Abilita CMEK per Looker (Google Cloud core)

Per impostazione predefinita, Google Cloud cripta automaticamente i dati quando sono in stato at-rest utilizzando chiavi di crittografia gestite da Google. Se hai requisiti di conformità o normativi specifici relativi alle chiavi che proteggono i tuoi dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per la crittografia a livello di applicazione di Looker (Google Cloud core).

Per saperne di più su CMEK in generale, incluso quando e perché attivarlo, consulta la documentazione di Cloud Key Management Service.

Questa pagina illustra la procedura per configurare un'istanza di Looker (Google Cloud core) per l'utilizzo di CMEK.

In che modo Looker (Google Cloud core) interagisce con CMEK?

Looker (Google Cloud core) utilizza una singola chiave CMEK (tramite una gerarchia di chiavi secondarie) per contribuire a proteggere i dati sensibili gestiti dall'istanza di Looker (Google Cloud core). Durante l'avvio, ogni processo all'interno dell'istanza di Looker effettua una chiamata iniziale a Cloud Key Management Service (KMS) per decriptare la chiave. Durante il normale funzionamento (dopo l'avvio), l'intera istanza di Looker effettua una singola chiamata a KMS circa ogni cinque minuti per verificare che la chiave sia ancora valida.

Quali tipi di istanze di Looker (Google Cloud core) supportano CMEK?

Le istanze di Looker (Google Cloud core) supportano CMEK quando vengono soddisfatti due criteri:

• I passaggi di configurazione di CMEK descritti in questa pagina vengono completati prima della creazione dell'istanza di Looker (Google Cloud core). Non puoi attivare le chiavi di crittografia gestite dal cliente nelle istanze esistenti.
• Le versioni delle istanze devono essere Enterprise o Incorpora.

Flusso di lavoro per la creazione di un'istanza di Looker (Google Cloud core) con CMEK

Questa pagina illustra i passaggi che seguono per configurare CMEK per un'istanza di Looker (Google Cloud core).

1. Configura l'ambiente.
2. Solo per gli utenti di Google Cloud CLI, Terraform e API: crea un account di servizio per ogni progetto che richiede chiavi di crittografia gestite dal cliente, se non è già stato configurato un account di servizio Looker per il progetto.
3. Crea una chiave automatizzata e una chiave e imposta la posizione della chiave. La località è la regione Google Cloud in cui vuoi creare l'istanza di Looker (Google Cloud core).
4. Solo per gli utenti di Google Cloud CLI, Terraform e API: copia o annota l'ID chiave (KMS_KEY_ID) e la posizione della chiave, insieme all'ID (KMS_KEYRING_ID) per il mazzo di chiavi. Queste informazioni sono necessarie per concedere all'account di servizio l'accesso alla chiave.
5. Solo utenti di Google Cloud CLI, Terraform e API: concedi all'account di servizio l'accesso alla chiave.
6. Vai al tuo progetto e crea un'istanza di Looker (Google Cloud core) con le seguenti opzioni:
   1. Seleziona la stessa località utilizzata dalla chiave di crittografia gestita dal cliente.
   2. Imposta la versione su Enterprise o Incorpora.
   3. Attiva la configurazione della chiave gestita dal cliente.
   4. Aggiungi la chiave di crittografia gestita dal cliente per nome o ID.

Una volta completati tutti questi passaggi, l'istanza di Looker (Google Cloud core) verrà attivata con CMEK.

Prima di iniziare

Se non l'hai ancora fatto, assicurati che il tuo ambiente sia configurato per consentirti di seguire le istruzioni riportate in questa pagina. Segui i passaggi descritti in questa sezione per assicurarti che la configurazione sia corretta.

1. Nella Google Cloud console, nella pagina di selezione del progetto, seleziona o crea un Google Cloud progetto. Nota:se non prevedi di conservare le risorse che crei in questa procedura, crea un progetto invece di selezionarne uno esistente. Una volta completata questa procedura, puoi eliminare il progetto e tutte le relative risorse.

