Informazioni sulla crittografia CMEK di Backup per GKE


Per impostazione predefinita, Backup per GKE cripta i contenuti at-rest dei clienti. Backup per GKE gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google.

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con i servizi integrati con CMEK, tra cui Backup per GKE. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il loro livello di protezione, la posizione, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i confini di crittografia. L'utilizzo di Cloud KMS ti consente inoltre di visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece che essere di proprietà e gestite da Google, le chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati sono sotto il tuo controllo e vengono gestite in Cloud KMS.

Dopo aver configurato le risorse con le CMEK, l'esperienza di accesso alle risorse di Backup per GKE è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Panoramica

Esistono due tipi di elementi dei dati utente prodotti e archiviati da Backup per GKE:

  • Backup della configurazione: un insieme di descrizioni delle risorse Kubernetes estratto dall'API server del cluster sottoposto a backup, che acquisisce lo stato del cluster.
  • Backup dei volumi: un insieme di backup dei volumi corrispondenti alle risorse PersistentVolumeClaim trovate nel backup della configurazione.

Per impostazione predefinita, tutti gli elementi di backup prodotti da Backup per GKE sono criptati in stato inattivo utilizzando una chiave fornita da Google.

Tuttavia, puoi scegliere di criptare questi elementi utilizzando una chiave di crittografia gestita dal cliente (CMEK) gestita con Cloud Key Management Service.

Attivare la crittografia CMEK

L'attivazione della crittografia CMEK prevede due passaggi:

  • Designa una chiave per la crittografia dei backup prodotti per un BackupPlan.

  • Concedi l'accesso alle chiavi appropriate da parte degli account di servizio appropriati.

Per qualsiasi scenario di backup specifico, sono potenzialmente coinvolte tre chiavi CMEK:

  • bplan_key: questa è la chiave a cui fai riferimento quando crei o aggiorni BackupPlan. Se possibile, questa chiave verrà utilizzata per criptare tutti gli elementi di backup. Questa chiave deve trovarsi nella stessa regione del BackupPlan (consulta Informazioni sulle posizioni delle risorse).

  • orig_disk_key: se hai criptato i volumi dei disco permanente utilizzando una chiave CMEK, i backup dei volumi prodotti da Backup per GKE per questi volumi verranno criptati con questa chiave, anche se è stata registrata una chiave diversa con BackupPlan.

  • new_disk_key: questa è la chiave CMEK che vuoi utilizzare per criptare i volumi che hai ripristinato dal backup. A questo viene fatto riferimento da StorageClass nel cluster di destinazione del ripristino.

Esistono quattro diversi account di servizio che potrebbero richiedere l'accesso alle chiavi CMEK:

  • agent_robot: a questo account di servizio deve essere concesso l'accesso a bplan_key. Questo account di servizio avrà il seguente formato: service-PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com, dove PROJECT_NUMBER è il numero del tuo progetto Google Cloud.

  • non_cmek_service_agent: quando esegui il backup dei volumi non con crittografia CMEK, a questo account di servizio deve essere concesso l'accesso a bplan_key. Questo account di servizio avrà la forma: service-PROJECT_NUMBER@gcp-sa-gkebackup.iam.gserviceaccount.com, dove PROJECT_NUMBER è il numero del tuo progetto Google Cloud.

  • cmek_service_agent: quando esegui il backup dei volumi con crittografia CMEK, a questo account di servizio deve essere concesso l'accesso a orig_disk_key. Questo account di servizio avrà la forma: service-TENANT_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com, dove TENANT_PROJECT_NUMBER è il numero del progetto del tenant assegnato per il tuo BackupPlan.

  • compute_service_agent: questo account di servizio viene utilizzato per creare nuovi volumi criptati per un cluster e deve avere accesso a new_disk_key. Questo account di servizio avrà il seguente formato: service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com, dove PROJECT_NUMBER è il numero del tuo progetto Google Cloud.

Se per i dischi è impostato diskEncryptionKey.kmsKeyServiceAccount, prima di creare un backup devi eseguire i seguenti passaggi:

  • Disattiva il criterio dell'organizzazione iam.disableCrossProjectServiceAccountUsage per abilitare la simulazione dell'identità degli account di servizio tra progetti:

      gcloud resource-manager org-policies disable-enforce \
          iam.disableCrossProjectServiceAccountUsage
          --project=PROJECT_ID
    
  • Concedi all'utente cmek_service_agent il ruolo roles/iam.serviceAccountTokenCreator per creare credenziali di breve durata:

      gcloud iam service-accounts add-iam-policy-binding \
        # Replace the email with the value from
        # `diskEncryptionKey.kmsKeyServiceAccount`
        your-kms-key-service-acount@PROJECT_ID.iam.gserviceaccount.com \
        --member=service-TENANT_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \
        --role=roles/iam.serviceAccountTokenCreator
    

La tabella seguente riassume a quali account di servizio deve essere concesso l'accesso a quali chiavi in vari scenari:

Artefatto Service account Chiave
config backup cluster agent_robot bplan_key
backup del volume criptato con CMEK cmek_service_agent orig_disk_key
Backup del volume criptato da Google non_cmek_service_agent bplan_key
Nuovo volume con crittografia CMEK creato durante il ripristino compute_service_agent new_disk_key

Puoi scegliere di concedere l'accesso alle chiavi a livello di progetto, il che consente di accedere a tutte le chiavi del progetto o alla singola chiave.

