Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)


Questa pagina descrive come utilizzare le chiavi di crittografia gestite dal cliente (CMEK) su Google Kubernetes Engine (GKE). Se devi controllare la gestione delle tue chiavi, puoi utilizzare Cloud Key Management Service e CMEK per proteggere i dischi permanenti e i dischi di avvio personalizzati collegati nel tuo cluster GKE.

Panoramica

Per impostazione predefinita, Google Cloud cripta i contenuti archiviati inattivi dei clienti, e GKE gestisce la crittografia per conto tuo senza che tu debba fare altro.

Se vuoi controllare e gestire autonomamente rotazione della chiave di crittografia, puoi utilizzare le chiavi CMEK. Queste chiavi criptano le chiavi di crittografia dei dati che criptano i tuoi dati. Per maggiori informazioni, consulta la sezione Gestione delle chiavi.

Puoi anche criptare i secret nel cluster utilizzando le chiavi che gestisci. Per maggiori dettagli, vedi Crittografia dei secret a livello di applicazione.

In GKE, CMEK può proteggere i dati di due tipi di dischi di archiviazione: i dischi di avvio dei nodi e i dischi collegati.

Dischi di avvio dei nodi
I dischi di avvio dei nodi fanno parte dei pool di nodi del cluster. Puoi creare un disco di avvio del nodo criptato con CMEK quando crei cluster e pool di nodi.
Dischi collegati
I dischi collegati sono volumi permanenti utilizzati dai pod per lo stoccaggio duraturo. I dischi permanenti collegati con crittografia CMEK sono disponibili in GKE come PersistentVolume con provisioning dinamico.

Per scoprire di più sui dischi di archiviazione, vedi Opzioni di archiviazione. I dischi del piano di controllo, utilizzati per i piani di controllo GKE, non possono essere protetti con CMEK.

Prima di iniziare

  1. Per svolgere gli esercizi in questo argomento, hai bisogno di due progetti Google Cloud:

    • Progetto chiavi: è qui che crei una chiave di crittografia.

    • Progetto cluster:qui crei un cluster che attiva CMEK.

  2. Nel progetto della chiave, assicurati di aver attivato l'API Cloud KMS.

    Abilita l'API Cloud KMS

  3. Nel progetto di chiavi, l'utente che crea la chiave automatizzata e la chiave deve disporre delle seguenti autorizzazioni IAM:

    • cloudkms.keyRings.getIamPolicy
    • cloudkms.keyRings.setIamPolicy

    Queste autorizzazioni vengono concesse al roles/cloudkms.admin ruolo Identity and Access Management predefinito. Puoi scoprire di più sulla concessione delle autorizzazioni per la gestione delle chiavi nella documentazione di Cloud KMS.

  4. Nel progetto cluster, assicurati di aver attivato l'API Cloud KMS.

    Abilita l'API Cloud KMS

  5. Assicurati di aver installato gcloud CLI.

  6. Aggiorna gcloud all'ultima versione:

    gcloud components update
    

Crea una chiave Cloud KMS

Prima di poter proteggere il disco di avvio o il disco collegato del tuo nodo con un CMEK, devi disporre di un portachiavi e di una chiave Cloud KMS.

Il portachiavi e la chiave devono soddisfare i seguenti requisiti:

  • La chiave deve utilizzare la crittografia simmetrica.

  • Per utilizzare la chiave, devi concedere le autorizzazioni dell'account di servizio GKE.

  • Il keyring deve avere una posizione corrispondente a quella del cluster GKE:

    • Un cluster di zona deve utilizzare un keyring da una posizione superset. Ad esempio, un cluster nella zona us-central1-a può utilizzare solo una chiave nella regione us-central1.

    • Un cluster regionale deve utilizzare un keyring nella stessa posizione. Ad esempio, un cluster nella regione asia-northeast1 deve essere protetto con un keyring della regione asia-northeast1.

    • La regione Cloud KMS global non è supportata per l'utilizzo con GKE.

Per istruzioni su come creare un mazzo di chiavi e una chiave, consulta la sezione Creazione di chiavi simmetriche.