   Vai al selettore dei progetti

2. Assicurati che la fatturazione sia attivata per il tuo Google Cloud progetto. Scopri come verificare se la fatturazione è abilitata in un progetto.
3. Installa Google Cloud CLI.

4. Per inizializzare gcloud CLI, esegui il seguente comando:

   gcloud init
   

5. Abilita l'API Cloud Key Management Service.

   Abilita l'API

6. Abilita l'API Looker (Google Cloud core).

   Abilita l'API

Ruoli obbligatori

Per conoscere i ruoli richiesti per la configurazione di CMEK, consulta la pagina Controllo dell'accesso con IAM della documentazione di Cloud Key Management Service.

Per creare un'istanza di Looker (Google Cloud core), assicurati di disporre del ruolo IAM Amministratore di Looker per il progetto in cui è stata creata l'istanza di Looker (Google Cloud core). Per attivare CMEK per l'istanza nella console Google Cloud, assicurati di disporre del ruolo IAM Utilità di crittografia/decrittografia CryptoKey di Cloud KMS sulla chiave in uso per CMEK.

Se devi concedere all'account di servizio Looker l'accesso a una chiave Cloud KMS, devi disporre del ruolo IAM Amministratore Cloud KMS sulla chiave in uso.

Crea un account di servizio

Se utilizzi Google Cloud CLI, Terraform o l'API per creare l'istanza di Looker (Google Cloud core) e un account di servizio Looker non è già stato creato per il Google Cloud progetto in cui risiederà, devi creare un account di servizio per quel progetto. Se prevedi di creare più di un'istanza di Looker (Google Cloud core) nel progetto, lo stesso account di servizio verrà applicato a tutte le istanze di Looker (Google Cloud core) del progetto e la creazione dell'account di servizio dovrà essere eseguita una sola volta. Se utilizzi la console per creare un'istanza, Looker (Google Cloud core) crea automaticamente l'account di servizio e gli concede l'accesso alla chiave CMEK quando configuri l'opzione Utilizza una chiave di crittografia gestita dal cliente.

Per consentire a un utente di gestire gli account di servizio, concedi uno dei seguenti ruoli:

• Utente account di servizio (roles/iam.serviceAccountUser): include le autorizzazioni per elencare gli account di servizio, ottenere i dettagli di un account di servizio e rubare l'identità di un account di servizio.
• Amministratore account di servizio (roles/iam.serviceAccountAdmin): include le autorizzazioni per elencare gli account di servizio e ottenere i dettagli di un account di servizio. Sono incluse anche le autorizzazioni per creare, aggiornare ed eliminare gli account di servizio.

Al momento, puoi utilizzare solo i comandi Google Cloud CLI per creare il tipo di account di servizio necessario per le chiavi di crittografia gestite dal cliente. Se utilizzi la console Google Cloud, Looker (Google Cloud core) crea automaticamente questo account di servizio per te.

gcloud beta services identity create \
--service=looker.googleapis.com \
--project=PROJECT_ID

Questo comando crea l'account di servizio e restituisce il nome dell'account di servizio. Utilizza questo nome durante la procedura descritta in Concedere all'account di servizio l'accesso alla chiave.

Dopo aver creato l'account di servizio, attendi qualche minuto per la sua propagazione.

Creare una chiave automatizzata e una chiave

Puoi creare la chiave nello stesso Google Cloud progetto dell'istanza di Looker (Google Cloud core) o in un progetto utente separato. La posizione del portachiavi Cloud KMS deve corrispondere alla regione in cui vuoi creare l'istanza di Looker (Google Cloud core). Una chiave multiregionale o globale non funzionerà. La richiesta di creazione dell'istanza di Looker (Google Cloud core) non va a buon fine se le regioni non corrispondono.

