Como usar o Cloud KMS com outros produtos

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Neste tópico, apresentamos informações sobre como usar chaves do Cloud KMS em serviços do Google Cloud que oferecem integrações com o Cloud KMS. Esses serviços geralmente se enquadram em uma das seguintes categorias:

  • Com uma integração de chave de criptografia gerenciada pelo cliente (CMEK) é possível criptografar dados em repouso nesse serviço usando uma chave do Cloud KMS que você tem e gerencia. Os dados protegidos com uma chave CMEK não podem ser descriptografados sem acesso a essa chave.

  • Um serviço compatível com CMEK não armazena dados ou armazena dados apenas por um curto período, como durante o processamento em lote. Esses dados são criptografados usando uma chave temporária que existe somente na memória e nunca é gravada em disco. Quando os dados não são mais necessários, a chave temporária é liberada da memória e os dados não podem ser acessados novamente. A saída de um serviço compatível com CMEK pode ser armazenada em um serviço integrado ao CMEK, como o Cloud Storage.

  • Seus aplicativos podem usar o Cloud KMS de outras maneiras. Por exemplo, você pode criptografar diretamente os dados do aplicativo antes de transmiti-los ou armazená-los.

Para saber mais sobre como os dados no Google Cloud são protegidos em repouso e como as chaves de criptografia gerenciadas pelo cliente (CMEK) funcionam, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

Integrações com CMEK

Usar chaves do Cloud KMS com serviços integrados à CMEK

As etapas a seguir usam o Secret Manager como exemplo. Para ver as etapas exatas de uso de uma chave CMEK do Cloud KMS em um determinado serviço, localize esse serviço na lista de serviços integrados da CMEK.

No Secret Manager, use uma CMEK para proteger dados em repouso.

  1. No console do Google Cloud, acesse a página Secret Manager.

    Acessar o Secret Manager

  2. Para criar um secret, clique em Criar secret.

  3. Na seção Criptografia, selecione Usar uma chave de criptografia gerenciada pelo cliente (CMEK).

  4. Na caixa Chave de criptografia, faça o seguinte:

    1. Opcional: para usar uma chave em outro projeto, faça o seguinte:

      1. Clique em Alternar projeto.
      2. Digite o nome completo do projeto, ou parte dele, na barra de pesquisa e selecione o projeto.
      3. Para ver as chaves disponíveis para o projeto selecionado, clique em Selecionar.
    2. Opcional: para filtrar as chaves disponíveis por local, keyring, nome ou nível de proteção, insira os termos de pesquisa na barra de filtros .

    3. Selecione uma chave da lista de chaves disponíveis no projeto selecionado. Use o local exibido, o keyring e os detalhes no nível de proteção para escolher a chave correta.

    4. Se a chave que você quer usar não for exibida na lista, clique em Inserir chave manualmente e insira o ID do recurso da chave.

  5. Termine de configurar seu secret e clique em Criar secret. O Secret Manager cria o secret e o criptografa usando a chave CMEK especificada.

Lista de serviços integrados à CMEK

A tabela a seguir lista os serviços que se integram ao Cloud KMS para chaves de software e hardware (HSM, na sigla em inglês). Para produtos que se integram ao Cloud KMS ao usar chaves externas do Cloud EKM, consulte Serviços compatíveis com CMEK com Cloud EKM.

Serviço Protegido com CMEK Tema
AI Platform Training Dados em discos de VM Como usar chaves de criptografia gerenciadas pelo cliente
Vertex AI Dados associados aos recursos Como usar chaves de criptografia gerenciadas pelo cliente
Artifact Registry Dados em repositórios Como ativar chaves de criptografia gerenciadas pelo cliente
BigQuery Dados no BigQuery Como proteger dados com chaves do Cloud KMS
Cloud Bigtable Dados em repouso Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
Cloud Composer Dados do ambiente Como usar chaves de criptografia gerenciadas pelo cliente
Cloud Functions Dados no Cloud Functions Como usar chaves de criptografia gerenciadas pelo cliente
Cloud Data Fusion Dados do ambiente Como usar chaves de criptografia gerenciadas pelo cliente
Cloud Run Imagem de contêiner Como usar chaves de criptografia gerenciadas pelo cliente com o Cloud Run
Compute Engine Dados em discos de VM Como proteger recursos com chaves do Cloud KMS
Google Kubernetes Engine Dados em discos de VM Como usar chaves de criptografia gerenciadas pelo cliente (CMEK)
Google Kubernetes Engine Secrets da camada de aplicativos Criptografia de Secrets da camada de aplicativos
Database Migration Service Dados gravados em bancos de dados Como usar chaves de criptografia gerenciadas pelo cliente (CMEK)
Dataflow Dados de estado do pipeline Como usar chaves de criptografia gerenciadas pelo cliente
Dataproc Dados em discos de VM Chaves de criptografia gerenciadas pelo cliente
Dataproc Metastore Dados em repouso Como usar chaves de criptografia gerenciadas pelo cliente
Datastream Dados em trânsito Como usar chaves de criptografia gerenciadas pelo cliente (CMEK)
Dialogflow CX Dados em repouso Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
Google Distributed Cloud Edge Dados em nós de borda Segurança do armazenamento local
Document AI Dados em repouso e dados em uso Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
Eventarc Dados em repouso Usar chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
Filestore Dados em repouso Criptografar dados com chaves de criptografia gerenciadas pelo cliente
Cloud Logging Dados no roteador de registros Gerencie as chaves que protegem os dados do roteador de registros
Cloud Logging Dados no armazenamento do Logging Gerencie as chaves que protegem os dados de armazenamento do Logging
Memorystore for Redis Dados em repouso Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
Pub/Sub Dados associados a temas Como configurar a criptografia de mensagens
Cloud Spanner Dados em repouso Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
Cloud SQL Dados gravados em bancos de dados Como usar chaves de criptografia gerenciadas pelo cliente
Cloud Storage Dados em buckets de armazenamento Como usar chaves de criptografia gerenciadas pelo cliente
Secret Manager Payloads secretos Como ativar Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
Speaker ID (GA restrito) Dados em repouso Como usar chaves de criptografia gerenciadas pelo cliente Como usar chaves de criptografia gerenciadas pelo cliente
Notebooks gerenciados do Vertex AI Workbench Dados do usuário em repouso Chaves de criptografia gerenciadas pelo cliente
Notebooks do Vertex AI Workbench gerenciados pelo usuário Dados em discos de VM Chaves de criptografia gerenciadas pelo cliente

Serviços compatíveis com CMEK

A tabela a seguir lista os serviços que não usam chaves de criptografia gerenciadas pelo cliente (CMEKs, na sigla em inglês) porque não armazenam dados de longo prazo. Para mais informações sobre por que esses serviços são considerados compatíveis com CMEK, consulte Compliance com CMEK.

Outras integrações com o Cloud KMS

Estes tópicos discutem outras maneiras de usar o Cloud KMS com outros serviços do Google Cloud.

Produto Tema
Qualquer serviço Criptografar dados do aplicativo antes de transmiti-los ou armazená-los
Cloud Build Criptografar recursos antes de adicioná-los a uma versão