Questa pagina spiega come utilizzare le chiavi di crittografia gestite dal cliente di Cloud KMS in altri servizi Google Cloud per proteggere le risorse. Per ulteriori informazioni, consulta Chiavi di crittografia gestite dal cliente (CMEK).
Quando un servizio supporta CMEK, si dice che abbia un'integrazione CMEK. Alcuni servizi, come GKE, hanno più integrazioni di CMEK per proteggere diversi tipi di dati relativi al servizio. Per un elenco dei servizi con integrazioni CMEK, consulta Attivare CMEK per i servizi supportati in questa pagina.
Prima di iniziare
Prima di poter utilizzare le chiavi Cloud KMS in altri servizi Google Cloud, devi disporre di una risorsa del progetto contenente le chiavi Cloud KMS. Ti consigliamo di utilizzare un progetto separato per le risorse Cloud KMS che non contiene altre risorse Google Cloud.
Integrazioni CMEK
Preparativi per l'attivazione dell'integrazione CMEK
Per la procedura esatta per attivare CMEK, consulta la documentazione del servizio Google Cloud pertinente. Puoi trovare un link alla documentazione CMEK per ciascun servizio in Attivare CMEK per i servizi supportati in questa pagina. Per ogni servizio, dovrai seguire passaggi simili ai seguenti:
Crea un mazzo di chiavi o selezionane uno esistente. Il portachiavi deve trovarsi il più vicino possibile alle risorse che vuoi proteggere.
Nel keyring selezionato, crea una chiave o selezionane una esistente. Assicurati che il livello di protezione, lo scopo e l'algoritmo della chiave siano appropriati per le risorse che vuoi proteggere. Questa chiave è la chiave CMEK.
Ottieni l'ID risorsa per la chiave CMEK. Ti servirà questo ID risorsa in un secondo momento.
Concedi il ruolo IAM Autore crittografia/decrittografia CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) alla chiave CMEK per l'account di servizio del servizio.
Dopo aver creato la chiave e assegnato le autorizzazioni richieste, puoi creare o configurare un servizio per utilizzare la chiave CMEK.
Utilizzare le chiavi Cloud KMS con i servizi integrati con CMEK
I passaggi che seguono utilizzano Secret Manager come esempio. Per la procedura esatta per utilizzare una chiave CMEK Cloud KMS in un determinato servizio, individua il servizio nell'elenco dei servizi integrati con CMEK.
In Secret Manager, puoi utilizzare una chiave CMEK per proteggere i dati at-rest.
Nella console Google Cloud, vai alla pagina Secret Manager.
Per creare un secret, fai clic su Crea secret.
Nella sezione Crittografia, seleziona Usa una chiave di crittografia gestita dal cliente (CMEK).
Nella casella Chiave di crittografia, procedi nel seguente modo:
(Facoltativo) Per utilizzare una chiave in un altro progetto:
- Fai clic su Cambia progetto.
- Inserisci tutto o parte del nome del progetto nella barra di ricerca, quindi selezionalo.
- Per visualizzare le chiavi disponibili per il progetto selezionato, fai clic su Seleziona.
(Facoltativo) Per filtrare le chiavi disponibili in base a posizione, mazzo di chiavi, nome o livello di protezione, inserisci i termini di ricerca nella barra dei filtri.
Seleziona una chiave dall'elenco delle chiavi disponibili nel progetto selezionato. Puoi utilizzare i dettagli visualizzati per località, mazzo di chiavi e livello di protezione per assicurarti di scegliere la chiave corretta.
Se la chiave che vuoi utilizzare non è visualizzata nell'elenco, fai clic su Inserisci chiave manualmente e inserisci l'ID risorsa della chiave.
Completa la configurazione del secret e fai clic su Crea secret. Secret Manager crea il secret e lo cripta utilizzando la chiave CMEK specificata.
Attivare CMEK per i servizi supportati
Per attivare CMEK, individua prima il servizio desiderato nella tabella seguente. Puoi inserire termini di ricerca nel campo per filtrare la tabella. Tutti i servizi in questo elenco supportano chiavi software e hardware (HSM). I prodotti che si integrano con Cloud KMS quando si utilizzano chiavi Cloud EKM esterne sono indicati nella colonna EKM supportato.
Segui le istruzioni per ciascun servizio per cui vuoi attivare le chiavi CMEK.