Segui le istruzioni riportate nelle pagine di documentazione Creare un mazzo di chiavi e Creare una chiave per creare un mazzo di chiavi e una chiave che soddisfino i seguenti due criteri:

• Il campo Posizione portachiavi deve corrispondere alla regione che imposterai per l'istanza di Looker (Google Cloud core).
• Il campo della chiave Finalità deve essere Crittografia/decrittografia simmetrica.

Consulta la sezione Ruotare la chiave per scoprire come ruotare la chiave e creare nuove versioni.

Copia o annota KMS_KEY_ID e KMS_KEYRING_ID

Se utilizzi Google Cloud CLI, Terraform o l'API per configurare l'istanza di Looker (Google Cloud core), segui le istruzioni nella pagina della documentazione Ottenere un ID risorsa Cloud KMS per individuare gli ID risorsa per il portachiavi e la chiave che hai appena creato. Copia o annota l'ID chiave (KMS_KEY_ID) e la posizione della chiave, insieme all'ID (KMS_KEYRING_ID) per il mazzo di chiavi. Queste informazioni sono necessarie per concedere all'account di servizio l'accesso alla chiave.

Concedi all'account di servizio l'accesso alla chiave

Devi eseguire questa procedura solo se si verificano entrambe le seguenti condizioni:

• Utilizzi Google Cloud CLI, Terraform o l'API.
• All'account di servizio non è già stato concesso l'accesso alla chiave. Ad esempio, se nello stesso progetto esiste già un'istanza di Looker (Google Cloud core) che utilizza la stessa chiave, non è necessario concedere l'accesso. In alternativa, se l'accesso alla chiave è già stato concesso da qualcun altro, non devi concedere l'accesso.

Per concedere l'accesso all'account di servizio, devi disporre del ruolo IAM Amministratore Cloud KMS sulla chiave in uso.

Per concedere l'accesso all'account di servizio:

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--location=REGION \
--keyring=KMS_KEYRING_ID \
--member=serviceAccount:SERVICE_ACCOUNT_NAME \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Dopo aver concesso il ruolo IAM all'account di servizio, attendi qualche minuto per la propagazione dell'autorizzazione.

Crea un'istanza di Looker (Google Cloud core) con CMEK

Per creare un'istanza con chiavi di crittografia gestite dal cliente nella Google Cloud console, segui prima i passaggi descritti nella sezione Creare un portachiavi e una chiave, mostrata in precedenza, per creare un portachiavi e una chiave nella stessa regione che utilizzerai per l'istanza di Looker (Google Cloud core). A questo punto, utilizzando le seguenti impostazioni, segui le istruzioni per creare un'istanza di Looker (Google Cloud core).

Per creare un'istanza di Looker (Google Cloud core) con impostazioni CMEK, seleziona una delle seguenti opzioni:

gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID\
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--kms-key=KMS_KEY_ID
--region=REGION \
--edition=EDITION
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

La tua istanza di Looker (Google Cloud core) è ora attivata con CMEK.

Visualizzare le informazioni chiave per un'istanza abilitata per CMEK

Dopo aver creato correttamente un'istanza di Looker (Google Cloud core), puoi verificare se CMEK è abilitato.

Per verificare se CMEK è attivato, seleziona una delle seguenti opzioni:

gcloud looker instances describe INSTANCE_NAME --region=REGION --format config

Utilizzare Cloud External Key Manager (Cloud EKM)

Per proteggere i dati nelle istanze di Looker (Google Cloud core), puoi utilizzare le chiavi da te gestite in un partner di gestione delle chiavi esterne supportato. Per ulteriori informazioni, consulta la pagina della documentazione di Cloud External Key Manager, inclusa la sezione Considerazioni.

Quando è tutto pronto per creare una chiave Cloud EKM, consulta la sezione Come funziona della pagina della documentazione di Cloud External Key Manager. Dopo aver creato una chiave, fornisci il nome della chiave quando crei un'istanza di Looker (Google Cloud core).

