Ative a CMEK para Looker (Google Cloud Core)

Por padrão, o Google Cloud automaticamente criptografa os dados quando em repouso usando chaves de criptografia gerenciadas pelo Google. Se você tiver requisitos regulatórios ou de compliance específicos relacionados às chaves que protegem seus dados, use as chaves de criptografia gerenciadas pelo cliente (CMEKs) para a criptografia no nível do aplicativo do Looker (núcleo do Google Cloud).

Para mais informações sobre CMEK em geral, incluindo quando e por que ativar, consulte a documentação do Cloud Key Management Service.

Esta página explica como configurar uma instância do Looker (núcleo do Google Cloud) para usar a CMEK.

Como o Looker (Google Cloud Core) interage com a CMEK?

O Looker (Google Cloud Core) usa uma única chave CMEK (com uma hierarquia de chaves secundárias) para proteger os dados sensíveis gerenciados pela instância do Looker (Google Cloud Core). Durante a inicialização, cada processo na instância do Looker faz uma chamada inicial para o Cloud Key Management Service (KMS) para descriptografar a chave. Durante a operação normal (após a inicialização), toda a instância do Looker faz uma chamada para o KMS a cada cinco minutos, aproximadamente, para verificar se a chave ainda é válida.

Quais tipos de instâncias do Looker (Google Cloud Core) oferecem suporte à CMEK?

As instâncias do Looker (Google Cloud Core) são compatíveis com a CMEK quando dois critérios são atendidos:

• As etapas de configuração de CMEK descritas nesta página são concluídas antes da criação da instância do Looker (Google Cloud Core). Não é possível ativar chaves de criptografia gerenciadas pelo cliente em instâncias atuais.
• As edições de instância precisam ser Enterprise ou Incorporar.

Fluxo de trabalho para criar uma instância do Looker (Google Cloud Core) com CMEK

Nesta página, você vai encontrar as etapas a seguir para configurar a CMEK em uma instância do Looker (Google Cloud Core).

1. Configure seu ambiente.
2. Somente usuários da Google Cloud CLI, do Terraform e da API:crie uma conta de serviço para cada projeto que exige chaves de criptografia gerenciadas pelo cliente, se uma conta de serviço do Looker ainda não tiver sido configurada para o projeto.
3. Crie um keyring e uma chave e defina o local para a chave. O local é a região do Google Cloud em que você quer criar a instância do Looker (Google Cloud Core).
4. Somente usuários da CLI, do Terraform e da API do Google Cloud: copie ou anote o ID da chave (KMS_KEY_ID) e o local da chave, além do ID (KMS_KEYRING_ID) do keyring. Você precisa dessas informações para conceder à conta de serviço o acesso à chave.
5. Somente usuários da CLI, do Terraform e da API do Google Cloud: conceda à conta de serviço o acesso à chave.
6. Acesse seu projeto e crie uma instância do Looker (núcleo do Google Cloud) com as seguintes opções:
   1. Selecione o mesmo local usado pela chave de criptografia gerenciada pelo cliente.
   2. Defina a edição como Enterprise ou Incorporar.
   3. Ative a configuração de chave gerenciada pelo cliente.
   4. Adicione a chave de criptografia gerenciada pelo cliente por nome ou ID.

Quando todas essas etapas forem concluídas, sua instância do Looker (Google Cloud Core) será ativada com a CMEK.

Antes de começar

Caso ainda não tenha feito isso, verifique se seu ambiente está configurado para permitir que você siga as instruções nesta página. Siga as etapas desta seção para garantir que a configuração esteja correta.

1. No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud. Observação: se você não quiser manter os recursos criados usando este procedimento, crie um projeto em vez de selecionar um atual. Depois de concluir essas etapas, é possível excluir o projeto, o que remove os recursos associados a ele.

   Acessar o seletor de projetos

2. Verifique se a cobrança está ativada para o seu projeto do Google Cloud. Saiba como verificar se o faturamento está ativado em um projeto.
3. Instale a CLI do Google Cloud.

4. Para inicializar a CLI gcloud, execute o seguinte comando:

   gcloud init
   

5. Ative a API Cloud Key Management Service.

   Ativar a API

6. Ative a API Looker (Google Cloud Core).

   Ativar a API

Funções exigidas

Para entender os papéis necessários para configurar a CMEK, acesse a página Controle de acesso com o IAM da documentação do Cloud Key Management Service.

Para criar uma instância do Looker (Google Cloud Core), é preciso ter o papel do IAM de Administrador do Looker no projeto em que a instância do Looker (Google Cloud Core) foi criada. Para ativar a CMEK para a instância no console do Google Cloud, verifique se você tem o papel do IAM Criptografador/Descriptografador de CryptoKey do Cloud KMS na chave que está sendo usada para a CMEK.

