Questo documento illustra come configurare la crittografia gestita dal cliente (CMEK) per Pub/Sub.
Pub/Sub cripta i messaggi con Chiavi di proprietà di Google e gestite da Google per impostazione predefinita. Nessuna configurazione aggiuntiva necessarie per utilizzare le chiavi di crittografia gestite da Google.
Informazioni su CMEK
Le CMEK sono chiavi di crittografia di tua proprietà gestite e archiviate in Cloud Key Management Service (Cloud KMS). Se hai bisogno di un maggiore controllo chiavi di crittografia utilizzate per proteggere Pub/Sub dati, puoi usare le CMEK. Alcune organizzazioni impongono inoltre l'uso di CMEK.
Le CMEK ti offrono il controllo completo sulle tue chiavi di crittografia, consentendoti di gestirne ciclo di vita, rotazione e accesso. Quando configuri Pub/Sub con una CMEK, il servizio cripta automaticamente tutti i dati utilizzando la chiave specificata. Utilizzo di Cloud KMS per CMEK potrebbe comportare costi aggiuntivi a seconda dei pattern di utilizzo.
Ogni messaggio viene criptato nei seguenti stati e livelli:
-
- Livello hardware
- Livello infrastruttura
- Livello di applicazione
A livello di applicazione, Pub/Sub cripta individualmente i messaggi in entrata i messaggi non appena vengono ricevuti. Questa implementazione aggiunge le seguenti funzionalità:
- Mantiene i messaggi criptati sui link interni dei data center
- Abilita le chiavi di crittografia gestite dal cliente (CMEK)
CMEK per Pub/Sub
Pub/Sub utilizza pattern di crittografia della busta con CMEK. In questo approccio, i messaggi non sono criptati da Cloud KMS. Invece Cloud KMS viene utilizzato per criptare le chiavi di crittografia dei dati (DEK, Data Encryption Key) create Pub/Sub per ogni argomento. Queste DEK vengono archiviate solo in o con wrapping, nel modulo da Pub/Sub. Prima di archiviare una DEK, il servizio invia la DEK a Cloud KMS per essere criptata con la crittografia della chiave (KEK) specificata nell'argomento. Viene generata una nuova DEK per ogni argomento ogni sei ore circa.
Prima di pubblicare i messaggi in una sottoscrizione, Pub/Sub li cripta utilizzando la DEK più recente generata per l'argomento. Pub/Sub decripta i messaggi poco prima che vengano consegnati agli abbonati.
Prima di iniziare
Puoi configurare CMEK per Pub/Sub utilizzando il console Google Cloud o Google Cloud CLI.
Completa le seguenti attività:
Abilita l'API Cloud KMS.
Creare un keyring e una chiave in Cloud KMS. Tasti e chiave gli anelli non possono essere eliminati.
Per istruzioni su come eseguire queste attività, consulta le Guida rapida di Cloud KMS.
Poiché le risorse Pub/Sub sono globali, consigliamo vivamente di utilizzare chiavi Cloud KMS globali per configurare le chiavi abilitate per CMEK argomenti. A seconda delle posizioni degli editori e dei sottoscrittori di un argomento, l'utilizzo di una chiave Cloud KMS a livello di regione potrebbe introdurre di dipendenze sui link di rete tra regioni.
Ruoli e autorizzazioni richiesti per configurare CMEK
Pub/Sub utilizza un account Google Cloud agente di servizio per per accedere a Cloud KMS. L'agente di servizio è gestito internamente Pub/Sub per ogni progetto e non è visibile la pagina Account di servizio della console Google Cloud per impostazione predefinita.
L'agente di servizio Pub/Sub ha il formato
service-${PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com
.
Pub/Sub richiede autorizzazioni specifiche per criptare e decriptare i dati con CMEK.
Completa i seguenti passaggi per configurare l'accesso richiesto:
Concedi all'agente di servizio Pub/Sub la Strumento di crittografia/decrittografia di chiavi di crittografia Cloud KMS (
roles/cloudkms.cryptoKeyEncrypterDecrypter
).gcloud kms keys add-iam-policy-binding CLOUD_KMS_KEY_NAME \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Sostituisci quanto segue:
CLOUD_KMS_KEY_NAME: il nome della chiave Cloud KMS.
