Ative a CMEK para Looker (Google Cloud Core)

Por padrão, o Google Cloud criptografa automaticamente os dados quando em repouso usando chaves de criptografia gerenciados pelo Google. Se você tem requisitos regulatórios ou de compliance específicos às chaves que protegem seus dados, é possível usar chaves de criptografia de criptografia de dados (CMEK) para criptografia no nível do aplicativo do Looker (Google Cloud Core).

Para mais informações sobre a CMEK em geral, incluindo quando e por que ativá-la, consulte o Cloud Key Management Service Documentação.

Nesta página, mostramos como configurar uma instância do Looker (Google Cloud Core) para usar a CMEK.

Como o Looker (Google Cloud Core) interage com a CMEK?

O Looker (Google Cloud Core) usa uma única chave CMEK (com uma hierarquia de chaves secundárias) para proteger os dados sensíveis gerenciados pela instância do Looker (Google Cloud Core). Durante a inicialização, cada processo na instância do Looker faz uma chamada inicial para o Cloud Key Management Service (KMS) para descriptografar a chave. Durante a operação normal (após a inicialização), toda a instância do Looker faz uma chamada para o KMS a cada cinco minutos, aproximadamente, para verificar se a chave ainda é válida.

Quais tipos de instâncias do Looker (Google Cloud Core) são compatíveis com a CMEK?

As instâncias do Looker (Google Cloud Core) oferecem suporte a CMEK quando dois critérios são atendidos:

• As etapas de configuração de CMEK descritas nesta página são concluídas antes da criação da instância do Looker (Google Cloud Core). Não é possível ativar chaves de criptografia gerenciadas pelo cliente em instâncias atuais.
• As edições de instância precisam ser Enterprise ou Embed.

Fluxo de trabalho para criar uma instância do Looker (Google Cloud Core) com CMEK

Esta página mostra as etapas a seguir para configurar a CMEK para uma instância do Looker (Google Cloud Core).

1. Configure seu ambiente.
2. Somente para usuários da Google Cloud CLI, do Terraform e da API:crie uma conta de serviço para cada projeto que exige chaves de criptografia gerenciadas pelo cliente, caso uma conta de serviço do Looker ainda não tenha sido configurada para o projeto.
3. Crie um keyring e uma chave e defina o local da chave. O local é a região do Google Cloud em que você quer criar a instância do Looker (Google Cloud Core).
4. Somente usuários da CLI do Google Cloud, do Terraform e da API: copie ou anote o ID da chave (KMS_KEY_ID) e o local da chave, além do ID (KMS_KEYRING_ID) do keyring. Você precisa dessas informações para conceder à conta de serviço acesso à chave.
5. Somente usuários da Google Cloud CLI, do Terraform e da API:conceda à conta de serviço acesso à chave.
6. Acesse seu projeto e crie uma instância do Looker (Google Cloud Core) com as seguintes opções:
   1. Selecione o mesmo local usado pela chave de criptografia gerenciada pelo cliente.
   2. Defina a edição como Enterprise ou Embed.
   3. Ative a configuração da chave gerenciada pelo cliente.
   4. Adicione a chave de criptografia gerenciada pelo cliente por nome ou ID.

Quando todas essas etapas forem concluídas, sua instância do Looker (Google Cloud Core) será ativada com a CMEK.

Antes de começar

Caso ainda não tenha feito isso, verifique se seu ambiente está configurado para permitir que você siga as instruções nesta página. Siga as etapas desta seção para verificar se a configuração está correta.

1. No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud. Observação: se você não quiser manter os recursos criados usando este procedimento, crie um projeto em vez de selecionar um atual. Depois de concluir essas etapas, exclua o projeto, o que removerá os recursos associados a ele.

   Acessar o seletor de projetos

2. Verifique se a cobrança está ativada para o seu projeto do Google Cloud. Saiba como verificar se o faturamento está ativado em um projeto.
3. Instale a CLI do Google Cloud.

4. Para inicializar a CLI gcloud, execute o seguinte comando:

   gcloud init
   

5. Ative a API Cloud Key Management Service.

   Ativar a API

6. Ative a API Looker (Google Cloud Core).

   Ativar a API

Funções exigidas

Para entender os papéis necessários para configurar a CMEK, acesse a página Controle de acesso com o IAM da documentação do Cloud Key Management Service.

Para criar uma instância do Looker (Google Cloud Core), você precisa ter o papel do IAM Administrador do Looker para o projeto em que a instância do Looker (Google Cloud Core) foi criada. Para ativar a CMEK na instância no console do Google Cloud, verifique se você tem a função IAM Criptografador/Descriptografador da CryptoKey do Cloud KMS na chave que está sendo usada para a CMEK.

