Questa pagina è stata tradotta dall'API Cloud Translation.

Configura la crittografia dei messaggi

Questo documento illustra come configurare la crittografia gestita dal cliente (CMEK) per Pub/Sub.

Pub/Sub cripta i messaggi con Chiavi di proprietà di Google e gestite da Google per impostazione predefinita. Nessuna configurazione aggiuntiva necessarie per utilizzare le chiavi di crittografia gestite da Google.

Informazioni su CMEK

Le CMEK sono chiavi di crittografia di tua proprietà gestite e archiviate in Cloud Key Management Service (Cloud KMS). Se hai bisogno di un maggiore controllo chiavi di crittografia utilizzate per proteggere Pub/Sub dati, puoi usare le CMEK. Alcune organizzazioni impongono inoltre l'uso di CMEK.

Le CMEK ti offrono il controllo completo sulle tue chiavi di crittografia, consentendoti di gestirne ciclo di vita, rotazione e accesso. Quando configuri Pub/Sub con una CMEK, il servizio cripta automaticamente tutti i dati utilizzando la chiave specificata. Utilizzo di Cloud KMS per CMEK potrebbe comportare costi aggiuntivi a seconda dei pattern di utilizzo.

Ogni messaggio viene criptato nei seguenti stati e livelli:

A riposo
- Livello hardware
- Livello infrastruttura
- Livello di applicazione
In transito

A livello di applicazione, Pub/Sub cripta individualmente i messaggi in entrata i messaggi non appena vengono ricevuti. Questa implementazione aggiunge le seguenti funzionalità:

Mantiene i messaggi criptati sui link interni dei data center
Abilita le chiavi di crittografia gestite dal cliente (CMEK)

CMEK per Pub/Sub

Pub/Sub utilizza pattern di crittografia della busta con CMEK. In questo approccio, i messaggi non sono criptati da Cloud KMS. Invece Cloud KMS viene utilizzato per criptare le chiavi di crittografia dei dati (DEK, Data Encryption Key) create Pub/Sub per ogni argomento. Queste DEK vengono archiviate solo in o con wrapping, nel modulo da Pub/Sub. Prima di archiviare una DEK, il servizio invia la DEK a Cloud KMS per essere criptata con la crittografia della chiave (KEK) specificata nell'argomento. Viene generata una nuova DEK per ogni argomento ogni sei ore circa.

Prima di pubblicare i messaggi in una sottoscrizione, Pub/Sub li cripta utilizzando la DEK più recente generata per l'argomento. Pub/Sub decripta i messaggi poco prima che vengano consegnati agli abbonati.

Prima di iniziare

Puoi configurare CMEK per Pub/Sub utilizzando il console Google Cloud o Google Cloud CLI.

Completa le seguenti attività:

Abilita l'API Cloud KMS.
Creare un keyring e una chiave in Cloud KMS. Tasti e chiave gli anelli non possono essere eliminati.

Per istruzioni su come eseguire queste attività, consulta le Guida rapida di Cloud KMS.

Poiché le risorse Pub/Sub sono globali, consigliamo vivamente di utilizzare chiavi Cloud KMS globali per configurare le chiavi abilitate per CMEK argomenti. A seconda delle posizioni degli editori e dei sottoscrittori di un argomento, l'utilizzo di una chiave Cloud KMS a livello di regione potrebbe introdurre di dipendenze sui link di rete tra regioni.

Ruoli e autorizzazioni richiesti per configurare CMEK

Pub/Sub utilizza un account Google Cloud agente di servizio per per accedere a Cloud KMS. L'agente di servizio è gestito internamente Pub/Sub per ogni progetto e non è visibile la pagina Account di servizio della console Google Cloud per impostazione predefinita.

L'agente di servizio Pub/Sub ha il formato service-${PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com.

Pub/Sub richiede autorizzazioni specifiche per criptare e decriptare i dati con CMEK.

Completa i seguenti passaggi per configurare l'accesso richiesto:

Concedi all'agente di servizio Pub/Sub la Strumento di crittografia/decrittografia di chiavi di crittografia Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter).
```
gcloud kms keys add-iam-policy-binding CLOUD_KMS_KEY_NAME \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
```
Sostituisci quanto segue:
- CLOUD_KMS_KEY_NAME: il nome della chiave Cloud KMS.
  
