Neste tópico, apresentamos informações sobre como usar chaves do Cloud KMS em serviços do Google Cloud que oferecem integrações com o Cloud KMS. Esses serviços geralmente se enquadram em uma das seguintes categorias:
Com uma integração de chave de criptografia gerenciada pelo cliente (CMEK) é possível criptografar dados em repouso nesse serviço usando uma chave do Cloud KMS que você tem e gerencia. Os dados protegidos com uma chave CMEK não podem ser descriptografados sem acesso a essa chave.
Um serviço compatível com CMEK não armazena dados ou armazena dados apenas por um curto período, como durante o processamento em lote. Esses dados são criptografados usando uma chave temporária que existe somente na memória e nunca é gravada em disco. Quando os dados não são mais necessários, a chave temporária é liberada da memória e os dados não podem ser acessados novamente. A saída de um serviço compatível com CMEK pode ser armazenada em um serviço integrado ao CMEK, como o Cloud Storage.
Seus aplicativos podem usar o Cloud KMS de outras maneiras. Por exemplo, você pode criptografar diretamente os dados do aplicativo antes de transmiti-los ou armazená-los.
Para saber mais sobre como os dados no Google Cloud são protegidos em repouso e como as chaves de criptografia gerenciadas pelo cliente (CMEK) funcionam, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).
Integrações com CMEK
Usar chaves do Cloud KMS com serviços integrados à CMEK
As etapas a seguir usam o Secret Manager como exemplo. Para ver as etapas exatas de uso de uma chave CMEK do Cloud KMS em um determinado serviço, localize esse serviço na lista de serviços integrados da CMEK.
No Secret Manager, use uma CMEK para proteger dados em repouso.
No console do Google Cloud, acesse a página Secret Manager.
Para criar um secret, clique em Criar secret.
Na seção Criptografia, selecione Usar uma chave de criptografia gerenciada pelo cliente (CMEK).
Na caixa Chave de criptografia, faça o seguinte:
Opcional: para usar uma chave em outro projeto, faça o seguinte:
- Clique em Alternar projeto.
- Digite o nome completo do projeto, ou parte dele, na barra de pesquisa e selecione o projeto.
- Para ver as chaves disponíveis para o projeto selecionado, clique em Selecionar.
Opcional: para filtrar as chaves disponíveis por local, keyring, nome ou nível de proteção, insira os termos de pesquisa na barra de filtros .
Selecione uma chave da lista de chaves disponíveis no projeto selecionado. Use o local exibido, o keyring e os detalhes no nível de proteção para escolher a chave correta.
Se a chave que você quer usar não for exibida na lista, clique em Inserir chave manualmente e insira o ID do recurso da chave.
Termine de configurar seu secret e clique em Criar secret. O Secret Manager cria o secret e o criptografa usando a chave CMEK especificada.
Lista de serviços integrados à CMEK
A tabela a seguir lista os serviços que se integram ao Cloud KMS para chaves de software e hardware (HSM, na sigla em inglês). Para produtos que se integram ao Cloud KMS ao usar chaves externas do Cloud EKM, consulte Serviços compatíveis com CMEK com Cloud EKM.
Serviços compatíveis com CMEK
A tabela a seguir lista os serviços que não usam chaves de criptografia gerenciadas pelo cliente (CMEKs, na sigla em inglês) porque não armazenam dados de longo prazo. Para mais informações sobre por que esses serviços são considerados compatíveis com CMEK, consulte Compliance com CMEK.
| Serviço | Tema |
|---|---|
| Cloud Build | Conformidade do CMEK no Cloud Build |
| Container Registry | Como usar um bucket de armazenamento protegido com CMEK |
| Cloud Vision | Conformidade com CMEK na API Vision |
Outras integrações com o Cloud KMS
Estes tópicos discutem outras maneiras de usar o Cloud KMS com outros serviços do Google Cloud.
| Produto | Tema |
|---|---|
| Qualquer serviço | Criptografar dados do aplicativo antes de transmiti-los ou armazená-los |
| Cloud Build | Criptografar recursos antes de adicioná-los a uma versão |