Per impostazione predefinita, Secure Source Manager cripta i contenuti inattivi dei clienti. Secure Source Manager gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google.
Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con servizi integrati con CMEK, tra cui Secure Source Manager. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la località, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. Con Cloud KMS puoi inoltre monitorare l'utilizzo delle chiavi, visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece di Google, sei tu ad avere la proprietà e la gestione delle chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.
Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse di Secure Source Manager è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).
Cloud KMS può essere eseguito in un progetto separato in cui gestisci centralmente le chiavi per più progetti o nello stesso progetto di Secure Source Manager.Google Cloud Per supportare la separazione dei compiti e un maggiore controllo sull'accesso alle chiavi, ti consigliamo di creare e gestire le chiavi in un progetto separato che non includa altre risorse Google Cloud.
Assegni una chiave Cloud KMS quando crei un'istanza. Non puoi modificare il meccanismo di crittografia di un'istanza esistente. Se hai un'istanza criptata con CMEK, non puoi modificare il meccanismo di crittografia impostandolo sulla crittografia predefinita di Google o assegnare una chiave Cloud Key Management Service diversa per la crittografia.
L'istanza deve essere creata nella stessa posizione della chiave Cloud KMS.
Quando utilizzi CMEK in Secure Source Manager, i tuoi progetti possono consumare le quote di richieste crittografiche di Cloud KMS. Le istanze criptate con CMEK utilizzano queste quote al momento della creazione. Le operazioni di crittografia e decrittografia che utilizzano chiavi CMEK influiscono sulle quote di Cloud KMS solo se utilizzi chiavi hardware (Cloud HSM) o esterne (Cloud EKM). Per ulteriori informazioni, consulta Quote di Cloud KMS.
Crea una chiave CMEK e concedi le autorizzazioni
Le istruzioni riportate di seguito spiegano come creare una chiave e concedere le autorizzazioni del account di servizio Secure Source Manager per la chiave.
Nel progetto Google Cloud in cui vuoi gestire le chiavi:
Crea chiavi automatizzate e una chiave utilizzando una delle seguenti opzioni:
- Crea il keyring e la chiave direttamente in Cloud KMS.
- Utilizza una chiave gestita esternamente. Crea la chiave esterna e poi crea una chiave Cloud EKM per rendere la chiave disponibile tramite Cloud KMS.
La posizione della chiave Cloud KMS deve corrispondere alla posizione del progetto in cui vuoi creare l'istanza Secure Source Manager.
Se stai creando la tua prima istanza Secure Source Manager nel tuo progetto, devi creare manualmente l'agente di servizio Secure Source Manager eseguendo il seguente comando:
gcloud beta services identity create \ --service=securesourcemanager.googleapis.com \ --project=PROJECTDove
PROJECTè l'ID progetto del progetto in cui creerai l'istanza Secure Source Manager.Dopo aver creato il account di servizio per prodotto e per progetto (P4SA), devi concedere il ruolo Agente di servizio Secure Source Manager (
roles/securesourcemanager.serviceAgent) al service account principale service-PROJECT-NUMBER@gcp-sa-sourcemanager.iam.gserviceaccount.como la creazione dell'istanza non andrà a buon fine.Concedi il ruolo IAM Autore crittografia/decrittografia CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) al account di servizio Secure Source Manager. Concedi questa autorizzazione per la chiave che hai creato.Console
Vai alla pagina Gestione chiavi.
Seleziona il keyring che vuoi utilizzare, apri la pagina Dettagli del keyring e seleziona la chiave che hai creato.
Concedi l'accesso al account di servizio Secure Source Manager:
- Fai clic su AGGIUNGI PRINCIPIO.
- Aggiungi il account di servizio Secure Source Manager. Il account di servizio è service-PROJECT-NUMBER@gcp-sa-sourcemanager.iam.gserviceaccount.com, dove PROJECT-NUMBER è il numero di progetto del progetto Google Cloud in cui è abilitato Secure Source Manager.
- In Seleziona un ruolo, seleziona Cloud KMS > Autore crittografia/decrittografia CryptoKey Cloud KMS.
- Fai clic su SALVA.
Ripeti il passaggio precedente per concedere l'accesso all'account che creerà l'istanza Secure Source Manager.
Torna alla pagina Gestione chiavi, seleziona il portachiavi e apri la pagina Dettagli portachiavi. Quindi seleziona di nuovo la chiave.
Seleziona MOSTRA RIQUADRO INFORMAZIONI. Dovresti visualizzare i ruoli nella colonna Ruolo/Membro.
gcloud
Esegui questo comando per concedere l'accesso al account di servizio Secure Source Manager:
gcloud kms keys add-iam-policy-binding [--project=PROJECT] \ KEY_NAME --location LOCATION --keyring=KEY_RING \ --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-sourcemanager.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypterSostituisci quanto segue:
- PROJECT: l'ID del progetto che contiene la chiave
- KEY_NAME: il nome della chiave
- LOCATION: la posizione della chiave. La posizione della chiave deve corrispondere alla posizione del progetto in cui vuoi eseguire il deployment di un'istanza di Secure Source Manager
- KEY_RING: il nome della chiave automatizzata
- PROJECT_NUMBER: il numero di progetto del progettoGoogle Cloud con Secure Source Manager abilitato
Ripeti il passaggio precedente per concedere l'accesso all'account che creerà l'istanza Secure Source Manager.
Per ulteriori informazioni su questo comando, consulta la documentazione di gcloud kms keys add-iam-policy-binding.
Rimuovi accesso
Esistono diversi modi per rimuovere l'accesso a un repository criptato con CMEK:
- Revoca il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS dall'account di servizio Secure Source Manager utilizzando la consoleGoogle Cloud o gcloud CLI.
- Disattiva temporaneamente la chiave CMEK.
- Elimina definitivamente la chiave CMEK.
Ti consigliamo di revocare le autorizzazioni dal account di servizio Secure Source Manager prima di disattivare o eliminare una chiave. Le modifiche alle autorizzazioni sono coerenti in pochi secondi, quindi puoi osservare gli effetti della disattivazione o dell'eliminazione di una chiave.
Quando disattivi o distruggi la chiave di crittografia per un'istanza, perdi la possibilità di visualizzare o recuperare i dati dall'istanza. Tutti i dati archiviati nell'istanza diventano inaccessibili, inclusi la cronologia del codice, le richieste pull e i problemi.
Gli utenti con il ruolo di gestore istanza Secure Source Manager o di proprietario istanza possono eliminare l'istanza.
Policy dell'organizzazione CMEK
Secure Source Manager supporta i vincoli delle policy dell'organizzazione che possono richiedere la protezione CMEK.
I criteri possono limitare le CryptoKey Cloud KMS che possono essere utilizzate per la protezione CMEK.
Quando l'API Secure Source Manager si trova nell'elenco dei servizi del vincolo
constraints/gcp.restrictNonCmekServices, Secure Source Manager rifiuta di creare nuove istanze non protette da CMEK.DenyQuando
constraints/gcp.restrictCmekCryptoKeyProjectsè configurato, Secure Source Manager crea istanze protette da CMEK protette da una CryptoKey di un progetto, una cartella o un'organizzazione consentiti.
Per saperne di più sulla configurazione delle policy dell'organizzazione, consulta la sezione Policy dell'organizzazione CMEK.
Passaggi successivi
- Esegui il deployment di un'istanza criptata con CMEK
- Scopri di più su CMEK
- Scopri di più sulla crittografia predefinita di Google