Abilita CMEK per Looker (Google Cloud core)

Per impostazione predefinita, Google Cloud cripta automaticamente i dati quando sono inattivi utilizzando chiavi di crittografia gestite da Google. Se hai requisiti di conformità o normativi specifici relativi alle chiavi che proteggono i tuoi dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per la crittografia a livello di applicazione di Looker (Google Cloud core).

Per ulteriori informazioni su CMEK in generale, incluso quando e perché abilitarla, vedi Cloud Key Management Service documentazione.

Questa pagina illustra come configurare un'istanza di Looker (Google Cloud core) per utilizzare CMEK.

In che modo Looker (Google Cloud core) interagisce con CMEK?

Looker (Google Cloud core) utilizza una singola chiave CMEK (tramite una gerarchia di chiavi secondarie) per proteggere i dati sensibili gestiti dall'istanza di Looker (Google Cloud core). Durante l'avvio, ciascun processo all'interno dell'istanza di Looker effettua una chiamata iniziale a Cloud Key Management Service (KMS) per decriptare la chiave. Durante il normale funzionamento (dopo l'avvio), l'intera istanza di Looker effettua una singola chiamata al KMS circa ogni cinque minuti per verificare che la chiave sia ancora valida.

Quali tipi di istanze Looker (Google Cloud core) supportano CMEK?

Le istanze Looker (Google Cloud core) supportano CMEK quando vengono soddisfatti due criteri:

• I passaggi di configurazione CMEK descritti in questa pagina vengono completati prima della creazione dell'istanza di Looker (Google Cloud core). Non puoi attivare le chiavi di crittografia gestite dal cliente nelle istanze esistenti.
• Le versioni dell'istanza devono essere Enterprise o Embed.

Flusso di lavoro per la creazione di un'istanza di Looker (Google Cloud core) con CMEK

Questa pagina ti guiderà attraverso i seguenti passaggi per configurare CMEK per un'istanza di Looker (Google Cloud core).

1. Configura il tuo ambiente.
2. Solo per gli utenti di Google Cloud CLI, Terraform e API: crea un account di servizio per ogni progetto che richiede chiavi di crittografia gestite dal cliente, se non è già stato configurato un account di servizio Looker per il progetto.
3. Crea un keyring e una chiave e imposta la posizione della chiave. La località è la regione Google Cloud in cui vuoi creare l'istanza di Looker (Google Cloud core).
4. Solo per gli utenti di Google Cloud CLI, Terraform e API: copia o annota l'ID chiave (KMS_KEY_ID) e la posizione della chiave, insieme all'ID (KMS_KEYRING_ID) per il mazzo di chiavi. Queste informazioni sono necessarie quando concedi all'account di servizio l'accesso alla chiave.
5. Solo utenti di Google Cloud CLI, Terraform e API: concedi l'accesso alla chiave all'account di servizio.
6. Vai al tuo progetto e crea un'istanza di Looker (Google Cloud core) con le seguenti opzioni:
   1. Seleziona la stessa posizione utilizzata dalla chiave di crittografia gestita dal cliente.
   2. Imposta la versione su Enterprise o Incorpora.
   3. Attiva la configurazione della chiave gestita dal cliente.
   4. Aggiungi la chiave di crittografia gestita dal cliente per nome o per ID.

Una volta completati tutti questi passaggi, l'istanza di Looker (Google Cloud core) verrà abilitata con CMEK.

Prima di iniziare

Se non l'hai ancora fatto, assicurati che il tuo ambiente sia configurato per consentirti di seguire le istruzioni riportate in questa pagina. Segui i passaggi di questa sezione per assicurarti che la configurazione sia corretta.

1. Nella pagina del selettore dei progetti della console Google Cloud, seleziona o crea un progetto Google Cloud. Nota: se non prevedi di conservare le risorse che crei in questa procedura, crea un progetto invece di selezionarne uno esistente. Una volta completata questa procedura, puoi eliminare il progetto e tutte le relative risorse.

