Questa pagina spiega come utilizzare la crittografia gestita dal cliente di Cloud KMS in altri servizi Google Cloud per proteggere le tue risorse. Per maggiori informazioni per ulteriori informazioni, vedi Chiavi di crittografia gestite dal cliente (CMEK).
Quando un servizio supporta CMEK, si dice che abbia un'integrazione CMEK. Alcuni servizi, come GKE, hanno più Integrazioni CMEK per proteggere diversi tipi di dati relativi al servizio. Per un elenco di servizi con integrazioni CMEK, vedi Abilitare CMEK per servizi in questa pagina.
Prima di iniziare
Prima di poter utilizzare le chiavi Cloud KMS in altri servizi Google Cloud, devi disporre di una risorsa del progetto contenente le chiavi Cloud KMS. Ti consigliamo di utilizzare un progetto separato per le risorse Cloud KMS che non contiene altre risorse Google Cloud.
Integrazioni CMEK
Preparati ad abilitare l'integrazione CMEK
Per i passaggi esatti per abilitare CMEK, consulta la documentazione relativa al dal servizio Google Cloud. Puoi trovare un link alla documentazione CMEK per ciascun servizio in Attivare CMEK per i servizi supportati in questa pagina. Per ogni servizio puoi aspettarti di seguire una procedura simile alla seguenti:
Crea un keyring o selezionane una esistente suonano. Il portachiavi deve trovarsi il più vicino possibile alle risorse che vuoi proteggere.
Nel keyring selezionato, crea una chiave o selezionane una esistente. Assicurati che il livello di protezione, lo scopo e l'algoritmo della chiave siano appropriati per le risorse che vuoi proteggere. Questa chiave è la chiave CMEK.
Ottieni l'ID risorsa per la chiave CMEK. Ti servirà questo ID risorsa in un secondo momento.
Concedi l'autorizzazione IAM Autore crittografia/decriptazione CryptoKey ruolo (
roles/cloudkms.cryptoKeyEncrypterDecrypter) sulla chiave CMEK l'account di servizio per il servizio.
Dopo aver creato la chiave e aver assegnato le autorizzazioni necessarie, puoi creare o configurare un servizio per usare la chiave CMEK.
Usa le chiavi Cloud KMS con i servizi integrati con CMEK
Nei passaggi seguenti viene utilizzato Secret Manager come esempio. Per l'esatto passaggi per utilizzare una chiave CMEK di Cloud KMS in un determinato servizio, nell'elenco di servizi integrati con CMEK.
In Secret Manager, puoi utilizzare una chiave CMEK per proteggere i dati at-rest.
Nella console Google Cloud, vai alla pagina Secret Manager.
Per creare un secret, fai clic su Crea secret.
Nella sezione Crittografia, seleziona Usa una chiave di crittografia gestita dal cliente (CMEK).
Nella casella Chiave di crittografia, segui questi passaggi:
(Facoltativo) Per utilizzare una chiave in un altro progetto, segui questi passaggi:
- Fai clic su Cambia progetto.
- Inserisci tutto o parte del nome del progetto nella barra di ricerca, quindi selezionalo.
- Per visualizzare le chiavi disponibili per il progetto selezionato, fai clic su Seleziona.
(Facoltativo) Per filtrare le chiavi disponibili in base a località, mazzo di chiavi, nome o livello di protezione, inserisci i termini di ricerca nella barra dei filtri.
Seleziona una chiave dall'elenco di chiavi disponibili nel progetto selezionato. Puoi utilizzare i dettagli visualizzati per località, mazzo di chiavi e livello di protezione per assicurarti di scegliere la chiave corretta.
Se la chiave che vuoi utilizzare non è presente nell'elenco, premi Invio manualmente e inserisci ID risorsa del chiave
Completa la configurazione del secret, quindi fai clic su Crea secret. Secret Manager crea il secret e lo cripta utilizzando il metodo chiave CMEK specificata.
Attivare CMEK per i servizi supportati
Per attivare CMEK, individua prima il servizio desiderato nella tabella seguente. Puoi inserire termini di ricerca nel campo per filtrare la tabella. Tutti i servizi in questo elenco Supportano chiavi software e hardware (HSM). I prodotti che si integrano con Cloud KMS quando si utilizzano chiavi Cloud EKM esterne sono indicati nella colonna EKM supportato.
Segui le istruzioni per ciascun servizio per cui vuoi attivare le chiavi CMEK.