Se você precisar conceder à conta de serviço do Looker acesso a uma chave do Cloud KMS, será necessário ter o papel de IAM Administrador do Cloud KMS na chave que está sendo usada.

Crie uma conta de serviço

Se você estiver usando a Google Cloud CLI, o Terraform ou a API para criar sua instância do Looker (Google Cloud Core) e uma conta de serviço do Looker ainda não tiver sido criada para o projeto do Google Cloud em que ela vai residir, crie uma conta de serviço para esse projeto. Para criar mais de uma instância do Looker (Google Cloud Core) no projeto, a mesma conta de serviço se aplica a todas as instâncias do Looker (Google Cloud Core) no projeto. A criação da conta de serviço precisa ser feita apenas uma vez. Se você usar o console para criar uma instância, o Looker (Google Cloud Core) vai criar automaticamente a conta de serviço e conceder acesso à chave CMEK conforme você configura a opção Usar uma chave de criptografia gerenciada pelo cliente.

Para permitir que um usuário gerencie contas de serviço, conceda um dos seguintes papéis:

• Usuário da conta de serviço (roles/iam.serviceAccountUser): inclui permissões para listar contas de serviço, acessar detalhes sobre uma conta de serviço e representar uma conta de serviço.
• Administrador da conta de serviço (roles/iam.serviceAccountAdmin): inclui permissões para listar contas de serviço e acessar detalhes sobre uma conta de serviço. Também inclui permissões para criar, atualizar e excluir contas de serviço.

No momento, só é possível usar os comandos da Google Cloud CLI para criar o tipo de conta de serviço necessário para as chaves de criptografia gerenciadas pelo cliente. Se você estiver usando o console do Google Cloud, o Looker (núcleo do Google Cloud) vai criar essa conta de serviço automaticamente.

gcloud beta services identity create \
--service=looker.googleapis.com \
--project=PROJECT_ID

Esse comando cria a conta de serviço e retorna o nome dela. Use esse nome de conta de serviço durante o procedimento em Como conceder à conta de serviço acesso à chave.

Após criar a conta de serviço, aguarde alguns minutos para que ela seja propagada.

Crie um keyring e uma chave.

É possível criar a chave no mesmo projeto do Google Cloud que a instância do Looker (núcleo do Google Cloud) ou em um projeto de usuário separado. O local do keyring do Cloud KMS precisa corresponder à região em que você quer criar a instância do Looker (Google Cloud Core). Uma chave de região global ou multirregional não funcionará. A solicitação de criação da instância do Looker (Google Cloud Core) falhará se as regiões não corresponderem.

Siga as instruções nas páginas de documentação Criar um keyring e Criar uma chave para criar um keyring e uma chave que atendam aos dois critérios a seguir:

• O campo Local do keyring precisa corresponder à região que você vai definir para a instância do Looker (Google Cloud Core).
• O campo Finalidade da chave precisa ser Criptografia/descriptografia simétrica.

Consulte a seção Alternar sua chave para saber como fazer a rotação da chave e criar novas versões dela.

Copie ou anote o KMS_KEY_ID e o KMS_KEYRING_ID

Se você estiver usando a Google Cloud CLI, o Terraform ou a API para configurar sua instância do Looker (Google Cloud Core), siga as instruções na página de documentação Como conseguir um ID de recurso do Cloud KMS para localizar os IDs de recurso do keyring e da chave que você acabou de criar. Copie ou anote o ID da chave (KMS_KEY_ID) e o local da chave, junto com o ID (KMS_KEYRING_ID) do keyring. Você precisa dessas informações para conceder à conta de serviço acesso à chave.

Conceda à conta de serviço acesso a chave

Você só vai precisar executar esse procedimento se as duas condições a seguir forem verdadeiras:

• Você está usando a CLI do Google Cloud, o Terraform ou a API.
• A conta de serviço ainda não tem acesso à chave. Por exemplo, se já houver uma instância do Looker (Google Cloud Core) no mesmo projeto que use a mesma chave, não será necessário conceder acesso. Se outra pessoa já tiver concedido acesso à chave, você não vai precisar fazer isso.

É preciso ter o papel do IAM Administrador do Cloud KMS na chave usada para conceder acesso à conta de serviço.

Para conceder acesso à conta de serviço:

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--location=REGION \
--keyring=KMS_KEYRING_ID \
--member=serviceAccount:SERVICE_ACCOUNT_NAME \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Depois de conceder o papel do IAM à conta de serviço, aguarde alguns minutos até que a permissão seja propagada.

Criar uma instância do Looker (Google Cloud Core) com a CMEK

Para criar uma instância com chaves de criptografia gerenciadas pelo cliente no console do Google Cloud, siga as etapas na seção Criar um chaveiro e uma chave, mostrada anteriormente, para criar um chaveiro e uma chave na mesma região que você vai usar para a instância do Looker (núcleo do Google Cloud). Depois, usando as configurações abaixo, siga as instruções para criar uma instância do Looker (Google Cloud Core).

