Esta página foi traduzida pela API Cloud Translation.

Ativar a CMEK para o Security Command Center

Por padrão, o Security Command Center criptografa o conteúdo do cliente em repouso. O Security Command Center executa a criptografia, e você não precisa fazer nada. Essa opção é chamada de criptografia padrão do Google.

Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o Security Command Center. Ao usar chaves do Cloud KMS, é possível controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. Com o Cloud KMS, também é possível monitorar o uso de chaves, visualizar registros de auditoria e controlar ciclos de vida de chaves. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.

Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos do Security Command Center é semelhante à criptografia padrão do Google. Para saber mais sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

Para oferecer suporte à separação de tarefas e maior controle sobre o acesso às chaves, recomendamos que você crie e gerencie chaves em um projeto separado que não inclua outros recursos do Google Cloud .

Para usar a CMEK com o Security Command Center, configure a CMEK ao ativar o Security Command Center para uma organização. Não é possível configurar a CMEK durante a ativação no nível do projeto. Para saber mais, consulte Ativar o Security Command Center Standard ou Premium para uma organização.

Ao usar a CMEK no Security Command Center, seus projetos podem consumir cotas de solicitações criptográficas do Cloud KMS. As instâncias criptografadas com CMEK consomem cotas ao ler ou gravar dados no Security Command Center. As operações de criptografia e descriptografia que usam chaves CMEK afetam as cotas do Cloud KMS somente se você usar chaves de hardware (Cloud HSM) ou externas (Cloud EKM). Para mais informações, consulte Cotas do Cloud KMS.

A CMEK criptografa os seguintes dados no Security Command Center e na API Security Command Center:

Descobertas
Configurações de notificação
Exportações do BigQuery
Configurações de silenciamento

Antes de começar

Antes de configurar a CMEK para o Security Command Center, faça o seguinte:

Instale e inicialize a Google Cloud CLI:
1. Install the Google Cloud CLI.
2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
3. To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Crie um Google Cloud projeto com o Cloud KMS ativado. Esse é o projeto da chave.
Crie um keyring no local correto. O local do keyring precisa corresponder ao local em que você planeja ativar o Security Command Center. Para saber quais locais de chaveiro correspondem a cada local do Security Command Center, consulte a tabela na seção Local da chave deste documento. Para mais informações sobre como criar um keyring, consulte Criar um keyring.
Crie uma chave do Cloud KMS no keyring. Para mais informações sobre como criar uma chave em um keyring, consulte Criar uma chave.
Para garantir que a conta de serviço do Cloud Security Command Center tenha as permissões necessárias para criptografar e descriptografar dados, peça ao administrador para conceder à conta de serviço do Cloud Security Command Center o papel do IAM de criptografador/descriptografador de CryptoKey do Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) na chave do Cloud KMS.
Importante:conceda esse papel à conta de serviço do Cloud Security Command Center, não à sua conta de usuário. Se a função não for concedida ao principal correto, poderão ocorrer erros de permissão.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

O administrador também pode conceder à conta de serviço do Cloud Security Command Center as permissões necessárias por meio de papéis personalizados ou outros papéis predefinidos.

Local da chave

O local da chave do Cloud KMS precisa corresponder ao local em que você ativou o Security Command Center. Use a tabela a seguir para identificar qual local da chave do Cloud KMS corresponde a qual local do Security Command Center.

Local do Security Command Center	Local da chave do Cloud KMS
`eu`	`europe`
`global`	`us`
`sa`	`me-central2`
`us`	`us`

Se você não ativar a residência de dados ao ativar o Security Command Center, use global para o local do Security Command Center e us para o local da chave do Cloud KMS. Para mais informações sobre a residência de dados, consulte Planejamento da residência de dados.

Limitações

Se a organização que você está ativando tiver um ou mais projetos com o Security Command Center, não será possível usar a CMEK para o Security Command Center nessa organização.

Não é possível mudar a chave do Cloud KMS ou alternar para Google-owned and Google-managed encryption key depois de ativar o Security Command Center.