Se você precisar conceder à conta de serviço do Looker acesso a uma chave do Cloud KMS, será necessário ter o papel do IAM Administrador do Cloud KMS na chave que está sendo usada.

Crie uma conta de serviço

Se você estiver usando a Google Cloud CLI, o Terraform ou a API para criar sua instância do Looker (Google Cloud Core) e uma conta de serviço do Looker ainda não tiver sido criada para o projeto do Google Cloud em que ela vai residir, crie uma conta de serviço para esse projeto. Se você for criar mais de uma instância do Looker (núcleo do Google Cloud) no projeto, a mesma conta de serviço será aplicada a todas as instâncias do Looker (núcleo do Google Cloud) nesse projeto, e a criação da conta de serviço precisa ser feita apenas uma vez. Se você usar o console para criar uma instância, o Looker (Google Cloud Core) vai criar automaticamente a conta de serviço e conceder a ela acesso à chave CMEK ao configurar a opção Usar uma chave de criptografia gerenciada pelo cliente.

Para permitir que um usuário gerencie contas de serviço, conceda um dos seguintes papéis:

• Usuário da conta de serviço (roles/iam.serviceAccountUser): inclui permissões para listar contas de serviço, acessar detalhes sobre uma conta de serviço e representar uma conta de serviço.
• Administrador da conta de serviço (roles/iam.serviceAccountAdmin): inclui permissões para listar contas de serviço e acessar detalhes sobre uma conta de serviço. Também inclui permissões para criar, atualizar e excluir contas de serviço.

No momento, só é possível usar os comandos da Google Cloud CLI para criar o tipo de conta de serviço necessário para as chaves de criptografia gerenciadas pelo cliente. Se você estiver usando o console do Google Cloud, o Looker (Google Cloud Core) vai criar essa conta de serviço automaticamente.

gcloud beta services identity create \
--service=looker.googleapis.com \
--project=PROJECT_ID

Esse comando cria a conta de serviço e retorna o nome dela. Use esse nome de conta de serviço durante o procedimento em Como conceder à conta de serviço acesso à chave.

Depois de criar a conta de serviço, aguarde alguns minutos para que ela seja propagada.

Crie um keyring e uma chave.

É possível criar a chave no mesmo projeto do Google Cloud que a instância do Looker (Google Cloud Core) ou em um projeto de usuário separado. O local do keyring do Cloud KMS precisa corresponder à região em que você quer criar a instância do Looker (Google Cloud Core). Uma chave de região global ou multirregional não funcionará. A solicitação de criação da instância do Looker (Google Cloud Core) falhará se as regiões não corresponderem.

Siga as instruções nas páginas de documentação Criar um keyring e Criar uma chave para criar um keyring e uma chave que atendam aos dois critérios a seguir:

• O campo Local do keyring precisa corresponder à região que você vai definir para a instância do Looker (Google Cloud Core).
• O campo Finalidade da chave precisa ser Criptografia/descriptografia simétrica.

Consulte a seção Girar a chave para saber como fazer isso e criar novas versões.

Copie ou anote a KMS_KEY_ID e a KMS_KEYRING_ID

Se você estiver usando a Google Cloud CLI, o Terraform ou a API para configurar sua instância do Looker (Google Cloud Core), siga as instruções na página de documentação Como conseguir um ID de recurso do Cloud KMS para localizar os IDs de recurso do keyring e da chave que você acabou de criar. Copie ou anote o ID da chave (KMS_KEY_ID) e o local da chave, junto com o ID (KMS_KEYRING_ID) do keyring. Você precisa dessas informações para conceder à conta de serviço o acesso à chave.

Conceda à conta de serviço acesso a chave

Você só vai precisar executar esse procedimento se as duas condições a seguir forem verdadeiras:

• Você está usando a Google Cloud CLI, o Terraform ou a API.
• A conta de serviço ainda não recebeu acesso à chave. Por exemplo, se já houver uma instância do Looker (Google Cloud Core) no mesmo projeto que use a mesma chave, não será necessário conceder acesso. Se o acesso à chave já tiver sido concedido por outra pessoa, não será necessário conceder acesso.

Você precisa ter a função do IAM Administrador do Cloud KMS na chave que está sendo usada para conceder acesso à conta de serviço.

Para conceder acesso à conta de serviço:

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--location=REGION \
--keyring=KMS_KEYRING_ID \
--member=serviceAccount:SERVICE_ACCOUNT_NAME \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Depois de conceder o papel do IAM à conta de serviço, aguarde alguns minutos até que a permissão seja propagada.

Criar uma instância do Looker (Google Cloud Core) com a CMEK

Para criar uma instância com chaves de criptografia gerenciadas pelo cliente no console do Google Cloud, primeiro siga as etapas na seção Criar um keyring e uma chave, mostrada anteriormente, para criar um keyring e uma chave na mesma região que será usada para a instância do Looker (Google Cloud Core). Depois, usando as configurações abaixo, siga as instruções para criar uma instância do Looker (Google Cloud Core).