Il formato della chiave è
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/CRYPTO_KEY
.Un esempio è
projects/test-project/locations/us-central1/keyRings/test-keyring/cryptoKeys/test-key
.PROJECT_NUMBER: il numero del progetto progetto Pub/Sub.
Per saperne di più sulla concessione dei ruoli IAM, consulta Concessione di ruoli su una risorsa.
Configura un argomento con CMEK
Puoi configurare CMEK per un argomento utilizzando la console Google Cloud oppure con gcloud CLI.
Console
Per creare un argomento con CMEK, segui questi passaggi:
Nella console Google Cloud, vai alla pagina Argomenti di Pub/Sub.
Fai clic su Crea argomento.
Inserisci un ID per l'argomento nel campo ID argomento.
Per ulteriori informazioni sull'assegnazione dei nomi agli argomenti, consulta le linee guida per l'assegnazione dei nomi.
In Crittografia, fai clic su Chiave Cloud KMS.
Seleziona il tipo di chiave. Se non vedi il pulsante Seleziona un account gestito dal cliente chiave, assicurati di aver abilitato l'API Cloud KMS per del progetto.
Fai clic su Crea argomento.
gcloud
-
Nella console Google Cloud, attiva Cloud Shell.
Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
-
Per creare un argomento con CMEK, esegui il Comando
gcloud pubsub topics create
:gcloud pubsub topics create TOPIC_ID --topic-encryption-key=ENCRYPTION_KEY
Sostituisci quanto segue:
-
TOPIC_ID: l'ID o il nome dell'argomento.
Per ulteriori informazioni su come assegnare un nome a un argomento, vedi Linee guida per assegnare un nome a un argomento, una sottoscrizione, uno schema o uno snapshot.
-
ENCRYPTION_KEY: ID della CMEK da utilizzare per l'argomento.
Il formato è
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/CRYPTO_KEY
.
-
Aggiorna CMEK per un argomento
Hai la flessibilità di modificare la CMEK collegata a un Pub/Sub. Puoi utilizzare gcloud CLI per aggiornare CMEK. Tuttavia, questa modifica non è retroattiva.
I messaggi pubblicati nell'argomento prima delle modifiche alla chiave rimangono criptati con la chiave originale. Se un argomento è stato creato senza una CMEK, puoi aggiungerne uno in un secondo momento. I messaggi esistenti continuano a essere protetti con la soluzione predefinita gestita da Google la crittografia. La modifica della CMEK di un argomento non esegue nuovamente la crittografia delle pubblicazioni in precedenza messaggi. Questi messaggi continuano a essere protetti con la chiave che erano con cui è stata eseguita la crittografia originale.
Pub/Sub dispone di un meccanismo di memorizzazione nella cache per le chiavi che dura circa 5 minuti. L'operazione potrebbe richiedere fino a Pub/Sub per riconoscere e iniziare a utilizzare la nuova versione della chiave.
Audit log
Cloud KMS produce audit log quando le chiavi siano abilitati, disabilitati o utilizzati da Pub/Sub per criptare e decriptare messaggi. È utile per eseguire il debug dei problemi di pubblicazione o pubblicazione. la disponibilità del servizio.
Le chiavi Cloud KMS vengono collegate agli audit log per e l'argomento Pub/Sub. Pub/Sub non includere qualsiasi altra informazione relativa a Cloud KMS.
Prezzi e costi
Per le seguenti richieste Pub/Sub, l'uso di CMEK comporta addebita l'accesso al servizio Cloud KMS in base al Prezzi di Pub/Sub:
Per ogni argomento che utilizza CMEK, viene criptata e archiviata una nuova DEK ogni sei ore.
La chiave viene utilizzata per decriptare le DEK ogni sei minuti. La decrittografia avviene tre volte, una per ogni zona della regione in cui viene eseguito il servizio Pub/Sub.
