Ativar CMEK para o Looker (Google Cloud Core)

Por padrão, o Google Cloud criptografa automaticamente os dados quando estão em repouso usando chaves de criptografia gerenciadas pelo Google. Se você tiver requisitos regulamentares ou de compliance específicos relacionados às chaves que protegem seus dados, use as chaves de criptografia gerenciadas pelo cliente (CMEK) para a criptografia no nível do aplicativo do Looker (Google Cloud Core).

Para mais informações sobre CMEK em geral, incluindo quando e por que ativá-la, consulte a documentação do Cloud Key Management Service.

Nesta página, mostramos como configurar uma instância do Looker (Google Cloud Core) para usar CMEK.

Como o Looker (Google Cloud Core) interage com as CMEK?

O Looker (Google Cloud Core) usa uma única chave CMEK (por uma hierarquia de chaves secundárias) para ajudar a proteger os dados sensíveis gerenciados pela instância do Looker (Google Cloud Core). Durante a inicialização, cada processo na instância do Looker faz uma chamada inicial para o Cloud Key Management Service (KMS) para descriptografar a chave. Durante a operação normal (após a inicialização), toda a instância do Looker faz uma única chamada para o KMS aproximadamente a cada cinco minutos para verificar se a chave ainda é válida.

Quais tipos de instâncias do Looker (Google Cloud Core) oferecem suporte à CMEK?

As instâncias do Looker (Google Cloud Core) oferecem suporte à CMEK quando dois critérios são atendidos:

• As etapas de configuração da CMEK descritas nesta página são concluídas antes da criação da instância do Looker (Google Cloud Core). Não é possível ativar chaves de criptografia gerenciadas pelo cliente em instâncias atuais.
• As edições de instâncias precisam ser Enterprise ou Embed.

Fluxo de trabalho para criar uma instância do Looker (Google Cloud Core) com CMEK

Nesta página, vamos mostrar as etapas a seguir para configurar a CMEK em uma instância do Looker (Google Cloud Core).

1. Configure seu ambiente.
2. Somente para usuários da Google Cloud CLI, Terraform e API: crie uma conta de serviço para cada projeto que exige chaves de criptografia gerenciadas pelo cliente, caso uma conta de serviço do Looker ainda não tenha sido configurada para o projeto.
3. Crie um keyring e uma chave e defina o local da chave. O local é a região do Google Cloud onde você quer criar a instância do Looker (Google Cloud Core).
4. Somente para usuários da CLI, do Terraform e da API do Google Cloud:copie ou anote o ID da chave (KMS_KEY_ID) e o local da chave com o ID (KMS_KEYRING_ID) do keyring. Você precisa dessas informações ao conceder à conta de serviço acesso à chave.
5. Somente usuários da CLI, do Terraform e da API do Google Cloud:conceda acesso à chave à conta de serviço.
6. Acesse seu projeto e crie uma instância do Looker (Google Cloud Core) com as seguintes opções:
   1. Selecione o mesmo local usado pela chave de criptografia gerenciada pelo cliente.
   2. Defina a edição como Enterprise ou Embed.
   3. Ative a configuração chave gerenciada pelo cliente.
   4. Adicione a chave de criptografia gerenciada pelo cliente por nome ou ID.

Quando todas essas etapas forem concluídas, sua instância do Looker (Google Cloud Core) será ativada com a CMEK.

Antes de começar

Se você ainda não fez isso, verifique se seu ambiente está configurado para permitir que você siga as instruções nesta página. Siga as etapas nesta seção para garantir que sua configuração esteja correta.

1. No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud. Observação:se você não pretende manter os recursos criados neste procedimento, crie um projeto em vez de selecionar um atual. Depois de concluir essas etapas, você pode excluir o projeto. Isso vai remover os recursos associados a ele.

   Acessar o seletor de projetos

2. Verifique se a cobrança está ativada para o projeto do Google Cloud. Saiba como verificar se o faturamento está ativado em um projeto.
3. Instale a CLI do Google Cloud.

4. Para initialize a CLI gcloud, execute o seguinte comando:

   gcloud init
   

5. Ative a API Cloud Key Management Service.

   Ativar a API

6. Ative a API Looker (Google Cloud Core).

   Ativar a API

Funções exigidas

Para entender os papéis necessários para configurar a CMEK, acesse a página Controle de acesso com o IAM na documentação do Cloud Key Management Service.

Para criar uma instância do Looker (Google Cloud Core), verifique se você tem o papel do IAM de Administrador do Looker no projeto em que a instância do Looker (Google Cloud Core) foi criada. Para ativar a CMEK para a instância no console do Google Cloud, verifique se você tem o papel do IAM Criptografador/Descriptografador do Cloud KMS CryptoKey na chave que está sendo usada para CMEK.