   Vai al selettore dei progetti

2. Verifica che la fatturazione sia attivata per il tuo progetto Google Cloud. Scopri come controllare se la fatturazione è abilitata per un progetto.
3. Installa Google Cloud CLI.

4. Per inizializzare gcloud CLI, esegui il seguente comando:

   gcloud init
   

5. Abilita l'API Cloud Key Management Service.

   Abilitare l'API

6. Abilita l'API Looker (Google Cloud core).

   Attiva l'API

Ruoli obbligatori

Per informazioni sui ruoli richiesti per la configurazione di CMEK, consulta la pagina Controllo dell'accesso con IAM della documentazione di Cloud Key Management Service.

Per creare un'istanza di Looker (Google Cloud core), assicurati di disporre del ruolo IAM Amministratore di Looker per il progetto in cui è stata creata l'istanza di Looker (Google Cloud core). Per attivare CMEK per l'istanza nella console Google Cloud, assicurati di disporre del ruolo IAM Autore crittografia/decrittografia CryptoKey Cloud KMS sulla chiave in uso per CMEK.

Se devi concedere all'account di servizio Looker l'accesso a una chiave Cloud KMS, devi disporre del ruolo IAM Amministratore Cloud KMS per la chiave in uso.

Crea un account di servizio

Se utilizzi Google Cloud CLI, Terraform o l'API per creare la tua istanza di Looker (Google Cloud core) e non è già stato creato un account di servizio Looker per il progetto Google Cloud in cui risiederà, dovrai creare un account di servizio per quel progetto. Se creerai più di un'istanza di Looker (Google Cloud core) nel progetto, lo stesso account di servizio verrà applicato a tutte le istanze di Looker (Google Cloud core) nel progetto e la creazione dell'account di servizio deve essere eseguita una sola volta. Se usi la console per creare un'istanza, Looker (Google Cloud core) crea automaticamente l'account di servizio e gli concede l'accesso alla chiave CMEK durante la configurazione dell'opzione Utilizza una chiave di crittografia gestita dal cliente.

Per consentire a un utente di gestire gli account di servizio, concedi uno dei seguenti ruoli:

• Utente account di servizio (roles/iam.serviceAccountUser): include le autorizzazioni per elencare gli account di servizio, ottenere i dettagli di un account di servizio e rubare l'identità di un account di servizio.
• Amministratore account di servizio (roles/iam.serviceAccountAdmin): include le autorizzazioni per elencare gli account di servizio e recuperare i dettagli relativi a un account di servizio. Include anche le autorizzazioni per creare, aggiornare ed eliminare gli account di servizio.

Al momento, puoi utilizzare solo i comandi Google Cloud CLI per creare il tipo di account di servizio necessario per le chiavi di crittografia gestite dal cliente. Se utilizzi la console Google Cloud, Looker (Google Cloud core) crea automaticamente questo account di servizio per te.

gcloud beta services identity create \
--service=looker.googleapis.com \
--project=PROJECT_ID

Questo comando crea l'account di servizio e restituisce il nome dell'account di servizio. Utilizzerai questo nome durante la procedura descritta in Concedere all'account di servizio l'accesso alla chiave.

Dopo aver creato l'account di servizio, attendi qualche minuto per la propagazione dell'account di servizio.

Crea un keyring e una chiave

Puoi creare la chiave nello stesso progetto Google Cloud dell'istanza di Looker (Google Cloud core) o in un progetto utente separato. La posizione del keyring Cloud KMS deve corrispondere alla regione in cui vuoi creare l'istanza di Looker (Google Cloud core). Una chiave per più regioni o per una regione globale non funzionerà. La richiesta di creazione dell'istanza di Looker (Google Cloud core) ha esito negativo se le regioni non corrispondono.

