Nesta página, explicamos como usar a criptografia gerenciada pelo cliente do Cloud KMS chaves em outros serviços do Google Cloud para proteger seus recursos. Para mais mais informações, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).
Quando um serviço oferece suporte à CMEK, dizem ter uma Integração de CMEK. Alguns serviços, como o GKE, têm várias integrações CMEK para proteger diferentes tipos de dados relacionados ao serviço. Para uma lista de serviços com integrações de CMEK, consulte Ativar CMEK para suporte serviços nesta página.
Antes de começar
Antes de usar as chaves do Cloud KMS em outros serviços do Google Cloud, você precisa ter um recurso de projeto para conter as chaves do Cloud KMS. Qa use um projeto separado para os recursos do Cloud KMS que não contém nenhum outro recurso do Google Cloud.
Integrações com CMEK
Preparar-se para ativar a integração da CMEK
Para saber mais sobre as etapas exatas para ativar o CMEK, consulte a documentação do serviço do Google Cloud relevante. Há um link para a documentação da CMEK cada serviço em Ativar CMEK para serviços com suporte em nesta página. Para cada serviço, você pode esperar seguir etapas semelhantes às seguintes:
Crie um keyring ou selecione uma chave existente. anel O keyring deve estar localizado geograficamente o mais próximo possível os recursos que você quer proteger.
No keyring selecionado, crie uma chave ou selecione uma chave atual. Garanta que o nível, a finalidade e o algoritmo da proteção para a chave sejam apropriados para os recursos que você quer proteger. Esta chave é a chave CMEK.
Consiga o ID do recurso para a CMEK chave. Você vai precisar desse ID de recurso mais tarde.
Conceda o IAM criptografador/descriptografador do CryptoKey cargo (
roles/cloudkms.cryptoKeyEncrypterDecrypter
) na chave CMEK para o conta de serviço para o serviço.
Depois de criar a chave e atribuir as permissões necessárias, será possível crie ou configure um serviço para usar a chave CMEK.
Usar chaves do Cloud KMS com serviços integrados ao CMEK
As etapas a seguir usam o Secret Manager como exemplo. Para o exato para usar uma chave CMEK do Cloud KMS em um determinado serviço, localize o na lista de serviços integrados à CMEK.
No Secret Manager, é possível usar uma CMEK para proteger os dados em repouso.
No console do Google Cloud, acesse a página Secret Manager.
Para criar um secret, clique em Criar secret.
Na seção Criptografia, selecione Usar uma criptografia gerenciada pelo cliente (CMEK).
Na caixa Chave de criptografia, faça o seguinte:
Opcional: para usar uma chave em outro projeto, faça o seguinte:
- Clique em Mudar de projeto.
- Digite todo ou parte do nome do projeto na barra de pesquisa e selecione o projeto.
- Para conferir as chaves disponíveis do projeto escolhido, clique em Selecionar.
Opcional: para filtrar as chaves disponíveis por local, keyring, nome ou nível de proteção, digite os termos de pesquisa no Barra de filtro .
Selecione uma chave na lista de chaves disponíveis no projeto selecionado. É possível usar o local, o keyring e o nível de proteção exibidos para ter certeza de que você escolheu a chave correta.
Se a chave que você quer usar não aparecer na lista, clique em Enter chave manualmente e insira ID de recurso do chave
Conclua a configuração do secret e clique em Criar secret. O Secret Manager cria o secret e o criptografa usando o chave CMEK especificada.
Ativar a CMEK para serviços com suporte
Para ativar a CMEK, primeiro localize o serviço desejado na tabela a seguir. Você pode digite os termos de pesquisa no campo para filtrar a tabela. Todos os serviços nesta lista oferecem suporte a chaves de software e hardware (HSM, na sigla em inglês). Produtos que se integram ao Cloud KMS ao usar chaves externas do Cloud EKM estão indicados na coluna EKM compatível.
Siga as instruções de cada serviço em que você quer ativar chaves CMEK.