Para criar uma instância do Looker (Google Cloud Core) com configurações de CMEK, selecione uma das seguintes opções:

gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID\
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--kms-key=KMS_KEY_ID
--region=REGION \
--edition=EDITION
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

Sua instância do Looker (Google Cloud Core) agora está ativada com CMEK.

Visualizar informações da chave em uma instância ativada para CMEK

Depois de criar uma instância do Looker (Google Cloud Core), verifique se a CMEK está ativada.

Para saber se o CMEK está ativado, selecione uma das seguintes opções:

gcloud looker instances describe INSTANCE_NAME --region=REGION --format config

Usar o Cloud External Key Manager (Cloud EKM)

Para proteger dados em instâncias do Looker (núcleo do Google Cloud), use chaves gerenciadas em um parceiro externo de gerenciamento de chaves com suporte. Para mais informações, consulte a página de documentação do Gerenciador de chaves externo do Cloud, incluindo a seção Considerações.

Quando estiver tudo pronto para criar uma chave do Cloud EKM, consulte a seção Como funciona da página de documentação do Gerenciador de chaves externas do Cloud. Depois que a chave for criada, informe o nome da chave ao criar uma instância do Looker (núcleo do Google Cloud).

O Google não controla a disponibilidade de chaves em um sistema parceiro de gerenciamento de chaves externo.

Gire a chave

Você pode fazer a rotação da chave para ajudar a promover a segurança. Cada vez que a chave é girada, uma nova versão é criada. Para saber mais sobre a rotação de chaves, consulte a página de documentação Rotação de chaves.

Se você alternar a chave usada para proteger sua instância do Looker (Google Cloud Core), ainda vai ser necessária a versão anterior para acessar os backups ou as exportações feitas quando a versão da chave estava em uso. Por esse motivo, o Google recomenda manter a versão anterior da chave ativada por pelo menos 45 dias após a rotação para garantir que esses itens permaneçam acessíveis. As versões de chave são mantidas por padrão até serem desativadas ou destruídas.

Desativar e reativar versões de chave

Consulte as seguintes páginas de documentação:

• Desativar uma versão de chave ativada
• Ativar uma versão de chave desativada

Se uma versão da chave usada para ajudar a proteger uma instância do Looker (Google Cloud Core) for desativada, a instância do Looker (Google Cloud Core) será obrigada a parar de operar, limpar todos os dados sensíveis não criptografados que ela possa ter na memória e esperar até que a chave fique disponível novamente. O processo é o seguinte:

1. A versão da chave usada para ajudar a proteger uma instância do Looker (núcleo do Google Cloud) está desativada.
2. Em aproximadamente 15 minutos, a instância do Looker (núcleo do Google Cloud) detecta que a versão da chave foi revogada, para de operar e limpa todos os dados criptografados na memória.
3. Depois que a instância para de operar, as chamadas para as APIs do Looker retornam uma mensagem de erro.
4. Depois que a instância para de funcionar, a interface do Looker (Google Cloud Core) retorna uma mensagem de erro.
5. Se você reativar a versão da chave, será necessário acionar manualmente uma reinicialização da instância.

Se você desativar uma versão de chave e não quiser esperar que a instância do Looker (Google Cloud Core) pare sozinha, acione uma reinicialização de instância manualmente para que ela detecte a versão da chave revogada imediatamente.

Destruição de versões de chave

Consulte a seguinte página de documentação:

• Como destruir e restaurar versões de chave

Se uma versão de chave usada para proteger uma instância do Looker (núcleo do Google Cloud) for destruída, a instância do Looker ficará inacessível. A instância precisa ser excluída e você não poderá acessar os dados dela.

Resolver problemas

Esta seção descreve o que deve ser feito quando você receber uma mensagem de erro ao configurar ou usar instâncias ativadas para CMEK.

As operações de administrador do Looker (Google Cloud Core), como criar ou atualizar, podem falhar devido a erros do Cloud KMS e papéis ou permissões ausentes. Motivos comuns de falha incluem uma versão ausente da chave do Cloud KMS, uma versão da chave do Cloud KMS desativada ou destruída, permissões de IAM insuficientes para acessar a versão da chave do Cloud KMS ou a versão da chave do Cloud KMS está em uma região diferente da instância do Looker (núcleo do Google Cloud). Use a tabela de solução de problemas a seguir para diagnosticar e resolver problemas comuns.

Tabela de solução de problemas de chaves de criptografia gerenciadas pelo cliente

A seguir

• Administrar uma instância do Looker (Google Cloud Core) no console do Google Cloud
• Configurações de administrador do Looker (Google Cloud Core)