Abilita CMEK per Looker (Google Cloud core)

Per impostazione predefinita, Google Cloud cripta automaticamente i dati quando sono at-rest utilizzando chiavi di crittografia gestite da Google. Se hai requisiti normativi o di conformità specifici relativi alle chiavi per la protezione dei dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per la crittografia a livello di applicazione di Looker (Google Cloud core).

Per ulteriori informazioni su CMEK in generale, inclusi quando e perché abilitarla, consulta la documentazione di Cloud Key Management Service.

Questa pagina illustra come configurare un'istanza di Looker (Google Cloud core) per utilizzare CMEK.

In che modo Looker (Google Cloud core) interagisce con CMEK?

Looker (Google Cloud core) utilizza un'unica chiave CMEK (tramite una gerarchia di chiavi secondarie) per proteggere i dati sensibili gestiti dall'istanza di Looker (Google Cloud core). Durante l'avvio, ogni processo all'interno dell'istanza di Looker effettua una chiamata iniziale al Cloud Key Management Service (KMS) per decriptare la chiave. Durante il normale funzionamento (dopo l'avvio), l'intera istanza di Looker effettua una singola chiamata al KMS circa ogni cinque minuti per verificare che la chiave sia ancora valida.

Quali tipi di istanze di Looker (Google Cloud core) supportano CMEK?

Le istanze Looker (Google Cloud core) supportano CMEK quando vengono soddisfatti due criteri:

• I passaggi di configurazione CMEK descritti in questa pagina vengono completati prima della creazione dell'istanza di Looker (Google Cloud core). Non puoi abilitare le chiavi di crittografia gestite dal cliente nelle istanze esistenti.
• Le versioni dell'istanza devono essere Enterprise o Embed.

Flusso di lavoro per la creazione di un'istanza di Looker (Google Cloud core) con CMEK

Questa pagina ti guiderà attraverso i passaggi seguenti per configurare CMEK per un'istanza di Looker (Google Cloud core).

1. Configura il tuo ambiente.
2. Solo utenti di Google Cloud CLI, Terraform e API: crea un account di servizio per ogni progetto che richiede chiavi di crittografia gestite dal cliente, se un account di servizio Looker non è già stato configurato per il progetto.
3. Crea un keyring e una chiave, quindi imposta la posizione della chiave. La località è la regione Google Cloud in cui vuoi creare l'istanza di Looker (Google Cloud core).
4. Solo per utenti di Google Cloud CLI, Terraform e API: copia o annota l'ID chiave (KMS_KEY_ID) e la località della chiave, insieme all'ID (KMS_KEYRING_ID) del keyring. Queste informazioni sono necessarie quando si concede all'account di servizio l'accesso alla chiave.
5. Solo utenti di Google Cloud CLI, Terraform e API: concedi all'account di servizio l'accesso alla chiave.
6. Vai al tuo progetto e crea un'istanza di Looker (Google Cloud core) con le seguenti opzioni:
   1. Seleziona la stessa località utilizzata dalla chiave di crittografia gestita dal cliente.
   2. Imposta la versione su Enterprise o su Incorpora.
   3. Attiva la configurazione della chiave gestita dal cliente.
   4. Aggiungi la chiave di crittografia gestita dal cliente per nome o ID.

Una volta completati tutti questi passaggi, la tua istanza di Looker (Google Cloud core) verrà abilitata con CMEK.

Prima di iniziare

Se non lo hai già fatto, assicurati che il tuo ambiente sia configurato in modo da consentirti di seguire le istruzioni in questa pagina. Segui i passaggi descritti in questa sezione per assicurarti che la configurazione sia corretta.

1. Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud. Nota:se non prevedi di conservare le risorse create in questa procedura, crea un progetto anziché selezionarne uno esistente. Dopo aver completato questi passaggi, puoi eliminare il progetto e rimuovere le risorse associate.

   Vai al selettore di progetti

2. Verifica che la fatturazione sia attivata per il tuo progetto Google Cloud. Scopri come verificare se la fatturazione è abilitata per un progetto.
3. Installa Google Cloud CLI.

4. Per initialize gcloud CLI, esegui questo comando:

   gcloud init
   

5. Abilitare l'API Cloud Key Management Service.

   Abilita l'API

6. Abilita l'API Looker (Google Cloud core).

   Abilita l'API

Ruoli obbligatori

Per comprendere i ruoli richiesti per la configurazione di CMEK, visita la pagina Controllo dell'accesso con IAM della documentazione di Cloud Key Management Service.

Per creare un'istanza di Looker (Google Cloud core), assicurati di disporre del ruolo IAM Amministratore Looker per il progetto in cui viene creata l'istanza di Looker (Google Cloud core). Per abilitare CMEK per l'istanza nella console Google Cloud, assicurati di disporre del ruolo IAM Autore crittografia/decrittografia CryptoKey Cloud KMS per la chiave in uso per CMEK.

Se devi concedere all'account di servizio Looker l'accesso a una chiave Cloud KMS, devi disporre del ruolo IAM Amministratore Cloud KMS per la chiave in uso.