Se você precisar conceder à conta de serviço do Looker acesso a uma chave do Cloud KMS, será necessário ter o papel do IAM de Administrador do Cloud KMS na chave que estiver sendo usada.

Crie uma conta de serviço

Se você estiver usando a Google Cloud CLI, o Terraform ou a API para criar sua instância do Looker (Google Cloud Core) e uma conta de serviço do Looker ainda não tiver sido criada para o projeto do Google Cloud em que ela vai residir, será necessário criar uma conta de serviço para esse projeto. Se você quiser criar mais de uma instância do Looker (Google Cloud Core) no projeto, a mesma conta de serviço será aplicada a todas as instâncias do Looker (Google Cloud Core) nesse projeto, e a conta de serviço precisará ser feita apenas uma vez. Se você usar o console para criar uma instância, o Looker (Google Cloud Core) vai criar automaticamente a conta de serviço e conceder a ela acesso à chave CMEK enquanto você configura a opção Usar uma chave de criptografia gerenciada pelo cliente.

Para permitir que um usuário gerencie contas de serviço, conceda um dos seguintes papéis:

• Usuário da conta de serviço (roles/iam.serviceAccountUser): inclui permissões para listar contas de serviço, receber detalhes sobre uma conta de serviço e representar uma conta de serviço.
• Administrador da conta de serviço (roles/iam.serviceAccountAdmin): inclui permissões para listar contas de serviço e acessar detalhes sobre uma conta de serviço. Também inclui permissões para criar, atualizar e excluir contas de serviço.

No momento, só é possível usar os comandos da Google Cloud CLI para criar o tipo de conta de serviço necessário para chaves de criptografia gerenciadas pelo cliente. Se você estiver usando o console do Google Cloud, o Looker (Google Cloud Core) vai criar automaticamente essa conta de serviço.

gcloud beta services identity create \
--service=looker.googleapis.com \
--project=PROJECT_ID

Esse comando cria a conta de serviço e retorna o nome dela. Use esse nome de conta de serviço durante o procedimento em Como conceder acesso à conta de serviço à chave.

Depois de criar a conta de serviço, aguarde alguns minutos até que ela seja propagada.

Crie um keyring e uma chave.

É possível criar a chave no mesmo projeto do Google Cloud que a instância do Looker (Google Cloud Core) ou em um projeto de usuário separado. O local do keyring do Cloud KMS precisa corresponder à região em que você quer criar a instância do Looker (Google Cloud Core). Uma chave de região global ou de várias regiões não funcionará. A solicitação de criação de instância do Looker (Google Cloud Core) falhará se as regiões não forem correspondentes.

Siga as instruções nas páginas de documentação Criar um keyring e Criar uma chave para criar um keyring e uma chave que atendam aos dois critérios a seguir:

• O campo Local do keyring precisa corresponder à região que você vai definir para a instância do Looker (Google Cloud Core).
• O campo Finalidade da chave precisa ser Criptografar/descriptografar simétrico.

Consulte a seção Alternar a chave para saber mais sobre a rotação da chave e a criação de novas versões.

Copie ou anote o KMS_KEY_ID e o KMS_KEYRING_ID.

Se você estiver usando a Google Cloud CLI, o Terraform ou a API para configurar a instância do Looker (Google Cloud Core), siga as instruções na página de documentação Como conseguir um ID de recurso do Cloud KMS para localizar os IDs de recurso do keyring e da chave que você acabou de criar. Copie ou anote o ID da chave (KMS_KEY_ID) e o local da chave com o ID (KMS_KEYRING_ID) do keyring. Você precisa dessas informações ao conceder à conta de serviço acesso à chave.

Conceda à conta de serviço acesso a chave

Você só precisará executar este procedimento se estas duas condições forem verdadeiras:

• Você está usando a Google Cloud CLI, o Terraform ou a API.
• A conta de serviço ainda não recebeu acesso à chave. Por exemplo, se já houver uma instância do Looker (Google Cloud Core) no mesmo projeto que usa a mesma chave, você não precisará conceder acesso. Como alternativa, se o acesso à chave já foi concedido por outra pessoa, não é necessário conceder acesso.

É preciso ter o papel do IAM Administrador do Cloud KMS na chave que está sendo usada para conceder acesso à conta de serviço.

Para conceder acesso à conta de serviço:

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--location=REGION \
--keyring=KMS_KEYRING_ID \
--member=serviceAccount:SERVICE_ACCOUNT_NAME \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Depois de conceder o papel do IAM à conta de serviço, aguarde alguns minutos para que a permissão seja propagada.

Criar uma instância do Looker (Google Cloud Core) com CMEK

Para criar uma instância com chaves de criptografia gerenciadas pelo cliente no console do Google Cloud, primeiro siga as etapas da seção Criar um keyring e uma chave, mostrada anteriormente, para criar um keyring e uma chave na mesma região que você vai usar para sua instância do Looker (Google Cloud Core). Depois use as configurações a seguir para criar uma instância do Looker (Google Cloud Core).