Per creare un keyring e una chiave che soddisfino i due criteri seguenti, segui le istruzioni riportate nelle pagine della documentazione Creare un keyring e Creare una chiave:

• Il campo Posizione keyring deve corrispondere all'regione che imposterai per l'istanza di Looker (Google Cloud core).
• Il campo della chiave Finalità deve essere Crittografia/decrittografia simmetrica.

Per scoprire di più su come ruotare la chiave e creare nuove versioni della chiave, consulta la sezione Ruotare la chiave.

Copia o annota KMS_KEY_ID e KMS_KEYRING_ID

Se utilizzi Google Cloud CLI, Terraform o l'API per configurare l'istanza di Looker (Google Cloud core), segui le istruzioni riportate nella pagina della documentazione Ottenere un ID risorsa Cloud KMS per individuare gli ID risorsa per il portachiavi e la chiave che hai appena creato. Copia o prendi nota dell'ID (KMS_KEY_ID) e della posizione della chiave, oltre all'ID (KMS_KEYRING_ID) del keyring. Queste informazioni sono necessarie quando concedi all'account di servizio l'accesso alla chiave.

Concedi all'account di servizio l'accesso alla chiave

Devi eseguire questa procedura solo se entrambe le seguenti condizioni sono vere:

• Utilizzi Google Cloud CLI, Terraform o l'API.
• All'account di servizio non è già stato concesso l'accesso alla chiave. Ad esempio, se nello stesso progetto esiste già un'istanza di Looker (Google Cloud core) che utilizza la stessa chiave, non è necessario concedere l'accesso. In alternativa, se l'accesso alla chiave è già stato concesso da qualcun altro, non devi concedere l'accesso.

Per concedere l'accesso all'account di servizio, devi disporre del ruolo IAM Amministratore Cloud KMS per la chiave in uso.

Per concedere l'accesso all'account di servizio:

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--location=REGION \
--keyring=KMS_KEYRING_ID \
--member=serviceAccount:SERVICE_ACCOUNT_NAME \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Dopo aver concesso il ruolo IAM all'account di servizio, attendi qualche minuto per la propagazione dell'autorizzazione.

Crea un'istanza di Looker (Google Cloud core) con CMEK

Per creare un'istanza con chiavi di crittografia gestite dal cliente nella console Google Cloud, segui prima i passaggi descritti nella sezione Creare un keyring e una chiave, mostrati in precedenza, per creare un keyring e una chiave nella stessa regione che utilizzerai per l'istanza di Looker (Google Cloud core). A questo punto, utilizzando le seguenti impostazioni, segui le istruzioni per creare un'istanza di Looker (Google Cloud core).

Per creare un'istanza di Looker (Google Cloud core) con impostazioni CMEK, seleziona una delle seguenti opzioni:

gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID\
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--kms-key=KMS_KEY_ID
--region=REGION \
--edition=EDITION
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

L'istanza di Looker (Google Cloud core) è ora abilitata con CMEK.

Visualizzare le informazioni chiave per un'istanza con CMEK abilitato

Dopo aver creato correttamente un'istanza di Looker (Google Cloud core), puoi verificare se la CMEK è abilitata.

Per verificare se CMEK è attivato, seleziona una delle seguenti opzioni:

gcloud looker instances describe INSTANCE_NAME --region=REGION --format config

Utilizzare Cloud External Key Manager (Cloud EKM)

Per proteggere i dati nelle istanze di Looker (Google Cloud core), puoi utilizzare le chiavi che gestisci all'interno di un partner esterno per la gestione delle chiavi supportato. Per saperne di più, consulta la pagina della documentazione relativa a Cloud External Key Manager, che include la sezione Considerazioni.

Quando è tutto pronto per creare una chiave Cloud EKM, consulta la sezione Come funziona della pagina della documentazione di Cloud External Key Manager. Dopo aver creato una chiave, fornisci il nome della chiave quando crei un'istanza di Looker (Google Cloud core).

