Configura CMEK per Cloud Logging

Questo documento descrive come configurare e gestire le chiavi di crittografia gestite dal cliente (CMEK) per Cloud Logging per soddisfare le esigenze di conformità della tua organizzazione. Puoi configurare CMEK come impostazione predefinita della risorsa per un'organizzazione, una cartella o per entrambe. Se configurato, Cloud Logging garantisce che tutti i nuovi bucket di log nell'organizzazione o nella cartella siano criptati con una chiave gestita dal cliente.

Puoi configurare impostazioni predefinite per un'organizzazione e per le cartelle. Quando crei nuove risorse, queste ereditano le impostazioni predefinite della risorsa principale. Ad esempio, se configuri CMEK come impostazione predefinita della risorsa per un'organizzazione, tutti i nuovi bucket di log _Default e _Required creati in progetti, cartelle o account di fatturazione dell'organizzazione vengono criptati con la chiave predefinita. Inoltre, se crei un bucket di log personalizzato in un progetto secondario di quell'organizzazione, viene utilizzata automaticamente la chiave predefinita, a meno che non fornisci una chiave diversa durante la creazione del bucket di log.

Le istruzioni in questa guida utilizzano Google Cloud CLI.

Panoramica

Per impostazione predefinita, Cloud Logging cripta i contenuti archiviati inattivi dei clienti. I dati archiviati nei bucket di log da Logging vengono criptati utilizzando chiavi di crittografia delle chiavi, un processo noto come crittografia dell'involucro. L'accesso ai dati di log richiede l'accesso a queste chiavi di crittografia delle chiavi, che Google Cloud gestisce per tuo conto senza che tu debba fare nulla.

La tua organizzazione potrebbe avere requisiti di crittografia avanzata, normativi o relativi alla conformità che la nostra crittografia at-rest predefinita non fornisce. Per soddisfare i requisiti della tua organizzazione, anziché consentire a Google Cloud di gestire le chiavi di crittografia che proteggono i tuoi dati, puoi configurare le chiavi CMEK per controllare e gestire la tua crittografia.

Per informazioni specifiche sulle chiavi CMEK, inclusi i relativi vantaggi e limiti, consulta Chiavi di crittografia gestite dal cliente.

Quando configuri CMEK come impostazione predefinita della risorsa per la registrazione, si verificano i seguenti eventi:

• I nuovi bucket dei log nell'organizzazione o nella cartella vengono criptati automaticamente con la chiave configurata. Tuttavia, puoi modificare la chiave o creare bucket di log e specificare una chiave diversa. Per ulteriori informazioni, consulta la pagina Configurare CMEK per i bucket di log.

• Se utilizzi Log Analytics ed esegui query su più bucket di log, la chiave predefinita potrebbe essere utilizzata per criptare i dati temporanei. Per ulteriori informazioni, consulta Restrizioni di Log Analytics.

Prima di iniziare

Per iniziare, completa i seguenti passaggi:

1. Prima di creare un separato con CMEK abilitata, consulta le limitazioni.

2. In the Google Cloud console, activate Cloud Shell.

   Activate Cloud Shell

   At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

3. Configura il progetto Google Cloud in cui prevedi di creare le chiavi:

   1. Per ottenere le autorizzazioni necessarie per creare le chiavi, chiedi all'amministratore di concederti il ruolo IAM Amministratore Cloud KMS (roles/cloudkms.admin) nel progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

      Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

   2. Abilita l'API Cloud KMS.

   3. Crea un keyring e le chiavi.

      Cloud Logging ti consente di utilizzare una chiave da qualsiasi regione. Tuttavia, quando crei un bucket di log, la posizione del bucket deve corrispondere alla posizione della chiave. Per informazioni sulle regioni supportate, consulta quanto segue:

      • Località di Cloud KMS
      • Regioni supportate per il logging

      Se configuri CMEK come impostazione predefinita della risorsa per la registrazione seguendo i passaggi descritti in questo documento, i nuovi bucket di log creati nell'organizzazione o nella cartella vengono configurati automaticamente per CMEK. Inoltre, poiché la località di un bucket di log deve corrispondere alla località della chiave, dopo aver configurato CMEK come impostazione delle risorse predefinita, non puoi creare bucket di log nella regione global.

4. Assicurati che il tuo ruolo IAM nell'organizzazione o nella cartella di cui vuoi configurare le impostazioni predefinite includa le seguenti autorizzazioni di Cloud Logging:

   • logging.settings.get
   • logging.settings.update

Attivare CMEK per un'organizzazione o una cartella

Segui queste istruzioni per attivare CMEK per la tua organizzazione o cartella Google Cloud.

