Usar as chaves do Cloud KMS no Google Cloud

Nesta página, explicamos como usar chaves de criptografia gerenciadas pelo cliente do Cloud KMS em outros serviços do Google Cloud para proteger seus recursos. Para mais informações, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

Quando um serviço oferece suporte à CMEK, diz-se que ele tem uma integração de CMEK. Alguns serviços, como o GKE, têm várias integrações CMEK para proteger diferentes tipos de dados relacionados ao serviço. Para conferir uma lista de serviços com integrações de CMEK, consulte Ativar CMEK para serviços com suporte nesta página.

Antes de começar

Antes de usar as chaves do Cloud KMS em outros serviços do Google Cloud, você precisa ter um recurso de projeto para conter as chaves do Cloud KMS. Recomendamos o uso de um projeto separado para os recursos do Cloud KMS que não contenha nenhum outro recurso do Google Cloud.

Integrações com CMEK

Preparar para ativar a integração de CMEK

Para saber mais sobre as etapas exatas para ativar o CMEK, consulte a documentação do serviço do Google Cloud relevante. É possível encontrar um link para a documentação da CMEK para cada serviço em Ativar CMEK para serviços suportados nesta página. Para cada serviço, você pode seguir etapas semelhantes às seguintes:

  1. Crie um keyring ou selecione um que já existe. Ele precisa estar localizado geograficamente o mais próximo possível dos recursos que você quer proteger.

  2. No keyring selecionado, crie uma chave ou selecione uma atual. Verifique se o nível, a finalidade e o algoritmo de proteção da chave são adequados para os recursos que você quer proteger. Essa chave é a CMEK.

  3. Consiga o ID do recurso para a chave CMEK. Você vai precisar desse ID de recurso mais tarde.

  4. Conceda o papel do IAM de criptografador/descriptografador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) à chave CMEK para a conta de serviço do serviço.

Depois de criar a chave e atribuir as permissões necessárias, é possível criar ou configurar um serviço para usar sua chave CMEK.

Usar chaves do Cloud KMS com serviços integrados à CMEK

As etapas a seguir usam o Secret Manager como exemplo. Para ver as etapas exatas para usar uma chave CMEK do Cloud KMS em um determinado serviço, localize esse serviço na lista de serviços integrados à CMEK.

No Secret Manager, é possível usar uma CMEK para proteger dados em repouso.

  1. No console do Google Cloud, acesse a página Secret Manager.

    Acessar o Secret Manager

  2. Para criar um secret, clique em Criar secret.

  3. Na seção Criptografia, selecione Usar uma chave de criptografia gerenciada pelo cliente (CMEK).

  4. Na caixa Chave de criptografia, faça o seguinte:

    1. Opcional: para usar uma chave em outro projeto, faça o seguinte:

      1. Clique em Alternar projeto.
      2. Digite o nome inteiro ou parcial do projeto na barra de pesquisa e selecione o projeto.
      3. Para conferir as chaves disponíveis para o projeto selecionado, clique em Selecionar.
    2. Opcional: para filtrar as chaves disponíveis por local, keyring, nome ou nível de proteção, insira os termos de pesquisa na barra de filtro .

    3. Selecione uma chave na lista de chaves disponíveis no projeto selecionado. É possível usar os detalhes de local, keyring e nível de proteção mostrados para ter certeza de que escolheu a chave correta.

    4. Se a chave que você quer usar não aparecer na lista, clique em Inserir chave manualmente e insira o ID de recurso da chave

  5. Conclua a configuração do secret e clique em Criar secret. O Secret Manager cria o secret e o criptografa usando a chave CMEK especificada.

Ativar CMEK para serviços com suporte

Para ativar a CMEK, primeiro localize o serviço desejado na tabela a seguir. É possível inserir termos de pesquisa no campo para filtrar a tabela. Todos os serviços dessa lista são compatíveis com chaves de software e hardware (HSM, na sigla em inglês). Os produtos que se integram ao Cloud KMS ao usar chaves externas do Cloud EKM são indicados na coluna EKM compatível.

Siga as instruções para cada serviço em que você quer ativar as chaves CMEK.

