Per impostazione predefinita, Backup per GKE cripta i contenuti at-rest dei clienti. Backup per GKE gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google.
Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con i servizi integrati con CMEK, tra cui Backup per GKE. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il loro livello di protezione, la posizione, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i confini di crittografia. L'utilizzo di Cloud KMS ti consente inoltre di visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece che essere di proprietà e gestite da Google, le chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati sono sotto il tuo controllo e vengono gestite in Cloud KMS.
Dopo aver configurato le risorse con le CMEK, l'esperienza di accesso alle risorse di Backup per GKE è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).
Panoramica
Esistono due tipi di elementi dei dati utente prodotti e archiviati da Backup per GKE:
- Backup della configurazione: un insieme di descrizioni delle risorse Kubernetes estratto dall'API server del cluster sottoposto a backup, che acquisisce lo stato del cluster.
- Backup dei volumi: un insieme di backup dei volumi corrispondenti alle risorse
PersistentVolumeClaim
trovate nel backup della configurazione.
Per impostazione predefinita, tutti gli elementi di backup prodotti da Backup per GKE sono criptati in stato inattivo utilizzando una chiave fornita da Google.
Tuttavia, puoi scegliere di criptare questi elementi utilizzando una chiave di crittografia gestita dal cliente (CMEK) gestita con Cloud Key Management Service.
Attivare la crittografia CMEK
L'attivazione della crittografia CMEK prevede due passaggi:
Designa una chiave per la crittografia dei backup prodotti per un
BackupPlan
.Concedi l'accesso alle chiavi appropriate da parte degli account di servizio appropriati.
Per qualsiasi scenario di backup specifico, sono potenzialmente coinvolte tre chiavi CMEK:
bplan_key
: questa è la chiave a cui fai riferimento quando crei o aggiorniBackupPlan
. Se possibile, questa chiave verrà utilizzata per criptare tutti gli elementi di backup. Questa chiave deve trovarsi nella stessa regione delBackupPlan
(consulta Informazioni sulle posizioni delle risorse).orig_disk_key
: se hai criptato i volumi dei disco permanente utilizzando una chiave CMEK, i backup dei volumi prodotti da Backup per GKE per questi volumi verranno criptati con questa chiave, anche se è stata registrata una chiave diversa conBackupPlan
.new_disk_key
: questa è la chiave CMEK che vuoi utilizzare per criptare i volumi che hai ripristinato dal backup. A questo viene fatto riferimento daStorageClass
nel cluster di destinazione del ripristino.
Esistono quattro diversi account di servizio che potrebbero richiedere l'accesso alle chiavi CMEK:
agent_robot
: a questo account di servizio deve essere concesso l'accesso abplan_key
. Questo account di servizio avrà il seguente formato:service-PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com
, dovePROJECT_NUMBER
è il numero del tuo progetto Google Cloud.non_cmek_service_agent
: quando esegui il backup dei volumi non con crittografia CMEK, a questo account di servizio deve essere concesso l'accesso abplan_key
. Questo account di servizio avrà la forma:service-PROJECT_NUMBER@gcp-sa-gkebackup.iam.gserviceaccount.com
, dovePROJECT_NUMBER
è il numero del tuo progetto Google Cloud.cmek_service_agent
: quando esegui il backup dei volumi con crittografia CMEK, a questo account di servizio deve essere concesso l'accesso aorig_disk_key
. Questo account di servizio avrà la forma:service-TENANT_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
, doveTENANT_PROJECT_NUMBER
è il numero del progetto del tenant assegnato per il tuoBackupPlan
.compute_service_agent
: questo account di servizio viene utilizzato per creare nuovi volumi criptati per un cluster e deve avere accesso anew_disk_key
. Questo account di servizio avrà il seguente formato:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
, dovePROJECT_NUMBER
è il numero del tuo progetto Google Cloud.
Se per i dischi è impostato diskEncryptionKey.kmsKeyServiceAccount, prima di creare un backup devi eseguire i seguenti passaggi:
Disattiva il criterio dell'organizzazione
iam.disableCrossProjectServiceAccountUsage
per abilitare la simulazione dell'identità degli account di servizio tra progetti:gcloud resource-manager org-policies disable-enforce \ iam.disableCrossProjectServiceAccountUsage --project=PROJECT_ID
Concedi all'utente
cmek_service_agent
il ruoloroles/iam.serviceAccountTokenCreator
per creare credenziali di breve durata:gcloud iam service-accounts add-iam-policy-binding \ # Replace the email with the value from # `diskEncryptionKey.kmsKeyServiceAccount` your-kms-key-service-acount@PROJECT_ID.iam.gserviceaccount.com \ --member=service-TENANT_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \ --role=roles/iam.serviceAccountTokenCreator
La tabella seguente riassume a quali account di servizio deve essere concesso l'accesso a quali chiavi in vari scenari:
Artefatto | Service account | Chiave |
---|---|---|
config backup cluster | agent_robot | bplan_key |
backup del volume criptato con CMEK | cmek_service_agent | orig_disk_key |
Backup del volume criptato da Google | non_cmek_service_agent | bplan_key |
Nuovo volume con crittografia CMEK creato durante il ripristino | compute_service_agent | new_disk_key |
Puoi scegliere di concedere l'accesso alle chiavi a livello di progetto, il che consente di accedere a tutte le chiavi del progetto o alla singola chiave.