  Il formato della chiave è projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/CRYPTO_KEY.
  
  Un esempio è projects/test-project/locations/us-central1/keyRings/test-keyring/cryptoKeys/test-key.
- PROJECT_NUMBER: il numero del progetto progetto Pub/Sub.

Per saperne di più sulla concessione dei ruoli IAM, consulta Concessione di ruoli su una risorsa.

Configura un argomento con CMEK

Puoi configurare CMEK per un argomento utilizzando la console Google Cloud oppure con gcloud CLI.

Console

Per creare un argomento con CMEK, segui questi passaggi:

Nella console Google Cloud, vai alla pagina Argomenti di Pub/Sub.

Vai ad Argomenti
Fai clic su Crea argomento.
Inserisci un ID per l'argomento nel campo ID argomento.
Per ulteriori informazioni sull'assegnazione dei nomi agli argomenti, consulta le linee guida per l'assegnazione dei nomi.
In Crittografia, fai clic su Chiave Cloud KMS.
Seleziona il tipo di chiave. Se non vedi il pulsante Seleziona un account gestito dal cliente chiave, assicurati di aver abilitato l'API Cloud KMS per del progetto.
Fai clic su Crea argomento.

gcloud

Nella console Google Cloud, attiva Cloud Shell.

Attiva Cloud Shell

Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Per creare un argomento con CMEK, esegui il Comando gcloud pubsub topics create:
```
    gcloud pubsub topics create TOPIC_ID --topic-encryption-key=ENCRYPTION_KEY
    
```
Sostituisci quanto segue:
- TOPIC_ID: l'ID o il nome dell'argomento.
  Per ulteriori informazioni su come assegnare un nome a un argomento, vedi Linee guida per assegnare un nome a un argomento, una sottoscrizione, uno schema o uno snapshot.
- ENCRYPTION_KEY: ID della CMEK da utilizzare per l'argomento.
  
  Il formato è projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/CRYPTO_KEY.

Aggiorna CMEK per un argomento

Hai la flessibilità di modificare la CMEK collegata a un Pub/Sub. Puoi utilizzare gcloud CLI per aggiornare CMEK. Tuttavia, questa modifica non è retroattiva.

I messaggi pubblicati nell'argomento prima delle modifiche alla chiave rimangono criptati con la chiave originale. Se un argomento è stato creato senza una CMEK, puoi aggiungerne uno in un secondo momento. I messaggi esistenti continuano a essere protetti con la soluzione predefinita gestita da Google la crittografia. La modifica della CMEK di un argomento non esegue nuovamente la crittografia delle pubblicazioni in precedenza messaggi. Questi messaggi continuano a essere protetti con la chiave che erano con cui è stata eseguita la crittografia originale.

Pub/Sub dispone di un meccanismo di memorizzazione nella cache per le chiavi che dura circa 5 minuti. L'operazione potrebbe richiedere fino a Pub/Sub per riconoscere e iniziare a utilizzare la nuova versione della chiave.

Audit log

Cloud KMS produce audit log quando le chiavi siano abilitati, disabilitati o utilizzati da Pub/Sub per criptare e decriptare messaggi. È utile per eseguire il debug dei problemi di pubblicazione o pubblicazione. la disponibilità del servizio.

Le chiavi Cloud KMS vengono collegate agli audit log per e l'argomento Pub/Sub. Pub/Sub non includere qualsiasi altra informazione relativa a Cloud KMS.

Prezzi e costi

Per le seguenti richieste Pub/Sub, l'uso di CMEK comporta addebita l'accesso al servizio Cloud KMS in base al Prezzi di Pub/Sub:

Per ogni argomento che utilizza CMEK, viene criptata e archiviata una nuova DEK ogni sei ore.
La chiave viene utilizzata per decriptare le DEK ogni sei minuti. La decrittografia avviene tre volte, una per ogni zona della regione in cui viene eseguito il servizio Pub/Sub.