Google non controlla la disponibilità delle chiavi in un sistema di gestione delle chiavi partner esterno.

Ruota la chiave

Ti consigliamo di ruotare la chiave per aumentare la sicurezza. Ogni volta che la chiave viene ruotata, viene creata una nuova versione. Per scoprire di più sulla rotazione delle chiavi, consulta la pagina di documentazione Rotazione delle chiavi.

Se ruoti la chiave utilizzata per proteggere la tua istanza di Looker (Google Cloud core), la versione precedente della chiave è comunque necessaria per accedere ai backup o alle esportazioni eseguite quando era in uso. Per questo motivo, Google consiglia di mantenere attiva la versione della chiave precedente per almeno 45 giorni dopo la rotazione per garantire che questi elementi rimangano accessibili. Le versioni delle chiavi vengono conservate per impostazione predefinita finché non vengono disattivate o eliminate.

Disattivare e riattivare le versioni delle chiavi

Consulta le seguenti pagine della documentazione:

• Disattivare una versione della chiave abilitata
• Abilitare una versione della chiave disattivata

Se una versione della chiave utilizzata per proteggere un'istanza di Looker (Google Cloud core) viene disattivata, l'istanza di Looker (Google Cloud core) deve interrompere il funzionamento, cancellare tutti i dati sensibili non criptati che potrebbero essere presenti in memoria e attendere che la chiave diventi di nuovo disponibile. La procedura è la seguente:

1. La versione della chiave utilizzata per proteggere un'istanza di Looker (Google Cloud core) è disabilitata.
2. Entro circa 15 minuti, l'istanza Looker (core di Google Cloud) rileva che la versione della chiave è stata revocata, smette di funzionare ed elimina tutti i dati criptati in memoria.
3. Quando l'istanza smette di funzionare, le chiamate alle API Looker restituiscono un messaggio di errore.
4. Quando l'istanza smette di funzionare, l'interfaccia utente di Looker (Google Cloud core) restituisce un messaggio di errore.
5. Se riattivi la versione della chiave, devi attivare manualmente un riavvio dell'istanza.

Se disattivi una versione della chiave e non vuoi attendere che l'istanza di Looker (Google Cloud core) si arresti autonomamente, puoi attivare manualmente un riavvio dell'istanza in modo che l'istanza di Looker (Google Cloud core) rilevi immediatamente la versione della chiave revocata.

Distruzione delle versioni della chiave

Consulta la seguente pagina della documentazione:

• Distruzione e ripristino delle versioni delle chiavi

Se una versione della chiave utilizzata per proteggere un'istanza di Looker (Google Cloud core) viene distrutta, l'istanza di Looker diventa inaccessibile. L'istanza deve essere eliminata e non potrai accedere ai suoi dati.

Risoluzione dei problemi

Questa sezione descrive le operazioni da provare quando ricevi un messaggio di errore durante la configurazione o l'utilizzo di istanze con CMEK abilitato.

Le operazioni di amministrazione di Looker (componente principale di Google Cloud), come la creazione o l'aggiornamento, potrebbero non riuscire a causa di errori di Cloud KMS e di ruoli o autorizzazioni mancanti. I motivi comuni di errore includono una versione della chiave Cloud KMS mancante, una versione della chiave Cloud KMS disattivata o distrutta, autorizzazioni IAM insufficienti per accedere alla versione della chiave Cloud KMS o la versione della chiave Cloud KMS in una regione diversa dall'istanza Looker (core di Google Cloud). Utilizza la seguente tabella per la risoluzione dei problemi per diagnosticare e risolvere i problemi comuni.

Tabella per la risoluzione dei problemi relativi alle chiavi di crittografia gestite dal cliente

Passaggi successivi

• Amministra un'istanza di Looker (Google Cloud core) dalla Google Cloud console
• Impostazioni di amministrazione di Looker (Google Cloud core)