Crea un account di servizio

Se utilizzi Google Cloud CLI, Terraform o l'API per creare la tua istanza di Looker (Google Cloud core) e non è stato già creato un account di servizio Looker per il progetto Google Cloud in cui risiederà, devi creare un account di servizio per quel progetto. Se intendi creare più di un'istanza di Looker (Google Cloud core) nel progetto, lo stesso account di servizio si applica a tutte le istanze di Looker (Google Cloud core) nel progetto e la creazione dell'account di servizio deve essere eseguita una sola volta. Se utilizzi la console per creare un'istanza, Looker (Google Cloud core) crea automaticamente l'account di servizio e concede all'account l'accesso alla chiave CMEK durante la configurazione dell'opzione Utilizza una chiave di crittografia gestita dal cliente.

Per consentire a un utente di gestire gli account di servizio, concedi uno dei seguenti ruoli:

• Utente account di servizio (roles/iam.serviceAccountUser): include le autorizzazioni per elencare gli account di servizio, ottenere dettagli su un account di servizio e impersonare un account di servizio.
• Amministratore account di servizio (roles/iam.serviceAccountAdmin): include le autorizzazioni per elencare gli account di servizio e ottenere dettagli su un account di servizio. Include anche le autorizzazioni per creare, aggiornare ed eliminare gli account di servizio.

Attualmente puoi utilizzare solo i comandi di Google Cloud CLI per creare il tipo di account di servizio necessario per le chiavi di crittografia gestite dal cliente. Se utilizzi la console Google Cloud, Looker (Google Cloud core) crea automaticamente questo account di servizio per te.

gcloud beta services identity create \
--service=looker.googleapis.com \
--project=PROJECT_ID

Questo comando crea l'account di servizio e restituisce il nome dell'account di servizio. Dovrai usare questo nome dell'account di servizio durante la procedura descritta in Concedere all'account di servizio l'accesso alla chiave.

Dopo aver creato l'account di servizio, attendi qualche minuto per la propagazione.

Crea un keyring e una chiave

Puoi creare la chiave nello stesso progetto Google Cloud dell'istanza di Looker (Google Cloud core) o in un progetto utente separato. La località del keyring Cloud KMS deve corrispondere alla regione in cui vuoi creare l'istanza di Looker (Google Cloud core). Una chiave per più regioni o globale non funzionerà. La richiesta di creazione dell'istanza di Looker (Google Cloud core) non va a buon fine se le regioni non corrispondono.

Segui le istruzioni nelle pagine della documentazione Creare un keyring e Creare una chiave per creare un keyring e una chiave che soddisfino i due criteri seguenti:

• Il campo Posizione keyring deve corrispondere alla regione impostata per l'istanza di Looker (Google Cloud core).
• Il campo Scopo della chiave deve essere Crittografia/decrittografia simmetrica.

Consulta la sezione Ruotare la chiave per scoprire come ruotare la chiave e creare nuove versioni della chiave.

Copia o prendi nota dei KMS_KEY_ID e dei KMS_KEYRING_ID

Se utilizzi Google Cloud CLI, Terraform o l'API per configurare l'istanza di Looker (Google Cloud core), segui le istruzioni nella pagina della documentazione Ottenere un ID risorsa di Cloud KMS per individuare gli ID risorsa per il keyring e la chiave appena creati. Copia o prendi nota dell'ID della chiave (KMS_KEY_ID) e della posizione della chiave, insieme all'ID (KMS_KEYRING_ID) del keyring. Queste informazioni sono necessarie quando si concede all'account di servizio l'accesso alla chiave.

Concedi all'account di servizio l'accesso alla chiave

Devi eseguire questa procedura solo se si verificano entrambe le seguenti condizioni:

• Stai utilizzando Google Cloud CLI, Terraform o l'API.
• All'account di servizio non è già stato concesso l'accesso alla chiave. Ad esempio, se nello stesso progetto esiste già un'istanza di Looker (Google Cloud core) che utilizza la stessa chiave, non è necessario concedere l'accesso. In alternativa, se l'accesso alla chiave è già stato concesso da qualcun altro, non è necessario concederlo.

Per concedere l'accesso all'account di servizio, devi disporre del ruolo IAM Amministratore Cloud KMS per la chiave in uso.

Per concedere l'accesso all'account di servizio:

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--location=REGION \
--keyring=KMS_KEYRING_ID \
--member=serviceAccount:SERVICE_ACCOUNT_NAME \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Dopo aver concesso all'account di servizio il ruolo IAM, attendi qualche minuto per la propagazione dell'autorizzazione.

Crea un'istanza di Looker (Google Cloud core) con CMEK

Per creare un'istanza con chiavi di crittografia gestite dal cliente nella console Google Cloud, segui prima i passaggi nella sezione Creare un keyring e una chiave, mostrata in precedenza, per creare un keyring e una chiave nella stessa regione che utilizzerai per la tua istanza Looker (Google Cloud core). Successivamente, utilizzando le impostazioni seguenti, segui le istruzioni per creare un'istanza di Looker (Google Cloud core).

