Questa pagina è stata tradotta dall'API Cloud Translation.

Attiva CMEK per Security Command Center

Per impostazione predefinita, Security Command Center cripta i contenuti inattivi dei clienti. Security Command Center gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google.

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con servizi integrati con CMEK, tra cui Security Command Center. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la località, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. Con Cloud KMS puoi inoltre monitorare l'utilizzo delle chiavi, visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece di Google, sei tu ad avere la proprietà e la gestione delle chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.

Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse di Security Command Center è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Per supportare la separazione dei compiti e un maggiore controllo sull'accesso alle chiavi, ti consigliamo di creare e gestire le chiavi in un progetto separato che non includa altre risorse Google Cloud .

Per utilizzare CMEK con Security Command Center, devi configurare CMEK quando attivi Security Command Center per un'organizzazione. Non puoi configurare CMEK durante l'attivazione a livello di progetto. Per saperne di più, vedi Attivare Security Command Center Standard o Premium per un'organizzazione.

Quando utilizzi CMEK in Security Command Center, i tuoi progetti possono consumare le quote di richieste crittografiche di Cloud KMS. Le istanze criptate con CMEK consumano quote durante la lettura o la scrittura di dati in Security Command Center. Le operazioni di crittografia e decrittografia che utilizzano chiavi CMEK influiscono sulle quote di Cloud KMS solo se utilizzi chiavi hardware (Cloud HSM) o esterne (Cloud EKM). Per ulteriori informazioni, consulta Quote di Cloud KMS.

CMEK cripta i seguenti dati in Security Command Center e nell'API Security Command Center:

Risultati
Configurazioni delle notifiche
esportazioni BigQuery
Configurazioni di disattivazione

Prima di iniziare

Prima di configurare CMEK per Security Command Center:

Installa e inizializza Google Cloud CLI:
1. Install the Google Cloud CLI.
2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
3. To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Crea un progetto Google Cloud con Cloud KMS abilitato. Questo è il tuo progetto chiave.
Crea un keyring nella posizione corretta. La posizione del portachiavi deve corrispondere alla posizione in cui prevedi di attivare Security Command Center. Per vedere a quali posizioni del portachiavi corrispondono le posizioni di Security Command Center, consulta la tabella nella sezione Posizione della chiave di questo documento. Per saperne di più su come creare un portachiavi, vedi Creare un portachiavi.
Crea una chiave Cloud KMS sul keyring. Per saperne di più su come creare una chiave in un portachiavi, vedi Creare una chiave.
Per assicurarti che il service account Cloud Security Command Center disponga delle autorizzazioni necessarie per criptare e decriptare i dati, chiedi all'amministratore di concedere al service account Cloud Security Command Center il ruolo IAM Autore crittografia/decrittografia CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) sulla chiave Cloud KMS.
Importante: devi concedere questo ruolo al service account Cloud Security Command Center, non al tuo account utente. La mancata concessione del ruolo all'entità corretta potrebbe comportare errori di autorizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

L'amministratore potrebbe anche assegnare al service account Cloud Security Command Center le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.

Località chiave

La posizione della chiave Cloud KMS deve corrispondere alla posizione in cui hai attivato Security Command Center. Utilizza la seguente tabella per identificare la posizione della chiave Cloud KMS corrispondente alla posizione di Security Command Center.

Posizione di Security Command Center	Posizione della chiave Cloud KMS
`eu`	`europe`
`global`	`us`
`sa`	`me-central2`
`us`	`us`

Se non abiliti la residenza dei dati quando attivi Security Command Center, utilizza global per la posizione di Security Command Center e us per la posizione della chiave Cloud KMS. Per saperne di più sulla residenza dei dati, consulta Pianificare la residenza dei dati.

Limitazioni

Se l'organizzazione che stai attivando contiene uno o più progetti con Security Command Center, non puoi utilizzare CMEK per Security Command Center per quell'organizzazione.

Non puoi modificare la chiave Cloud KMS o passare a Google-owned and Google-managed encryption key dopo aver attivato Security Command Center.

Puoi ruotare la chiave, in modo che Security Command Center utilizzi la nuova versione della chiave. Tuttavia, alcune funzionalità di Security Command Center continuano a utilizzare la vecchia chiave per 30 giorni.