Google non controlla la disponibilità delle chiavi in un sistema esterno di gestione delle chiavi partner.

Ruota la chiave

Ti consigliamo di ruotare la chiave per promuovere la sicurezza. Ogni volta che la chiave viene ruotata, viene creata una nuova versione. Per scoprire di più sulla rotazione della chiave, consulta la pagina della documentazione Rotazione delle chiavi.

Se ruoti la chiave utilizzata per proteggere l'istanza di Looker (Google Cloud core), la versione della chiave precedente è comunque necessaria per accedere ai backup o alle esportazioni effettuati quando era in uso la versione della chiave. Per questo motivo, Google consiglia di mantenere attiva la versione della chiave precedente per almeno 45 giorni dopo la rotazione per garantire che questi elementi rimangano accessibili. Le versioni della chiave vengono conservate per impostazione predefinita fino a quando non vengono disabilitate o eliminate.

Disattivare e riattivare le versioni delle chiavi

Consulta le seguenti pagine della documentazione:

• Disabilitare una versione della chiave abilitata
• Abilitare una versione della chiave disattivata

Se una versione della chiave utilizzata per proteggere un'istanza di Looker (Google Cloud core) viene disattivata, l'istanza di Looker (Google Cloud core) deve interrompere il funzionamento, cancellare tutti i dati sensibili non criptati che potrebbero essere presenti in memoria e attendere che la chiave diventi di nuovo disponibile. La procedura è la seguente:

1. La versione della chiave utilizzata per proteggere un'istanza di Looker (Google Cloud core) è disabilitata.
2. Entro circa 15 minuti, l'istanza di Looker (Google Cloud core) rileva che la versione della chiave è stata revocata, smette di funzionare e cancella tutti i dati criptati in memoria.
3. Quando l'istanza smette di funzionare, le chiamate alle API Looker restituiscono un messaggio di errore.
4. Quando l'istanza smette di funzionare, l'interfaccia utente di Looker (Google Cloud core) restituisce un messaggio di errore.
5. Se riattivi la versione della chiave, devi attivare manualmente un riavvio dell'istanza.

Se disattivi una versione della chiave e non vuoi attendere che l'istanza di Looker (Google Cloud core) si arresti autonomamente, puoi attivare manualmente un riavvio dell'istanza in modo che l'istanza di Looker (Google Cloud core) rilevi immediatamente la versione della chiave revocata.

Distruzione delle versioni della chiave

Consulta la seguente pagina della documentazione:

• Eliminazione e ripristino delle versioni delle chiavi

Se una versione della chiave utilizzata per contribuire a proteggere un'istanza di Looker (Google Cloud core) viene eliminata, l'istanza di Looker diventa inaccessibile. L'istanza deve essere eliminata e non potrai accedere ai suoi dati.

Risoluzione dei problemi

Questa sezione descrive le operazioni da provare quando ricevi un messaggio di errore durante la configurazione o l'utilizzo di istanze con CMEK abilitato.

Le operazioni di amministrazione di Looker (componente principale di Google Cloud), come la creazione o l'aggiornamento, potrebbero non riuscire a causa di errori di Cloud KMS e di ruoli o autorizzazioni mancanti. I motivi comuni di errore includono una versione della chiave Cloud KMS mancante, una versione della chiave Cloud KMS disabilitata o eliminata, autorizzazioni IAM insufficienti per accedere alla versione della chiave Cloud KMS o che la versione della chiave Cloud KMS si trova in una regione diversa rispetto all'istanza di Looker (Google Cloud core). Utilizza la seguente tabella per la risoluzione dei problemi per diagnosticare e risolvere i problemi più comuni.

Tabella per la risoluzione dei problemi relativi alle chiavi di crittografia gestite dal cliente

Passaggi successivi

• Gestire un'istanza di Looker (Google Cloud core) dalla console Google Cloud
• Impostazioni amministratore di Looker (Google Cloud core)