Per creare un'istanza di IP privato con le impostazioni CMEK, seleziona una delle seguenti opzioni:

gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID\
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--kms-key=KMS_KEY_ID
--region=REGION \
--edition=EDITION
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

L'istanza di Looker (Google Cloud core) è ora abilitata con CMEK.

Visualizza le informazioni chiave per un'istanza abilitata per CMEK

Dopo aver creato correttamente un'istanza di Looker (Google Cloud core), puoi verificare se CMEK è abilitata.

Per verificare se CMEK è abilitata, seleziona una delle seguenti opzioni:

gcloud looker instances describe INSTANCE_NAME --region=REGION --format config

Utilizza Cloud External Key Manager (Cloud EKM)

Per proteggere i dati nelle istanze di Looker (Google Cloud core), puoi utilizzare le chiavi gestite all'interno di un partner esterno supportato per la gestione delle chiavi. Per ulteriori informazioni, consulta la pagina della documentazione di Cloud External Key Manager, che include la sezione Considerazioni.

Quando è tutto pronto per creare una chiave Cloud EKM, consulta la sezione Come funziona della pagina della documentazione di Cloud External Key Manager. Dopo aver creato una chiave, fornisci il nome della chiave quando crei un'istanza di Looker (Google Cloud core).

Google non controlla la disponibilità delle chiavi in un sistema esterno di gestione delle chiavi del partner.

Ruota la chiave

Ti consigliamo di ruotare la chiave per promuovere la sicurezza. Ogni volta che la chiave viene ruotata, ne viene creata una nuova versione. Per scoprire di più sulla rotazione della chiave, consulta la pagina della documentazione relativa alla rotazione delle chiavi.

Se ruoti la chiave utilizzata per proteggere l'istanza di Looker (Google Cloud core), la versione della chiave precedente è comunque necessaria per accedere ai backup o alle esportazioni effettuate quando quella versione della chiave era in uso. Per questo motivo, Google consiglia di mantenere abilitata la versione precedente della chiave per almeno 45 giorni dopo la rotazione per garantire che gli elementi rimangano accessibili. Le versioni della chiave vengono conservate per impostazione predefinita fino a quando non vengono disabilitate o eliminate.

Disabilita e riabilita le versioni della chiave

Consulta le seguenti pagine della documentazione:

• Disattivare una versione della chiave attivata
• Abilita una versione della chiave disabilitata

Se una versione della chiave utilizzata per proteggere un'istanza di Looker (Google Cloud core) è disabilitata, l'istanza di Looker (Google Cloud core) dovrà interrompere il funzionamento, cancellare tutti i dati sensibili non criptati che potrebbero essere in memoria e attendere che la chiave diventi di nuovo disponibile. La procedura è la seguente:

1. La versione della chiave utilizzata per proteggere un'istanza di Looker (Google Cloud core) è disabilitata.
2. Entro circa 15 minuti, l'istanza di Looker (Google Cloud core) rileva che la versione della chiave è stata revocata, smette di funzionare e cancella tutti i dati criptati in memoria.
3. Una volta che l'istanza smette di funzionare, le chiamate alle API Looker restituiscono un messaggio di errore.
4. Quando l'istanza smette di funzionare, la UI di Looker (Google Cloud core) restituisce un messaggio di errore.
5. Se riattivi la versione della chiave, devi attivare manualmente un riavvio dell'istanza.

Se disabiliti una versione della chiave e non vuoi attendere che l'istanza di Looker (Google Cloud core) si arresti autonomamente, puoi attivare manualmente il riavvio di un'istanza in modo che l'istanza di Looker (Google Cloud core) rilevi immediatamente la versione della chiave revocata.

Eliminazione delle versioni della chiave

Consulta la seguente pagina della documentazione:

• Distruzione e ripristino delle versioni delle chiavi

Se una versione della chiave utilizzata per proteggere un'istanza di Looker (Google Cloud core) viene eliminata, l'istanza di Looker diventa inaccessibile. L'istanza deve essere eliminata e non potrai accedere ai suoi dati.

Risolvere i problemi

In questa sezione vengono descritte le azioni da provare quando viene visualizzato un messaggio di errore durante la configurazione o l'utilizzo delle istanze abilitate per CMEK.

Le operazioni dell'amministratore di Looker (Google Cloud core), come la creazione o l'aggiornamento, potrebbero non riuscire a causa di errori di Cloud KMS e di ruoli o autorizzazioni mancanti. Le cause comuni dell'errore includono una versione mancante della chiave Cloud KMS, una versione della chiave Cloud KMS disabilitata o eliminata, autorizzazioni IAM insufficienti per accedere alla versione della chiave Cloud KMS o la versione della chiave Cloud KMS che si trova in una regione diversa dall'istanza di Looker (Google Cloud core). Utilizza la seguente tabella per la risoluzione dei problemi per diagnosticare e risolvere i problemi più comuni.

Tabella per la risoluzione dei problemi relativi alle chiavi di crittografia gestite dal cliente

Passaggi successivi

• Gestire un'istanza di Looker (Google Cloud core) dalla console Google Cloud
• Impostazioni di amministrazione di Looker (Google Cloud core)