Ad esempio, considera un argomento con:

Almeno un abbonamento
Client publisher e sottoscrittori nella stessa regione

Il numero di operazioni crittografiche di Cloud KMS può essere stimato come segue:

1 key access for ENCRYPT * (30 days / month * 24 hours / day) / 6 hours
 + 3 key accesses for DECRYPT
   * (30 days / month * 24 hours / day * 60 minutes / hour ) / 6 minutes
   = 21,720 Cloud KMS key access events

Data una struttura dei prezzi in cui le operazioni crittografiche è costato 0,03 $ogni 10.000 operazioni, l'utilizzo sopra riportato costerebbe circa 0,07 $. Consulta i prezzi di Cloud KMS per le informazioni sui prezzi.

In pratica, le chiavi potrebbero essere recuperate più o meno spesso a seconda dell'accesso pattern. Utilizza questi numeri solo come stime.

Monitoraggio e risoluzione dei problemi

I problemi con l'accesso alla chiave possono avere i seguenti effetti:

Ritardi nella consegna dei messaggi
Errori di pubblicazione

Monitora gli errori di pubblicazione e di richiesta di pull utilizzando quanto segue metriche, raggruppate per response_class e response_code:

topic/send_request_count
subscription/pull_request_count
subscription/streaming_pull_response_count

La risposta StreamingPull ha un valore 100% il tasso di errori. Questo indica che lo stream è terminato, non che le richieste falliscono. Per monitorare StreamingPull, cerca l'elemento FAILED_PRECONDITION codice di risposta.

La pubblicazione e la consegna dei messaggi possono non riuscire e vengono generati FAILED_PRECONDITION errori per per diversi motivi.

La chiave Cloud KMS potrebbe essere disabilitata. Per maggiori dettagli, vedi Disattivare e riattivare i tasti su questo .
Se utilizzi chiavi gestite esternamente tramite Cloud EKM, consulta consulta il riferimento errore Cloud EKM.

Per gli abbonamenti push, non è possibile rilevare direttamente le chiavi CMEK problemi di recapito. Invece:

Monitora dimensioni ed età del backlog di una sottoscrizione push utilizzando subscription/num_unacked_messages.
Monitora subscription/oldest_unacked_message_age per rilevare picchi insoliti.
Utilizza gli errori di pubblicazione e gli audit log CMEK per individuare i problemi.

Disattivazione e riattivazione dei tasti

Esistono due modi per impedire a Pub/Sub di decriptare dati dei messaggi:

Opzione consigliata: disattiva la chiave Cloud KMS che hai associato all'argomento utilizzando Pub/Sub. Questo approccio interessa solo gli argomenti e le sottoscrizioni Pub/Sub che sono associati a quella chiave specifica.
Revoca il ruolo Autore crittografia/decriptazione CryptoKey Pub/Sub dall'account di servizio Pub/Sub (service-$PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com) con o IAM. Questo approccio influisce su tutte le risorse Argomenti Pub/Sub e sottoscrizioni che contengono messaggi criptato con CMEK.

Sebbene nessuna delle due operazioni confermi la revoca istantanea dell'accesso, In genere le modifiche IAM si propagano più velocemente. Per apprendere vedi Coerenza delle risorse di Cloud KMS e Propagazione delle modifiche dell'accesso.

Quando Pub/Sub non può accedere a una chiave Cloud KMS, invia un messaggio la pubblicazione e la distribuzione con StreamingPull o il pull hanno esito negativo con FAILED_PRECONDITION errore. La consegna dei messaggi agli endpoint push verrà interrotta. A riprendere l'invio e la pubblicazione, ripristinare l'accesso Chiave Cloud KMS.

Quando la chiave Cloud KMS è accessibile a Pub/Sub, la pubblicazione è disponibile entro 12 ore e la consegna dei messaggi riprende entro 2 nell'orario lavorativo locale del TAM.

Sebbene interruzioni intermittenti inferiori a un minuto per Cloud KMS è improbabile che interrompere in modo significativo la pubblicazione e la distribuzione, l'estensione di Cloud KMS l'indisponibilità ha lo stesso effetto della revoca della chiave.