Nesta página, explicamos como usar chaves de criptografia gerenciadas pelo cliente do Cloud KMS em outros serviços do Google Cloud para proteger seus recursos. Para mais informações, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).
Quando um serviço oferece suporte à CMEK, diz-se que ele tem uma integração de CMEK. Alguns serviços, como o GKE, têm várias integrações CMEK para proteger diferentes tipos de dados relacionados ao serviço. Para conferir uma lista de serviços com integrações de CMEK, consulte Ativar CMEK para serviços com suporte nesta página.
Antes de começar
Antes de usar as chaves do Cloud KMS em outros serviços do Google Cloud, você precisa ter um recurso de projeto para conter as chaves do Cloud KMS. Recomendamos o uso de um projeto separado para os recursos do Cloud KMS que não contenha nenhum outro recurso do Google Cloud.
Integrações com CMEK
Preparar para ativar a integração de CMEK
Para saber mais sobre as etapas exatas para ativar o CMEK, consulte a documentação do serviço do Google Cloud relevante. É possível encontrar um link para a documentação da CMEK para cada serviço em Ativar CMEK para serviços suportados nesta página. Para cada serviço, você pode seguir etapas semelhantes às seguintes:
Crie um keyring ou selecione um que já existe. Ele precisa estar localizado geograficamente o mais próximo possível dos recursos que você quer proteger.
No keyring selecionado, crie uma chave ou selecione uma atual. Verifique se o nível, a finalidade e o algoritmo de proteção da chave são adequados para os recursos que você quer proteger. Essa chave é a CMEK.
Consiga o ID do recurso para a chave CMEK. Você vai precisar desse ID de recurso mais tarde.
Conceda o papel do IAM de criptografador/descriptografador de CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter
) à chave CMEK para a conta de serviço do serviço.
Depois de criar a chave e atribuir as permissões necessárias, é possível criar ou configurar um serviço para usar sua chave CMEK.
Usar chaves do Cloud KMS com serviços integrados à CMEK
As etapas a seguir usam o Secret Manager como exemplo. Para ver as etapas exatas para usar uma chave CMEK do Cloud KMS em um determinado serviço, localize esse serviço na lista de serviços integrados à CMEK.
No Secret Manager, é possível usar uma CMEK para proteger dados em repouso.
No console do Google Cloud, acesse a página Secret Manager.
Para criar um secret, clique em Criar secret.
Na seção Criptografia, selecione Usar uma chave de criptografia gerenciada pelo cliente (CMEK).
Na caixa Chave de criptografia, faça o seguinte:
Opcional: para usar uma chave em outro projeto, faça o seguinte:
- Clique em Alternar projeto.
- Digite o nome inteiro ou parcial do projeto na barra de pesquisa e selecione o projeto.
- Para conferir as chaves disponíveis para o projeto selecionado, clique em Selecionar.
Opcional: para filtrar as chaves disponíveis por local, keyring, nome ou nível de proteção, insira os termos de pesquisa na barra de filtro .
Selecione uma chave na lista de chaves disponíveis no projeto selecionado. É possível usar os detalhes de local, keyring e nível de proteção mostrados para ter certeza de que escolheu a chave correta.
Se a chave que você quer usar não aparecer na lista, clique em Inserir chave manualmente e insira o ID de recurso da chave
Conclua a configuração do secret e clique em Criar secret. O Secret Manager cria o secret e o criptografa usando a chave CMEK especificada.
Ativar CMEK para serviços com suporte
Para ativar a CMEK, primeiro localize o serviço desejado na tabela a seguir. É possível inserir termos de pesquisa no campo para filtrar a tabela. Todos os serviços dessa lista são compatíveis com chaves de software e hardware (HSM, na sigla em inglês). Os produtos que se integram ao Cloud KMS ao usar chaves externas do Cloud EKM são indicados na coluna EKM compatível.
Siga as instruções para cada serviço em que você quer ativar as chaves CMEK.