Configura CMEK per Security Command Center

Per utilizzare CMEK con Security Command Center:

Durante la configurazione di Security Command Center per un'organizzazione, nella pagina Seleziona servizi, in Crittografia dei dati, seleziona Modifica la soluzione di gestione delle chiavi di crittografia dei dati (facoltativo). Si apre l'opzione Crittografia.
Seleziona Chiave Cloud KMS.
Seleziona un progetto.
Seleziona una chiave. Puoi selezionare una chiave da qualsiasi progetto Google Cloud , inclusi quelli che non fanno parte dell'organizzazione che stai attivando. Nell'elenco vengono visualizzate solo le chiavi in posizioni compatibili. Per saperne di più sulle posizioni delle chiavi per CMEK per Security Command Center, consulta la tabella nella sezione Posizione della chiave.

Dopo aver concesso il ruolo e completato la configurazione di Security Command Center, Security Command Center cripta i dati utilizzando la chiave Cloud KMS scelta.

Controllare la configurazione CMEK

Per verificare di aver configurato correttamente CMEK per Security Command Center:

In Security Command Center, seleziona Impostazioni.
Vai alla scheda Dettagli livello.
In Dettagli configurazione > Crittografia dei dati, se è configurata CMEK per Security Command Center, il nome della chiave viene visualizzato come link dopo Crittografia dei dati.

Prezzi

Sebbene non siano previsti costi aggiuntivi per abilitare CMEK in Security Command Center Standard e Premium, in Cloud KMS vengono applicati addebiti quando Security Command Center utilizza la tua CMEK per criptare e decriptare i dati. Per ulteriori informazioni, consulta la pagina Prezzi di Cloud KMS.

Ripristinare l'accesso a Security Command Center

Con CMEK abilitato, il account di servizio Security Command Center richiede l'accesso alla chiave Cloud KMS per funzionare. Non revocare le autorizzazioni dell'account di servizio per la chiave CMEK, disattivarla o pianificarne l'eliminazione. Queste azioni causano l'interruzione del funzionamento delle seguenti funzionalità di Security Command Center:

Risultati
Configurazioni delle esportazioni continue
esportazioni BigQuery
Regole di disattivazione

Se provi a utilizzare Security Command Center mentre la chiave Cloud KMS non è disponibile, visualizzerai un messaggio di errore in Security Command Center o un errore FAILED_PRECONDITION nell'API.

Puoi perdere le funzionalità di Security Command Center a causa di una chiave Cloud KMS per uno dei seguenti motivi:

Il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS sulla chiave dell'account di servizio potrebbe essere stato revocato. Puoi ripristinare l'accesso a Security Command Center dopo la revoca di una chiave.
La chiave Cloud KMS potrebbe essere stata disattivata. Puoi ripristinare l'accesso a Security Command Center dopo la disattivazione di una chiave.
L'eliminazione della chiave potrebbe essere stata pianificata. Puoi ripristinare l'accesso a Security Command Center dopo la pianificazione della distruzione di una chiave.

Ripristinare l'accesso a Security Command Center dopo la revoca di una chiave

Per ripristinare l'accesso alla chiave in Security Command Center, concedi all'account di servizio Cloud Security Command Center il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS per la chiave:

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORG_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Sostituisci quanto segue:

KEY_RING: la raccolta di chiavi per la tua chiave Cloud KMS
LOCATION: la posizione della chiave Cloud KMS
KEY_NAME: il nome della chiave Cloud KMS
ORG_NUMBER: il numero dell'organizzazione

Ripristinare l'accesso a Security Command Center dopo la disattivazione di una chiave

Per saperne di più su come abilitare una versione disattivata di una chiave, vedi Abilitare una versione di una chiave.

Ripristinare l'accesso a Security Command Center dopo la pianificazione dell'eliminazione di una chiave

Per ulteriori informazioni su come ripristinare una chiave per la quale è stata pianificata l'eliminazione, consulta Eliminare e ripristinare le versioni delle chiavi.

Una volta eliminata una chiave, non puoi recuperarla e non puoi ripristinare l'accesso a Security Command Center.