Concedi l'accesso a livello di progetto
Puoi concedere l'accesso alle chiavi a livello di progetto, il che consente di accedere a tutte le chiavi del progetto.
Segui le istruzioni riportate di seguito per concedere l'accesso a livello di progetto.
Console
Nella console Google Cloud, vai alla pagina IAM.
Fai clic su Concedi accesso.
Nel campo Nuove entità, inserisci l'indirizzo email dell'account di servizio.
Nell'elenco Seleziona un ruolo, seleziona il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS.
Fai clic su Salva.
gcloud
Concedi l'accesso a livello di progetto.
gcloud projects add-iam-policy-binding PROJECT_ID \ --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-gkebackup.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto a cui vuoi concedere l'accesso.PROJECT_NUMBER
: il numero del progetto a cui vuoi concedere l'accesso.
Terraform
Concedi l'accesso a livello di progetto.
resource "google_project_iam_member" "example_iam_member" { project = "PROJECT_ID" role = "roles/cloudkms.cryptoKeyEncrypterDecrypter" member = "serviceAccount:service-PROJECT_NUMBER@gcp-sa-gkebackup.iam.gserviceaccount.com" }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto a cui vuoi concedere l'accesso.PROJECT_NUMBER
: il numero del progetto a cui vuoi concedere l'accesso.
Concedi l'accesso a livello di chiave
Segui le istruzioni riportate di seguito per concedere l'accesso a livello di singola chiave.
Console
Nella console Google Cloud, vai alla pagina Gestione delle chiavi.
Fai clic sul nome del keyring.
Fai clic sul nome della chiave.
Fai clic sulla scheda Autorizzazioni.
Fai clic su Concedi accesso.
Nel campo Nuove entità, inserisci l'indirizzo email dell'account di servizio.
Nell'elenco Seleziona un ruolo, seleziona il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS.
Fai clic su Salva.
gcloud
Concedi l'accesso a livello di singola chiave.
gcloud kms keys add-iam-policy-binding KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --member "serviceAccount:service-PROJECT_NUMBER@gcp-sa-gkebackup.iam.gserviceaccount.com" \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave.KEY_RING
: il nome della chiave automatizzata che contiene la chiave.LOCATION
: la posizione di Cloud KMS della raccolta di chiavi.PROJECT_NUMBER
: il numero del progetto a cui vuoi concedere l'accesso.
Terraform
Concedi l'accesso a livello di singola chiave.
resource "google_kms_crypto_key_iam_member" "crypto_key_iam_member" { crypto_key_id = "projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME" role = "roles/cloudkms.cryptoKeyEncrypterDecrypter" member = "serviceAccount:service-PROJECT_NUMBER@gcp-sa-gkebackup.iam.gserviceaccount.com" }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto a cui vuoi concedere l'accesso.LOCATION
: la posizione di Cloud KMS della raccolta di chiavi.KEY_RING
: il nome della chiave automatizzata che contiene la chiave.KEY_NAME
: il nome della chiave.PROJECT_NUMBER
: il numero del progetto a cui vuoi concedere l'accesso.
Considerazioni e limitazioni sull'utilizzo
Se vuoi eseguire il backup di un volume con crittografia CMEK, devi concedere l'accesso alla chiave del disco, anche se non attivi la crittografia CMEK in
BackupPlan
.Le chiavi CMEK devono trovarsi nella stessa regione del
BackupPlan
per garantire che un'interruzione del servizio a livello di regione non rimuovi l'accesso alla chiave, mentre i backup rimangono accessibili. Tuttavia, questo vincolo non può essere applicato alle chiavi condivise con i volumi criptati. Quando sono coinvolti volumi criptati, è possibile che un ripristino non vada a buon fine anche se è disponibile un backup, perché la chiave di crittografia del disco potrebbe non essere memorizzata nella stessa regione del backup.
Utilizzare e gestire le chiavi esterne
Puoi utilizzare Cloud External Key Manager (Cloud EKM) per creare e gestire le chiavi esterne. Le chiavi esterne sono puntatori a chiavi che si trovano al di fuori di Google Cloud. Queste chiavi si trovano presso un partner esterno per la gestione delle chiavi supportato. Per ulteriori informazioni, consulta Cloud External Key Manager.
Dopo aver creato una chiave esterna con Cloud EKM, puoi applicarla a un nuovo piano di backup fornendo l'ID della chiave al momento della creazione di un nuovo piano di backup. Questa procedura è la stessa che si applica per una chiave Cloud KMS a un nuovo piano di backup.
Puoi utilizzare Key Access Justifications nell'ambito di Cloud EKM. Key Access Justifications ti consente di visualizzare il motivo di ogni richiesta Cloud EKM. Inoltre, in base alla giustificazione fornita, puoi approvare o rifiutare automaticamente una richiesta. Per maggiori informazioni, consulta la Panoramica.