Para criar uma instância do Looker (Google Cloud Core) com configurações de CMEK, selecione uma das seguintes opções:

gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID\
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--kms-key=KMS_KEY_ID
--region=REGION \
--edition=EDITION
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

Sua instância do Looker (Google Cloud Core) agora está ativada com CMEK.

Visualizar informações da chave em uma instância ativada para CMEK

Depois de criar uma instância do Looker (Google Cloud Core), verifique se a CMEK está ativada.

Para ver se a CMEK está ativada, selecione uma das seguintes opções:

gcloud looker instances describe INSTANCE_NAME --region=REGION --format config

Usar o Cloud External Key Manager (Cloud EKM)

Para proteger dados em instâncias do Looker (núcleo do Google Cloud), use chaves gerenciadas em um parceiro externo de gerenciamento de chaves com suporte. Para mais informações, consulte a página de documentação do Gerenciador de chaves externas do Cloud, incluindo a seção Considerações.

Quando estiver tudo pronto para criar uma chave do Cloud EKM, consulte a seção Como funciona da página de documentação do Gerenciador de chaves externas do Cloud. Após a criação da chave, informe o nome dela ao criar uma instância do Looker (Google Cloud Core).

O Google não controla a disponibilidade de chaves em um sistema de parceiro de gerenciamento de chaves externo.

Gire a chave

Alterne sua chave para ajudar a promover a segurança. Cada vez que a chave é girada, uma nova versão é criada. Para saber mais sobre a rotação de chaves, consulte a página de documentação Rotação de chaves.

Se você alternar a chave usada para proteger sua instância do Looker (Google Cloud Core), ainda vai ser necessária a versão anterior para acessar os backups ou as exportações feitas quando a versão da chave estava em uso. Por esse motivo, o Google recomenda manter a versão anterior da chave ativada por pelo menos 45 dias após a rotação para garantir que esses itens permaneçam acessíveis. As versões de chave são mantidas por padrão até serem desativadas ou destruídas.

Desativar e reativar versões de chave

Consulte as seguintes páginas de documentação:

• Desativar uma versão de chave ativada
• Ativar uma versão de chave desativada

Se uma versão de chave usada para ajudar a proteger uma instância do Looker (Google Cloud Core) for desativada, a instância do Looker (Google Cloud Core) será obrigada a parar de operar, limpar todos os dados sensíveis não criptografados que ela possa ter na memória e esperar até que a chave fique disponível novamente. O processo é o seguinte:

1. A versão da chave usada para proteger uma instância do Looker (Google Cloud Core) está desativada.
2. Em aproximadamente 15 minutos, a instância do Looker (Google Cloud Core) detecta que a versão da chave foi revogada, para de operar e limpa todos os dados criptografados na memória.
3. Quando a instância para de funcionar, as chamadas às APIs do Looker retornam uma mensagem de erro.
4. Depois que a instância para de funcionar, a interface do Looker (Google Cloud Core) retorna uma mensagem de erro.
5. Se você reativar a versão da chave, precisará acionar manualmente uma reinicialização da instância.

Se você desativar uma versão de chave e não quiser esperar que a instância do Looker (Google Cloud Core) pare sozinha, acione uma reinicialização de instância manualmente para que ela detecte a versão da chave revogada imediatamente.

Destruição de versões de chave

Consulte a seguinte página de documentação:

• Como destruir e restaurar versões de chave

Se uma versão de chave usada para proteger uma instância do Looker (Google Cloud Core) for destruída, essa instância ficará inacessível. A instância precisa ser excluída e você não poderá acessar os dados dela.

Resolver problemas

Esta seção descreve o que deve ser feito quando você receber uma mensagem de erro ao configurar ou usar instâncias ativadas para CMEK.

As operações de administrador do Looker (Google Cloud Core), como criar ou atualizar, podem falhar devido a erros do Cloud KMS e papéis ou permissões ausentes. Os motivos comuns de falha incluem uma versão da chave do Cloud KMS ausente, uma versão da chave do Cloud KMS desativada ou destruída, permissões de IAM insuficientes para acessar a versão da chave do Cloud KMS ou a versão da chave do Cloud KMS está em uma região diferente da instância do Looker (Google Cloud Core). Use a tabela de solução de problemas a seguir para diagnosticar e resolver problemas comuns.

Tabela de solução de problemas de chaves de criptografia gerenciadas pelo cliente

A seguir

• Administrar uma instância do Looker (Google Cloud Core) no console do Google Cloud
• Configurações de administrador do Looker (Google Cloud Core)