Concedi l'autorizzazione per utilizzare la chiave

Devi concedere il ruolo IAM Autore crittografia/decrittografia CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) alla chiave Cloud KMS all'agente di servizio Compute Engine nel progetto del cluster. La concessione di questo ruolo consente ai dischi permanenti GKE di accedere e utilizzare la tua chiave di crittografia.

Per concedere il ruolo roles/cloudkms.cryptoKeyEncrypterDecrypter all'agente di servizio Compute Engine, seleziona una delle seguenti opzioni:

gcloud

Esegui questo comando:

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location LOCATION \
    --keyring RING_NAME \
    --member serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --project KEY_PROJECT_ID

Sostituisci quanto segue:

  • KEY_NAME: il nome della chiave.
  • LOCATION: la regione in cui hai creato il portachiavi.
  • RING_NAME: il nome del tuo mazzo di chiavi.
  • PROJECT_NUMBER: il numero del progetto del cluster.
  • KEY_PROJECT_ID: l'ID progetto principale.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione delle chiavi.

    Vai a Gestione chiavi

  2. Fai clic sul nome della chiave automatizzata che contiene la chiave.

  3. Fai clic sul nome della chiave da modificare.

  4. Fai clic sulla scheda Autorizzazioni.

  5. Fai clic su Concedi accesso. Viene visualizzato il riquadro Concedi l'accesso alla chiave.

  6. Nel campo Nuove entità, inserisci il nome dell'agente di servizio Compute Engine:

    service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
    

    Sostituisci PROJECT_NUMBER con il numero del progetto del tuo cluster.

  7. Nel menu Seleziona un ruolo, seleziona Autore crittografia/decrittografia CryptoKey Cloud KMS.

  8. Fai clic su Salva.

Utilizzare i dischi di avvio dei nodi protetti da CMEK

In questa sezione, crei un nuovo cluster o pool di nodi con un disco di avvio protetto da CMEK.

Non puoi attivare la crittografia gestita dal cliente per i dischi di avvio dei nodi su un cluster esistente, in quanto non puoi modificare il tipo di disco di avvio di un cluster o di un pool di nodi esistente. Tuttavia, puoi creare un nuovo pool di nodi per il tuo cluster con la crittografia gestita dal cliente abilitata ed eliminare il pool di nodi precedente.

Inoltre, non puoi disattivare la crittografia gestita dal cliente per i dischi di avvio dei nodi in un cluster o un pool di nodi esistente. Tuttavia, puoi creare un nuovo pool di nodi per il tuo cluster con la crittografia gestita dal cliente disattivata ed eliminare il pool di nodi precedente.

Creare un cluster con un disco di avvio del nodo protetto da CMEK

Puoi creare un cluster con un disco di avvio del nodo protetto da CMEK utilizzando la gcloud CLI o la console Google Cloud.

Per i cluster standard, solo un disco permanente standard (pd-standard) o un disco permanente SSD (pd-ssd) può essere criptato con una chiave CMEK.

gcloud

Per creare un cluster il cui disco di avvio è criptato con una chiave CMEK, specifica un valore per il parametro --boot-disk-kms-key nel comando di creazione del cluster.

Creare un cluster standard

Per creare un cluster standard il cui disco di avvio è criptato con una chiave CMEK, utilizza il seguente comando:

gcloud container clusters create CLUSTER_NAME \
    --cluster-version=latest \
    --region COMPUTE_REGION \
    --boot-disk-kms-key projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME \
    --project CLUSTER_PROJECT_ID \
    --disk-type DISK_TYPE

Creare un cluster Autopilot

Per creare un cluster Autopilot il cui disco di avvio è criptato con una chiave CMEK, utilizza il seguente comando:

gcloud container clusters create-auto CLUSTER_NAME \
    --cluster-version=latest \
    --region COMPUTE_REGION \
    --boot-disk-kms-key projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME \
    --project CLUSTER_PROJECT_ID

Sostituisci quanto segue:

  • CLUSTER_NAME: il nome del nuovo cluster.
  • COMPUTE_REGION: la regione di calcolo per il piano di controllo del cluster.
  • KEY_PROJECT_ID: l'ID progetto principale.
  • LOCATION: la posizione del mazzo di chiavi.
  • RING_NAME: il nome del tuo mazzo di chiavi.
  • KEY_NAME: il nome della chiave.
  • CLUSTER_PROJECT_ID è l'ID progetto del cluster.
  • DISK_TYPE: pd-standard (valore predefinito) o pd-ssd.