É possível fazer a rotação da chave, o que faz com que o Security Command Center use a nova versão da chave. No entanto, alguns recursos do Security Command Center continuam usando a chave antiga por 30 dias.

Configurar o CMEK para o Security Command Center

Para usar a CMEK com o Security Command Center:

Durante a configuração do Security Command Center para uma organização, na página Selecionar serviços, em Criptografia de dados, selecione Mudar a solução de gerenciamento de chaves de criptografia de dados (opcional). A opção Criptografia é aberta.
Selecione Chave do Cloud KMS.
Selecione um projeto.
Selecione uma chave. É possível selecionar uma chave de qualquer projeto do Google Cloud , incluindo aqueles que não estão na organização que você está ativando. Somente as chaves em locais compatíveis aparecem na lista. Para mais informações sobre os principais locais da CMEK para o Security Command Center, consulte a tabela na seção Local da chave.

Depois de conceder a função e concluir a configuração do Security Command Center, ele criptografa seus dados usando a chave do Cloud KMS escolhida.

Verificar a configuração da CMEK

Para verificar se você configurou a CMEK para o Security Command Center:

No Security Command Center, selecione Configurações.
Acesse a guia Detalhes do nível.
Em Detalhes da configuração > Criptografia de dados, se a CMEK do Security Command Center estiver configurada, o nome da chave vai aparecer como um link depois de Criptografia de dados.

Preços

Embora não haja cobrança adicional para ativar a CMEK no Security Command Center Standard e Premium, as cobranças se aplicam no Cloud KMS quando o Security Command Center usa sua CMEK para criptografar e descriptografar dados. Para mais informações, consulte os preços do Cloud KMS.

Restaurar o acesso ao Security Command Center

Com a CMEK ativada, a conta de serviço do Security Command Center precisa de acesso à sua chave do Cloud KMS para funcionar. Não revogue as permissões da conta de serviço para a CMEK, desative a CMEK nem agende a destruição dela. Essas ações fazem com que os seguintes recursos do Security Command Center parem de funcionar:

Descobertas
Configurações de exportações contínuas
Exportações do BigQuery
Regras de silenciamento

Se você tentar usar o Security Command Center enquanto a chave do Cloud KMS estiver indisponível, uma mensagem de erro vai aparecer no Security Command Center ou um erro FAILED_PRECONDITION na API.

Você pode perder os recursos do Security Command Center devido a uma chave do Cloud KMS por um dos seguintes motivos:

O papel Criptografador/Descriptografador de CryptoKey do Cloud KMS na chave da conta de serviço pode ter sido revogado. É possível restaurar o acesso ao Security Command Center depois que uma chave é revogada.
A chave do Cloud KMS pode ter sido desativada. É possível restaurar o acesso ao Security Command Center depois que uma chave é desativada.
A chave pode estar programada para destruição. É possível restaurar o acesso ao Security Command Center depois que uma chave é programada para destruição.

Restaurar o acesso ao Security Command Center depois que uma chave é revogada

Para restaurar o acesso à sua chave no Security Command Center, conceda à conta de serviço do Cloud Security Command Center o papel de criptografador/descriptografador de CryptoKey do Cloud KMS na chave:

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORG_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Substitua:

KEY_RING: o keyring da sua chave do Cloud KMS
LOCATION: o local da chave do Cloud KMS
KEY_NAME: o nome da chave do Cloud KMS
ORG_NUMBER: o número da organização

Restaurar o acesso ao Security Command Center depois que uma chave é desativada

Para mais informações sobre como ativar uma chave desativada, consulte Ativar uma versão de chave.

Restaurar o acesso ao Security Command Center depois que uma chave é programada para destruição

Para mais informações sobre como restaurar uma chave programada para destruição, consulte Destruir e restaurar versões de chave.

Depois que uma chave é destruída, não é possível recuperá-la nem restaurar o acesso ao Security Command Center.