Determina l'ID account di servizio

Per determinare l'ID account di servizio associato all'organizzazione o alla cartella per la quale verrà applicato il CMEK, esegui il seguente comando gcloud logging settings describe:

 gcloud logging settings describe --folder=FOLDER_ID

gcloud logging settings describe --organization=ORGANIZATION_ID

Il comando precedente genera account di servizio per l'organizzazione o la cartella, se non esistono. Il comando restituisce anche gli ID di due account di servizio, uno nel campo kmsServiceAccountId e l'altro nel campo loggingServiceAccountId. Per configurare il CMEK come impostazione predefinita, utilizza il valore nel campo kmsServiceAccountId.

Di seguito è riportata una risposta di esempio al comando precedente quando viene specificata un'organizzazione:

kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
name: organizations/ORGANIZATION_ID/settings

Esegui la procedura di provisioning una volta per risorsa. L'esecuzione del comando describe più volte restituisce lo stesso valore per il campo kmsServiceAccountId.

Se non puoi utilizzare Google Cloud CLI, esegui il metodo getSettings dell'API Cloud Logging.

Assegna il ruolo di criptatore/decriptatore

Per utilizzare CMEK, concedi all'account di servizio l'autorizzazione per utilizzare Cloud KMS assegnando al ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS l'account di servizio:

gcloud kms keys add-iam-policy-binding \
--project=KMS_PROJECT_ID \
--member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter \
--location=KMS_KEY_LOCATION \
--keyring=KMS_KEY_RING \
KMS_KEY_NAME

Configura i criteri dell'organizzazione

La registrazione supporta i criteri dell'organizzazione che possono richiedere la protezione CMEK e limitare le CryptoKey Cloud KMS che possono essere utilizzate per la protezione CMEK:

• Quando logging.googleapis.com è nell'elenco di servizi dei criteri Deny per il vincolo constraints/gcp.restrictNonCmekServices, la funzionalità di logging rifiuta di creare nuovi bucket definiti dall'utente non protetti da CMEK. Tuttavia, questo vincolo non impedisce a Cloud Logging di creare i bucket di log _Required e _Default che vengono creati quando viene creato un progetto Google Cloud.

• Quando viene applicato constraints/gcp.restrictCmekCryptoKeyProjects, Logging crea risorse protette da CMEK che sono protette da una CryptoKey di un progetto, di una cartella o di un'organizzazione consentiti.

Per ulteriori informazioni su CMEK e sui criteri dell'organizzazione, consulta Criteri dell'organizzazione CMEK.

Se esiste un criterio dell'organizzazione che specifica un vincolo CMEK, assicurati che questi vincoli siano conformi alle impostazioni predefinite di Logging per un'organizzazione o una cartella. Inoltre, se prevedi di modificare le impostazioni predefinite, prima di procedere, controlla e, se necessario, aggiorna i criteri dell'organizzazione.

Per visualizzare o configurare i criteri dell'organizzazione, segui questi passaggi:

1. Nella console Google Cloud, vai alla pagina Norme dell'organizzazione:

   Vai a Criteri dell'organizzazione

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo IAM e amministrazione.

2. Seleziona la tua organizzazione.

3. Verifica e, se necessario, aggiorna le limitazioni specifiche per CMEK.

   Per informazioni su come modificare i criteri di un'organizzazione, consulta Creare e modificare i criteri.

Configura Cloud Logging con la chiave Cloud KMS

Per configurare CMEK come impostazione predefinita della risorsa per il logging, esegui il seguente gcloud logging settings update comando:

gcloud logging settings update \
    --folder=FOLDER_ID \
    --kms-location=KMS_KEY_LOCATION \
    --kms-key-name=KMS_KEY_NAME \
    --kms-keyring=KMS_KEY_RING \
    --kms-project=KMS_PROJECT_ID

--storage-location = KMS_KEY_LOCATION

gcloud logging settings update \
    --organization=ORGANIZATION_ID \
    --kms-location=KMS_KEY_LOCATION \
    --kms-key-name=KMS_KEY_NAME \
    --kms-keyring=KMS_KEY_RING \
    --kms-project=KMS_PROJECT_ID

--storage-location = KMS_KEY_LOCATION

Dopo l'applicazione della chiave, i nuovi bucket di log nell'organizzazione o nella cartella vengono configurati per criptare i dati a riposo utilizzando questa chiave. Puoi anche modificare le chiavi per i singoli bucket di log. Non puoi creare bucket di log nella regione global perché devi utilizzare una chiave la cui regione corrisponde all'ambito regionale dei tuoi dati.