Console

Creare un cluster standard

Per creare un cluster standard il cui disco di avvio è criptato con una chiave CMEK, svolgi i seguenti passaggi:

  1. Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

    Vai a Google Kubernetes Engine

  2. Fai clic su Crea.

  3. Nella sezione Standard, fai clic su Configura.

  4. Configura il cluster come preferisci.

  5. Nel riquadro di navigazione, in Pool di nodi, fai clic su Nodi.

  6. Nell'elenco a discesa Tipo di disco di avvio, seleziona Disco permanente standard o Disco permanente SSD.

  7. Seleziona la casella di controllo Abilita la crittografia gestita dal cliente per il disco di avvio e scegli la chiave di crittografia Cloud KMS che hai creato in precedenza.

  8. Fai clic su Crea.

Creare un cluster Autopilot

Per creare un cluster Autopilot il cui disco di avvio è criptato con una chiave CMEK, svolgi i passaggi che seguono:

  1. Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

    Vai a Google Kubernetes Engine

  2. Fai clic su Crea.

  3. Nella sezione Autopilot, fai clic su Configura.

  4. Configura il cluster come preferisci.

  5. Espandi la sezione Opzioni avanzate e individua le opzioni Sicurezza.

  6. Seleziona la casella di controllo Abilita la crittografia gestita dal cliente per il disco di avvio e scegli la chiave di crittografia Cloud KMS che hai creato in precedenza.

  7. Fai clic su Crea.

Crea un nuovo pool di nodi con i dischi di avvio dei nodi protetti da CMEK

Per creare un nuovo pool di nodi con CMEK abilitato su un cluster standard esistente, puoi utilizzare la gcloud CLI o la console Google Cloud.

gcloud

Per creare un pool di nodi con crittografia gestita dal cliente per i dischi di avvio dei nodi, specifica un valore per il parametro --boot-disk-kms-key nel comando di creazione.

gcloud container node-pools create NODE_POOL_NAME \
    --region COMPUTE_REGION \
    --disk-type DISK_TYPE \
    --boot-disk-kms-key projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME \
    --project CLUSTER_PROJECT_ID \
    --cluster CLUSTER_NAME

Sostituisci quanto segue:

  • NODE_POOL_NAME: il nome scelto per il pool di nodi.
  • COMPUTE_REGION: la regione di calcolo per il piano di controllo del cluster.
  • DISK_TYPE: pd-standard (valore predefinito) o pd-ssd.
  • KEY_PROJECT_ID:il tuo ID progetto principale.
  • LOCATION: la posizione del mazzo di chiavi.
  • RING_NAME: il nome del tuo mazzo di chiavi.
  • KEY_NAME: il nome della chiave.
  • CLUSTER_PROJECT_ID: l'ID del progetto del cluster.
  • CLUSTER_NAME: il nome del cluster standard creato nel passaggio precedente.

Console

  1. Vai alla pagina Google Kubernetes Engine nella console Google Cloud.

    Vai a Google Kubernetes Engine

  2. Nell'elenco dei cluster, fai clic sul nome del cluster da modificare.

  3. Fai clic su Aggiungi pool di nodi.

  4. Nel riquadro di navigazione, fai clic su Nodi.

  5. Nella sezione Configurazione macchina, assicurati che Tipo di disco di avvio sia Disco permanente standard o Disco permanente SSD.

  6. Seleziona la casella di controllo Abilita la crittografia gestita dal cliente per il disco di avvio e la chiave di crittografia Cloud KMS che hai creato.

  7. Fai clic su Crea.

Utilizza istanze Filestore o dischi permanenti protetti da CMEK

Le seguenti informazioni spiegano come criptare le istanze Filestore o i dischi permanenti appena creati. Puoi attivare CMEK su un cluster nuovo o esistente utilizzando una chiave Cloud KMS nuova o esistente.