Ad esempio, considera un argomento con:
Almeno un abbonamento
Client publisher e sottoscrittori nella stessa regione
Il numero di operazioni crittografiche di Cloud KMS può essere stimato come segue:
1 key access for ENCRYPT * (30 days / month * 24 hours / day) / 6 hours + 3 key accesses for DECRYPT * (30 days / month * 24 hours / day * 60 minutes / hour ) / 6 minutes = 21,720 Cloud KMS key access eventsData una struttura dei prezzi in cui le operazioni crittografiche è costato 0,03 $ogni 10.000 operazioni, l'utilizzo sopra riportato costerebbe circa 0,07 $. Consulta i prezzi di Cloud KMS per le informazioni sui prezzi.
In pratica, le chiavi potrebbero essere recuperate più o meno spesso a seconda dell'accesso pattern. Utilizza questi numeri solo come stime.
Monitoraggio e risoluzione dei problemi
I problemi con l'accesso alla chiave possono avere i seguenti effetti:
Ritardi nella consegna dei messaggi
Errori di pubblicazione
Monitora gli errori di pubblicazione e di richiesta di pull utilizzando quanto segue
metriche, raggruppate per response_class
e response_code
:
topic/send_request_count
subscription/pull_request_count
subscription/streaming_pull_response_count
La risposta StreamingPull ha un valore 100%
il tasso di errori. Questo indica che lo stream è terminato, non che le richieste
falliscono. Per monitorare StreamingPull, cerca l'elemento FAILED_PRECONDITION
codice di risposta.
La pubblicazione e la consegna dei messaggi possono non riuscire e vengono generati FAILED_PRECONDITION
errori per
per diversi motivi.
La chiave Cloud KMS potrebbe essere disabilitata. Per maggiori dettagli, vedi Disattivare e riattivare i tasti su questo .
Se utilizzi chiavi gestite esternamente tramite Cloud EKM, consulta consulta il riferimento errore Cloud EKM.
Per gli abbonamenti push, non è possibile rilevare direttamente le chiavi CMEK problemi di recapito. Invece:
Monitora dimensioni ed età del backlog di una sottoscrizione push utilizzando
subscription/num_unacked_messages
.Monitora
subscription/oldest_unacked_message_age
per rilevare picchi insoliti.Utilizza gli errori di pubblicazione e gli audit log CMEK per individuare i problemi.
Disattivazione e riattivazione dei tasti
Esistono due modi per impedire a Pub/Sub di decriptare dati dei messaggi:
Opzione consigliata: disattiva la chiave Cloud KMS che hai associato all'argomento utilizzando Pub/Sub. Questo approccio interessa solo gli argomenti e le sottoscrizioni Pub/Sub che sono associati a quella chiave specifica.
Revoca il ruolo Autore crittografia/decriptazione CryptoKey Pub/Sub dall'account di servizio Pub/Sub (
service-$PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com
) con o IAM. Questo approccio influisce su tutte le risorse Argomenti Pub/Sub e sottoscrizioni che contengono messaggi criptato con CMEK.
Sebbene nessuna delle due operazioni confermi la revoca istantanea dell'accesso, In genere le modifiche IAM si propagano più velocemente. Per apprendere vedi Coerenza delle risorse di Cloud KMS e Propagazione delle modifiche dell'accesso.
Quando Pub/Sub non può accedere a una chiave Cloud KMS, invia un messaggio
la pubblicazione e la distribuzione con StreamingPull o il pull hanno esito negativo con
FAILED_PRECONDITION
errore. La consegna dei messaggi agli endpoint push verrà interrotta. A
riprendere l'invio e la pubblicazione,
ripristinare l'accesso
Chiave Cloud KMS.
Quando la chiave Cloud KMS è accessibile a Pub/Sub, la pubblicazione è disponibile entro 12 ore e la consegna dei messaggi riprende entro 2 nell'orario lavorativo locale del TAM.
Sebbene interruzioni intermittenti inferiori a un minuto per Cloud KMS è improbabile che interrompere in modo significativo la pubblicazione e la distribuzione, l'estensione di Cloud KMS l'indisponibilità ha lo stesso effetto della revoca della chiave.