Se non puoi utilizzare Google Cloud CLI, esegui il metodo updateSettings dell'API Cloud Logging.

Verifica l'abilitazione della chiave

Per verificare di aver attivato correttamente CMEK per un'organizzazione o una cartella, esegui il seguente comando gcloud logging settings describe:

gcloud logging settings describe --folder=FOLDER_ID

gcloud logging settings describe --organization=ORGANIZATION_ID

Quando il comando precedente restituisce il nome della chiave Cloud KMS nel campo kmsKeyName, la chiave CMEK è attivata per l'organizzazione o la cartella:

kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com

Instrada i log alle destinazioni supportate

• I bucket dei log di Cloud Logging possono essere configurati per criptare i dati con CMEK. Quando configuri CMEK come impostazione predefinita per un'organizzazione o una cartella, i nuovi bucket dei log nell'organizzazione o nella cartella utilizzano automaticamente CMEK. Puoi modificare la chiave di questi bucket di log e creare bucket di log che utilizzano una chiave KMS diversa da quella specificata dalle impostazioni predefinite.

  Per informazioni sulla CMEK applicata ai bucket di log, inclusa la modalità di modifica delle chiavi e delle limitazioni quando attivi la CMEK su un bucket di log, consulta Configurare la CMEK per i bucket di log.

• Cloud Storage supporta CMEK per il routing dei log. Per istruzioni su come configurare le chiavi CMEK per Cloud Storage, consulta Utilizzare le chiavi di crittografia gestite dal cliente.

  Se i dati vengono persi a causa della mancata disponibilità delle chiavi durante il routing dei dati dei log in Cloud Storage, puoi copiare in blocco i log in Cloud Storage in modo retroattivo se questi sono archiviati anche in un bucket di log. Per maggiori dettagli, vedi Copiare le voci di log.

• Per impostazione predefinita, BigQuery cripta i contenuti dei clienti archiviati inattivi. Per maggiori dettagli, consulta Protezione dei dati con le chiavi di Cloud Key Management Service.

• Per impostazione predefinita, Pub/Sub cripta i contenuti dei clienti archiviati at-rest. Per maggiori dettagli, consulta Configurare la crittografia dei messaggi.

Gestire la chiave Cloud KMS

Le sezioni seguenti spiegano come modificare, revocare l'accesso o disattivare la chiave Cloud KMS.

Modificare la chiave Cloud KMS

Per modificare la chiave Cloud KMS associata a un'organizzazione o a una directory, crea una chiave, quindi esegui il comando gcloud logging settings update e fornisci le informazioni sulla nuova chiave Cloud KMS:

gcloud logging settings update \
    --folder=FOLDER_ID
    --kms-key-name=NEW_KMS_KEY_NAME
    --kms-location=NEW_KMS_KEY_LOCATION \
    --kms-keyring=NEW_KMS_KEY_RING \
    --kms-project=NEW_KMS_PROJECT_ID

--storage-location = NEW_KMS_KEY_LOCATION

gcloud logging settings update \
    --organization=ORGANIZATION_ID
    --kms-key-name=NEW_KMS_KEY_NAME
    --kms-location=NEW_KMS_KEY_LOCATION \
    --kms-keyring=NEW_KMS_KEY_RING \
    --kms-project=NEW_KMS_PROJECT_ID

--storage-location = NEW_KMS_KEY_LOCATION

Revoca l'accesso alla chiave Cloud KMS

Puoi revocare l'accesso di Logging alla chiave Cloud KMS rimuovendo l'autorizzazione IAM dell'account di servizio configurato per la chiave.

Se rimuovi l'accesso di Logging a una chiave, l'applicazione della modifica può richiedere fino a un'ora.