Queste istruzioni devono essere completate una volta per cluster GKE:

Crea un StorageClass che fa riferimento alla chiave Cloud KMS

  1. Copia i contenuti di seguito in un file YAML denominato cmek-sc.yaml. Questa configurazione consente il provisioning dinamico dei volumi criptati.

    Istanze Filestore

    apiVersion: storage.k8s.io/v1
    kind: StorageClass
    metadata:
      name: csi-filestore-cmek
    provisioner: filestore.csi.storage.gke.io
    allowVolumeExpansion: true
    parameters:
      tier: enterprise
      instance-encryption-kms-key: projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
    
    • Il campo instance-encryption-kms-key deve essere il identificatore risorsa completo per la chiave che verrà utilizzata per criptare le nuove istanze Filestore.
    • I valori in instance-encryption-kms-key sono sensibili alle maiuscole (ad esempio keyRings e cryptoKeys). Il provisioning di un nuovo volume con valori errati genera un errore invalidResourceUsage.
    • Non puoi aggiungere il parametro instance-encryption-kms-key a un oggetto StorageClass esistente. Tuttavia, puoi eliminare l'oggetto StorageClass e ricrearlo con lo stesso nome, ma con un insieme diverso di parametri.

    Dischi permanenti

    apiVersion: storage.k8s.io/v1
    kind: StorageClass
    metadata:
      name: csi-gce-pd-cmek
    provisioner: pd.csi.storage.gke.io
    volumeBindingMode: "WaitForFirstConsumer"
    allowVolumeExpansion: true
    parameters:
      type: pd-standard
      disk-encryption-kms-key: projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
    
    • Il campo disk-encryption-kms-key deve essere il identificatore risorsa completo per la chiave che verrà utilizzata per criptare i nuovi dischi.
    • I valori in disk-encryption-kms-key sono sensibili alle maiuscole (ad esempio keyRings e cryptoKeys). Il provisioning di un nuovo volume con valori errati genera un errore invalidResourceUsage.
    • Non puoi aggiungere il parametro disk-encryption-kms-key a un oggetto StorageClass esistente. Tuttavia, puoi eliminare l'oggetto StorageClass e rigenerarlo con lo stesso nome, ma con un insieme diverso di parametri. Assicurati che il provisioning del corso esistente sia pd.csi.storage.gke.io.

    Puoi impostare StorageClass come predefinita.

  2. Esegui il deployment di StorageClass nel tuo cluster GKE utilizzando kubectl:

    kubectl apply -f cmek-sc.yaml
    
  3. Verifica che StorageClass abbia utilizzato il driver CSI Filestore o Persistent Disk di Compute Engine e includa l'ID della chiave:

    Istanze Filestore

    kubectl describe storageclass csi-filestore-cmek
    

    Nell'output del comando, verifica quanto segue:

    • Il provisioning è impostato su filestore.csi.storage.gke.io.
    • L'ID della chiave segue instance-encryption-kms-key.
    Name:                  csi-filestore-cmek
    IsDefaultClass:        No
    Annotations:           None
    Provisioner:           filestore.csi.storage.gke.io
    Parameters:            instance-encryption-kms-key=projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME,type=pd-standard
    AllowVolumeExpansion:  true
    MountOptions:          none
    ReclaimPolicy:         Delete
    VolumeBindingMode:     WaitForFirstConsumer
    Events:                none
    

    Dischi permanenti

    kubectl describe storageclass csi-gce-pd-cmek
    

    Nell'output del comando, verifica quanto segue:

    • Il provisioning è impostato su pd.csi.storage.gke.io.
    • L'ID della chiave segue disk-encryption-kms-key.
    Name:                  csi-gce-pd-cmek
    IsDefaultClass:        No
    Annotations:           None
    Provisioner:           pd.csi.storage.gke.io
    Parameters:            disk-encryption-kms-key=projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME,type=pd-standard
    AllowVolumeExpansion:  unset
    MountOptions:          none
    ReclaimPolicy:         Delete
    VolumeBindingMode:     WaitForFirstConsumer
    Events:                none
    

Creare un volume di archiviazione criptato in GKE

In questa sezione, esegui il provisioning dinamico dei volumi di archiviazione Kubernetes criptati con la nuova chiave StorageClass e Cloud KMS.