Serviço Protegido com CMEK Compatível com EKM Tópico
AI Platform Training Dados em discos de VM Não Como usar chaves de criptografia gerenciadas pelo cliente
AlloyDB para PostgreSQL Dados gravados em bancos de dados Sim Como usar chaves de criptografia gerenciadas pelo cliente
IA antilavagem de dinheiro Dados em recursos de instância da IA antilavagem de dinheiro Não Criptografar dados usando chaves de criptografia gerenciadas pelo cliente (CMEK)
Application Integration Dados em repouso Sim Métodos de criptografia
Artifact Registry Dados em repositórios Sim Como ativar chaves de criptografia gerenciadas pelo cliente
Backup para GKE Dados no Backup para GKE Sim Sobre a criptografia de CMEKs do Backup para GKE
BigQuery Dados no BigQuery Sim Como proteger dados com chaves do Cloud KMS
Bigtable Dados em repouso Sim Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
Cloud Composer Dados do ambiente Sim Como usar chaves de criptografia gerenciadas pelo cliente
Cloud Data Fusion Dados do ambiente Sim Como usar chaves de criptografia gerenciadas pelo cliente
Cloud Functions Dados no Cloud Functions Sim Como usar chaves de criptografia gerenciadas pelo cliente
Cloud Logging Dados no roteador de registros Sim Gerenciar as chaves que protegem os dados do roteador de registros
Cloud Logging Dados no armazenamento do Logging Sim Gerencie as chaves que protegem os dados de armazenamento do Logging
Cloud Run Imagem do contêiner Sim Como usar chaves de criptografia gerenciadas pelo cliente com o Cloud Run
Cloud SQL Dados gravados em bancos de dados Sim Como usar chaves de criptografia gerenciadas pelo cliente
Cloud Storage Dados em buckets de armazenamento Sim Como usar chaves de criptografia gerenciadas pelo cliente
Cloud Tasks Corpo e cabeçalho da tarefa em repouso Sim Usar chaves de criptografia gerenciadas pelo cliente
Cloud Workstations Dados em discos de VM Sim Criptografar recursos da estação de trabalho
Compute Engine Discos permanentes Sim Como proteger recursos com chaves do Cloud KMS
Compute Engine Snapshots Sim Como proteger recursos com chaves do Cloud KMS
Compute Engine Imagens personalizadas Sim Como proteger recursos com chaves do Cloud KMS
Compute Engine Imagens de máquina Sim Como proteger recursos com chaves do Cloud KMS
Contact Center AI Insights Dados em repouso Sim Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
Migrações homogêneas do Database Migration Service Migrações do MySQL: dados gravados em bancos de dados Sim Como usar chaves de criptografia gerenciadas pelo cliente (CMEK)
Migrações homogêneas do Database Migration Service Migrações do PostgreSQL: dados gravados em bancos de dados Sim Como usar chaves de criptografia gerenciadas pelo cliente (CMEK)
Migrações homogêneas do Database Migration Service Migrações do PostgreSQL para o AlloyDB: dados gravados em bancos de dados Sim Sobre a CMEK
Migrações heterogêneas do Database Migration Service Dados em repouso do Oracle para PostgreSQL Sim Usar chaves de criptografia gerenciadas pelo cliente (CMEK) para migrações contínuas
Dataflow Dados de estado do pipeline Sim Como usar chaves de criptografia gerenciadas pelo cliente
Dataproc Dados de clusters do Dataproc em discos de VM Sim Chaves de criptografia gerenciadas pelo cliente
Dataproc Dados sem servidor do Dataproc em discos de VM Sim Chaves de criptografia gerenciadas pelo cliente
Dataproc Metastore Dados em repouso Sim Como usar chaves de criptografia gerenciadas pelo cliente
Datastream Dados em trânsito Não Como usar chaves de criptografia gerenciadas pelo cliente (CMEK)
Dialogflow CX Dados em repouso Não Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
Document AI Dados em repouso e em uso Sim Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
Eventarc Dados em repouso Sim Usar chaves de criptografia gerenciadas pelo cliente (CMEK)
Filestore Dados em repouso Sim Criptografar dados com chaves de criptografia gerenciadas pelo cliente
Google Distributed Cloud Edge Dados em nós de borda Sim Segurança do armazenamento local
Google Kubernetes Engine Dados em discos de VM Sim Como usar chaves de criptografia gerenciadas pelo cliente (CMEK)
Google Kubernetes Engine Secrets da camada de aplicativos Sim Criptografia de Secrets da camada de aplicativos
Looker (Google Cloud Core) Dados em repouso Sim Ativar CMEK para o Looker (Google Cloud Core)
Memorystore for Redis Dados em repouso Sim Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
Migrate to Virtual Machines (pré-lançamento) Dados migrados de origens do VMware Sim Registrar o conector do Migrate como uma fonte do Google Cloud
Migrate to Virtual Machines (pré-lançamento) Dados migrados de origens da AWS Sim Crie uma origem da AWS
Migrate to Virtual Machines (pré-lançamento) Dados migrados de origens do Azure Sim Crie uma origem do Azure
Migrate to Virtual Machines (pré-lançamento) Discos migrados Sim Configurar o destino de um disco de VM migrado
Migrate to Virtual Machines (pré-lançamento) VMs migradas Sim Configurar o destino de uma VM migrada
Pub/Sub Dados associados a temas Sim Como configurar a criptografia de mensagens
Secret Manager Payloads secretos Sim Ativar as chaves de criptografia gerenciadas pelo cliente para o Secret Manager
Secure Source Manager Instâncias Sim Criptografar dados com chaves de criptografia gerenciadas pelo cliente
Spanner Dados em repouso Sim Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
Speaker ID (GA restrito) Dados em repouso Sim Como usar chaves de criptografia gerenciadas pelo cliente
Speech-to-Text Dados em repouso Sim Como usar chaves de criptografia gerenciadas pelo cliente
Vertex AI Dados associados aos recursos Sim Como usar chaves de criptografia gerenciadas pelo cliente
Notebooks gerenciados do Vertex AI Workbench Dados do usuário em repouso Não Chaves de criptografia gerenciadas pelo cliente
Notebooks do Vertex AI Workbench gerenciados pelo usuário Dados em discos de VM Não Chaves de criptografia gerenciadas pelo cliente
Instâncias do Vertex AI Workbench Dados em discos de VM Sim Chaves de criptografia gerenciadas pelo cliente
Fluxos de trabalho Dados em repouso Sim Usar chaves de criptografia gerenciadas pelo cliente (CMEK)