Para criar uma instância de IP particular com configurações de CMEK, selecione uma das seguintes opções:

gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID\
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--kms-key=KMS_KEY_ID
--region=REGION \
--edition=EDITION
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

Sua instância do Looker (Google Cloud Core) agora está ativada com a CMEK.

Visualizar informações da chave em uma instância ativada para CMEK

Depois de criar uma instância do Looker (Google Cloud Core), verifique se a CMEK está ativada.

Para ver se a CMEK está ativada, selecione uma das seguintes opções:

gcloud looker instances describe INSTANCE_NAME --region=REGION --format config

Usar o Cloud External Key Manager (Cloud EKM)

Para proteger os dados nas instâncias do Looker (Google Cloud Core), é possível usar chaves gerenciadas em um parceiro externo de gerenciamento de chaves com suporte. Para mais informações, consulte a página de documentação do Cloud External Key Manager, incluindo a seção Considerações.

Quando estiver tudo pronto para criar uma chave do Cloud EKM, consulte a seção Como funciona da página de documentação do Gerenciador de chaves externas do Cloud. Após a criação de uma chave, forneça o nome dela ao criar uma instância do Looker (Google Cloud Core).

O Google não controla a disponibilidade de chaves em um sistema externo de gerenciamento de chaves de parceiro.

Alternar a chave

É recomendável alternar a chave para ajudar a promover a segurança. Cada vez que sua chave é girada, uma nova versão é criada. Para saber mais sobre a rotação de chaves, consulte a página de documentação Rotação de chaves.

Se você alternar a chave usada para proteger sua instância do Looker (Google Cloud Core), a versão anterior da chave ainda será necessária para acessar os backups ou as exportações feitas quando essa versão da chave estava em uso. Por isso, o Google recomenda manter a versão anterior da chave ativada por pelo menos 45 dias após a rotação para ajudar a garantir que esses itens permaneçam acessíveis. As versões de chave são mantidas por padrão até serem desativadas ou destruídas.

Desativar e reativar versões de chave

Consulte as seguintes páginas de documentação:

• Desativar uma versão de chave ativada
• Ativar uma versão de chave desativada

Se uma versão de chave usada para proteger uma instância do Looker (Google Cloud Core) for desativada, a instância do Looker (Google Cloud Core) precisará parar de operar, limpar todos os dados sensíveis não criptografados que ela possa ter na memória e aguardar até que a chave fique disponível novamente. O processo é o seguinte:

1. A versão da chave usada para proteger uma instância do Looker (Google Cloud Core) está desativada.
2. Em aproximadamente 15 minutos, a instância do Looker (Google Cloud Core) detecta que a versão da chave foi revogada, para de operar e limpa todos os dados criptografados na memória.
3. Depois que a instância para de operar, as chamadas para as APIs do Looker retornam uma mensagem de erro.
4. Depois que a instância para de operar, a UI do Looker (Google Cloud Core) retorna uma mensagem de erro.
5. Se você reativar a versão da chave, acione manualmente uma reinicialização da instância.

Se você desativar uma versão de chave e não quiser esperar a instância do Looker (Google Cloud Core) parar por conta própria, será possível acionar manualmente uma reinicialização da instância para que a instância do Looker (Google Cloud Core) detecte imediatamente a versão da chave revogada.

Destruição de versões de chave

Consulte a seguinte página da documentação:

• Como destruir e restaurar versões de chave

Se uma versão de chave usada para proteger uma instância do Looker (Google Cloud Core) for destruída, a instância do Looker ficará inacessível. É necessário excluir a instância, e os dados dela não poderão ser acessados.

Resolver problemas

Esta seção descreve o que você precisa testar quando receber uma mensagem de erro ao configurar ou usar instâncias ativadas para CMEK.

As operações de administrador do Looker (Google Cloud Core), como criação ou atualização, podem falhar devido a erros do Cloud KMS e papéis ou permissões ausentes. Os motivos comuns de falha incluem uma versão ausente da chave do Cloud KMS, uma versão da chave do Cloud KMS desativada ou destruída, permissões do IAM insuficientes para acessar a versão da chave do Cloud KMS ou a versão da chave do Cloud KMS estar em uma região diferente da instância do Looker (Google Cloud Core). Use a tabela de solução de problemas a seguir para diagnosticar e resolver problemas comuns.

Tabela de solução de problemas de chaves de criptografia gerenciadas pelo cliente

A seguir

• Administrar uma instância do Looker (Google Cloud Core) pelo console do Google Cloud
• Configurações de administrador do Looker (Google Cloud Core)