  1. Copia i seguenti contenuti in un nuovo file denominato pvc.yaml e assicurati che il valore di storageClassName corrisponda al nome dell'oggetto StorageClass:

    Istanze Filestore

    kind: PersistentVolumeClaim
    apiVersion: v1
    metadata:
      name: podpvc
    spec:
      accessModes:
        - ReadWriteMany
      storageClassName: csi-filestore-cmek
      resources:
        requests:
          storage: 1Ti
    

    Dischi permanenti

    kind: PersistentVolumeClaim
    apiVersion: v1
    metadata:
      name: podpvc
    spec:
      accessModes:
        - ReadWriteOnce
      storageClassName: csi-gce-pd-cmek
      resources:
        requests:
          storage: 6Gi
    
  2. Applica PersistentVolumeClaim (PVC) al tuo cluster GKE:

    kubectl apply -f pvc.yaml
    
  3. Se per il tuo StorageClass il campo volumeBindingMode è impostato su WaitForFirstConsumer, devi creare un pod per utilizzare la PVC prima di poterla verificare. Copia i seguenti contenuti in un nuovo file denominato pod.yaml e assicurati che il valore di claimName corrisponda al nome dell'oggetto PersistentVolumeClaim:

    apiVersion: v1
    kind: Pod
    metadata:
      name: web-server
    spec:
      containers:
       - name: web-server
         image: nginx
         volumeMounts:
           - mountPath: /var/lib/www/html
             name: mypvc
      volumes:
       - name: mypvc
         persistentVolumeClaim:
           claimName: podpvc
           readOnly: false
    
  4. Applica il pod al cluster GKE:

    kubectl apply -f pod.yaml
    
  5. Ottieni lo stato del PersistentVolumeClaim del tuo cluster e verifica che il PVC sia stato creato e associato a un PersistentVolume appena eseguito il provisioning.

    Istanze Filestore

    kubectl get pvc
    

    L'output è simile al seguente:

    NAME      STATUS    VOLUME                                     CAPACITY   ACCESS MODES   STORAGECLASS     AGE
    podpvc    Bound     pvc-e36abf50-84f3-11e8-8538-42010a800002   1Ti        RWO            csi-filestore-cmek  9s
    

    Dischi permanenti

    kubectl get pvc
    

    L'output è simile al seguente:

    NAME      STATUS    VOLUME                                     CAPACITY   ACCESS MODES   STORAGECLASS     AGE
    podpvc    Bound     pvc-e36abf50-84f3-11e8-8538-42010a800002   6Gi       RWO            csi-gce-pd-cmek  9s
    

Ora puoi utilizzare il disco permanente protetto da CMEK con il tuo cluster GKE.

Rimuovere la protezione CMEK

Per rimuovere la protezione CMEK da un Persistent Disk, segui le istruzioni riportate nella documentazione di Compute Engine.

La crittografia CMEK non può essere rimossa dalle istanze Filestore.

Policy dell'organizzazione GKE e CMEK

GKE supporta i criteri dell'organizzazione CMEK (anteprima) che possono richiedere la protezione CMEK e limitare le chiavi Cloud KMS che puoi utilizzare per la protezione CMEK.

Quando container.googleapis.com è nell'elenco di servizi del criterio Deny per il vincolo constraints/gcp.restrictNonCmekServices, GKE rifiuta di creare le seguenti risorse se non attivi la protezione CMEK:

  • Nuovi cluster e node pool
  • Nuove istanze Filestore e dischi permanenti

Quando il vincolo constraints/gcp.restrictNonCmekCryptoKeyProjects è configurato in un criterio dell'organizzazione, GKE crea solo risorse protette da CMEK che utilizzano una chiave di crittografia di un progetto, una cartella o un'organizzazione consentiti.

Passaggi successivi