Per revocare l'accesso di Logging alla chiave Cloud KMS, esegui il seguente comando Google Cloud CLI:

gcloud kms keys remove-iam-policy-binding \
    --project=KMS_PROJECT_ID \
    --member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --location=KMS_KEY_LOCATION \
    --keyring=KMS_KEY_RING \
    KMS_KEY_NAME

Prima di eseguire il comando precedente, esegui le seguenti sostituzioni:

• KMS_PROJECT_ID: l'identificatore alfanumerico univoco, composto dal nome del progetto Google Cloud e da un numero assegnato in modo casuale, del progetto Google Cloud che esegue Cloud KMS. Per informazioni su come ottenere questo identificatore, consulta Identificazione dei progetti.
• KMS_SERVICE_ACCT_NAME: il nome dell'account di servizio visualizzato nel campo kmsServiceAccountId della risposta del comando gcloud logging settings describe.
• KMS_KEY_LOCATION: la regione della chiave Cloud KMS.
• KMS_KEY_RING: il nome della raccolta di chiavi Cloud KMS.
• KMS_KEY_NAME: Il nome della chiave Cloud KMS. È formattato come segue: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

Disattivare CMEK

La disattivazione del CMEK per un'organizzazione o una cartella rimuove l'applicazione dei criteri CMEK solo per le operazioni future. Le configurazioni applicate in precedenza rimangono invariate.

Per disattivare CMEK in una risorsa in cui CMEK è configurato come impostazione predefinita della risorsa, esegui il seguente comando Google Cloud CLI:

gcloud logging settings update --folder=FOLDER_ID --clear-kms-key

gcloud logging settings update --organization=ORGANIZATION_ID --clear-kms-key

Se vuoi distruggere la chiave, consulta Distruzione e ripristino delle versioni delle chiavi.

Considerazioni rotazione della chiave Cloud KMS

Cloud Logging non ruota automaticamente la chiave di crittografia per i file di ripristino di emergenza temporanei quando viene ruotata la chiave Cloud KMS associata all'organizzazione o alla cartella Google Cloud. I file di recupero esistenti continuano a utilizzare la versione della chiave con cui sono stati creati. I nuovi file di recupero utilizzano la versione corrente della chiave primaria.

Limitazioni

Di seguito sono riportate le limitazioni note quando si configura CMEK come impostazione della risorsa predefinita per il logging.

Mancata disponibilità dei file di disaster recovery

Una chiave Cloud KMS è considerata disponibile e accessibile da logging quando si verificano entrambe le seguenti condizioni:

• La chiave è attivata.
• L'account di servizio elencato nel campo kmsServiceAccountId della risposta del comando gcloud logging settings describe ha le autorizzazioni di crittografia e decrittografia per la chiave.

Se Logging perde l'accesso alla chiave Cloud KMS, non è in grado di scrivere file temporanei di ripristino dopo disastri e le query non funzionano più per gli utenti. Le prestazioni delle query potrebbero rimanere ridotte anche dopo il ripristino dell'accesso alla chiave.

Anche il routing dei log in Cloud Storage potrebbe essere interessato perché il logging non è in grado di scrivere i file temporanei necessari per semplificare il routing. Se viene rilevato un errore durante la crittografia o la decrittografia dei dati, viene inviata una notifica al progetto Google Cloud contenente la chiave Cloud KMS.

Disponibilità della libreria client

Le librerie client di Logging non forniscono metodi per la configurazione di CMEK.

Degrado dovuto alla mancata disponibilità della chiave Cloud EKM

Quando utilizzi una chiave Cloud EKM, Google non ha alcun controllo sulla disponibilità della chiave gestita esternamente nel sistema del partner di gestione delle chiavi esterne.

Quando CMEK è configurato come impostazione predefinita della risorsa per un'organizzazione o una cartella, se una chiave gestita esternamente non è disponibile, Cloud Logging tenta continuamente di accedere alla chiave. Cloud Logging inoltre memorizza in un buffer i dati dei log in arrivo per un massimo di un'ora. Dopo un'ora, se Cloud Logging non è ancora in grado di accedere alla chiave gestita esternamente, inizia a eliminare i dati.

Se la chiave CMEK viene applicata a un bucket di log e se non è disponibile una chiave gestita esternamente, Cloud Logging continua a archiviare i log nei bucket di log, ma gli utenti non potranno accedere a questi dati.

Consulta la documentazione di Cloud External Key Manager per ulteriori considerazioni e potenziali alternative quando utilizzi le chiavi esterne.

Limitazioni dei bucket dei log

Per le limitazioni relative all'utilizzo di CMEK con i bucket di log, consulta Limitazioni.

Quote

Per informazioni dettagliate sui limiti di utilizzo di Logging, consulta Quote e limiti.

Risolvere gli errori di configurazione

Per informazioni sulla risoluzione degli errori di configurazione CMEK, consulta Risolvere gli errori CMEK e delle impostazioni predefinite.