geridas pelo cliente |
| Datastream | Dados em trânsito | Não | Usar chaves de encriptação geridas pelo cliente (CMEK) |
| Dialogflow CX | Dados em repouso | Sim | Chaves de encriptação geridas pelo cliente (CMEK) |
| Document AI | Dados em repouso e dados em utilização | Sim | Chaves de encriptação geridas pelo cliente (CMEK) |
| Eventarc Advanced (pré-visualização) | Dados em repouso | Não | Use chaves de encriptação geridas pelo cliente (CMEK) |
| Eventarc Standard | Dados em repouso | Sim | Use chaves de encriptação geridas pelo cliente (CMEK) |
| Filestore | Dados em repouso | Sim | Encriptar dados com chaves de encriptação geridas pelo cliente |
| Firestore | Dados em repouso | Sim | Use chaves de encriptação geridas pelo cliente (CMEK) |
| Gemini Code Assist | Dados em repouso | Não | Encriptar dados com chaves de encriptação geridas pelo cliente |
| Google Agentspace – NotebookLM Enterprise | Dados em repouso | Não | Chaves de encriptação geridas pelo cliente |
| Google Agentspace Enterprise | Dados em repouso | Não | Chaves de encriptação geridas pelo cliente |
| Google Cloud Managed Service para Apache Kafka | Dados associados a tópicos | Sim | Configure a encriptação de mensagens |
| Google Cloud NetApp Volumes | Dados em repouso | Sim | Crie uma política de CMEK |
| Google Distributed Cloud | Dados nos nós de limite | Sim | Segurança do armazenamento local |
| Google Kubernetes Engine | Dados em discos de VMs | Sim | Usar chaves de encriptação geridas pelo cliente (CMEK) |
| Google Kubernetes Engine | Segredos da camada de aplicação | Sim | Encriptação de segredos da camada de aplicação |
| Integration Connectors | Dados em repouso | Sim | Métodos de encriptação |
| Looker (Google Cloud Core) | Dados em repouso | Sim | Ative as CMEK para o Looker (Google Cloud Core) |
| Memorystore for Redis | Dados em repouso | Sim | Chaves de encriptação geridas pelo cliente (CMEK) |
| Migre para máquinas virtuais | Dados migrados de origens de VMs VMware, AWS e Azure | Sim | Use a CMEK para encriptar dados armazenados durante uma migração |
| Migre para máquinas virtuais | Dados migrados de origens de imagens de discos e máquinas | Sim | Use a CMEK para encriptar dados em discos de destino e imagens da máquina |
| Parameter Manager | Payloads de versão de parâmetros | Sim | Ative as chaves de encriptação geridas pelo cliente para o Gestor de parâmetros |
| Pub/Sub | Dados associados a tópicos | Sim | Configurar a encriptação de mensagens |
| Secret Manager | Secret payloads | Sim | Ative as chaves de encriptação geridas pelo cliente para o Secret Manager |
| Secure Source Manager | Instâncias | Sim | Encriptar dados com chaves de encriptação geridas pelo cliente |
| Security Command Center | Dados em repouso | Não | Ative as CMEK para o Security Command Center |
| Spanner | Dados em repouso | Sim | Chaves de encriptação geridas pelo cliente (CMEK) |
| Speaker ID (GA restrito) | Dados em repouso | Sim | Usar chaves de encriptação geridas pelo cliente |
| Conversão de voz em texto | Dados em repouso | Sim | Usar chaves de encriptação geridas pelo cliente |
| Vertex AI | Dados associados a recursos | Sim | Usar chaves de encriptação geridas pelo cliente |
| Vertex AI Workbench managed notebooks (descontinuado) | Dados do utilizador em repouso | Não | Chaves de encriptação geridas pelo cliente |
| Vertex AI Workbench user-managed notebooks (descontinuado) | Dados em discos de VMs | Não | Chaves de encriptação geridas pelo cliente |
| Instâncias do Vertex AI Workbench | Dados em discos de VMs | Sim | Chaves de encriptação geridas pelo cliente |
| Workflows | Dados em repouso | Sim | Use chaves de encriptação geridas pelo cliente (CMEK) |
| Workload Manager | Dados de avaliação do tipo de regra personalizada | Sim | Ative chaves de encriptação geridas pelo cliente para avaliações |