Concedi l'accesso a livello di progetto

Puoi concedere l'accesso alle chiavi a livello di progetto, il che consente di accedere a tutte le chiavi del progetto.

Segui le istruzioni riportate di seguito per concedere l'accesso a livello di progetto.

Console

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM

  2. Fai clic su Concedi accesso.

  3. Nel campo Nuove entità, inserisci l'indirizzo email dell'account di servizio.

  4. Nell'elenco Seleziona un ruolo, seleziona il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS.

  5. Fai clic su Salva.

gcloud

  1. Concedi l'accesso a livello di progetto.

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-gkebackup.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter
    

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID del progetto a cui vuoi concedere l'accesso.
    • PROJECT_NUMBER: il numero del progetto a cui vuoi concedere l'accesso.

Terraform

  1. Concedi l'accesso a livello di progetto.

    resource "google_project_iam_member" "example_iam_member" {
    project = "PROJECT_ID"
    role    = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
    member  = "serviceAccount:service-PROJECT_NUMBER@gcp-sa-gkebackup.iam.gserviceaccount.com"
    }
    

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID del progetto a cui vuoi concedere l'accesso.
    • PROJECT_NUMBER: il numero del progetto a cui vuoi concedere l'accesso.

Concedi l'accesso a livello di chiave

Segui le istruzioni riportate di seguito per concedere l'accesso a livello di singola chiave.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione delle chiavi.

    Vai a Gestione chiavi

  2. Fai clic sul nome del keyring.

  3. Fai clic sul nome della chiave.

  4. Fai clic sulla scheda Autorizzazioni.

  5. Fai clic su Concedi accesso.

  6. Nel campo Nuove entità, inserisci l'indirizzo email dell'account di servizio.

  7. Nell'elenco Seleziona un ruolo, seleziona il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS.

  8. Fai clic su Salva.

gcloud

  1. Concedi l'accesso a livello di singola chiave.

    gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-gkebackup.iam.gserviceaccount.com" \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter
    

    Sostituisci quanto segue:

    • KEY_NAME: il nome della chiave.
    • KEY_RING: il nome della chiave automatizzata che contiene la chiave.
    • LOCATION: la posizione di Cloud KMS della raccolta di chiavi.
    • PROJECT_NUMBER: il numero del progetto a cui vuoi concedere l'accesso.

Terraform

  1. Concedi l'accesso a livello di singola chiave.

    resource "google_kms_crypto_key_iam_member" "crypto_key_iam_member" {
    crypto_key_id = "projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
    role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
    member        = "serviceAccount:service-PROJECT_NUMBER@gcp-sa-gkebackup.iam.gserviceaccount.com" 
    }
    

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID del progetto a cui vuoi concedere l'accesso.
    • LOCATION: la posizione di Cloud KMS della raccolta di chiavi.
    • KEY_RING: il nome della chiave automatizzata che contiene la chiave.
    • KEY_NAME: il nome della chiave.
    • PROJECT_NUMBER: il numero del progetto a cui vuoi concedere l'accesso.

Considerazioni e limitazioni sull'utilizzo

  • Se vuoi eseguire il backup di un volume con crittografia CMEK, devi concedere l'accesso alla chiave del disco, anche se non attivi la crittografia CMEK in BackupPlan.

  • Le chiavi CMEK devono trovarsi nella stessa regione del BackupPlan per garantire che un'interruzione del servizio a livello di regione non rimuovi l'accesso alla chiave, mentre i backup rimangono accessibili. Tuttavia, questo vincolo non può essere applicato alle chiavi condivise con i volumi criptati. Quando sono coinvolti volumi criptati, è possibile che un ripristino non vada a buon fine anche se è disponibile un backup, perché la chiave di crittografia del disco potrebbe non essere memorizzata nella stessa regione del backup.

Utilizzare e gestire le chiavi esterne

Puoi utilizzare Cloud External Key Manager (Cloud EKM) per creare e gestire le chiavi esterne. Le chiavi esterne sono puntatori a chiavi che si trovano al di fuori di Google Cloud. Queste chiavi si trovano presso un partner esterno per la gestione delle chiavi supportato. Per ulteriori informazioni, consulta Cloud External Key Manager.

Dopo aver creato una chiave esterna con Cloud EKM, puoi applicarla a un nuovo piano di backup fornendo l'ID della chiave al momento della creazione di un nuovo piano di backup. Questa procedura è la stessa che si applica per una chiave Cloud KMS a un nuovo piano di backup.

Puoi utilizzare Key Access Justifications nell'ambito di Cloud EKM. Key Access Justifications ti consente di visualizzare il motivo di ogni richiesta Cloud EKM. Inoltre, in base alla giustificazione fornita, puoi approvare o rifiutare automaticamente una richiesta. Per maggiori informazioni, consulta la Panoramica.