Chaves de criptografia gerenciadas pelo cliente

Nesta página, você aprenderá o que são as chaves de criptografia gerenciadas pelo cliente. Para outras opções de criptografia, consulte Opções de criptografia de dados. Para ver exemplos de uso desse recurso, consulte Como usar chaves de criptografia gerenciadas pelo cliente.

Visão geral

Como uma camada adicional nas chaves de criptografia gerenciadas pelo Google, é possível usar as chaves geradas pelo Cloud Key Management Service. Elas são conhecidas como chaves de criptografia gerenciadas pelo cliente. Nesse caso, as chaves são armazenadas no Cloud KMS. Assim, o projeto que contém suas chaves de criptografia pode ser independente daquele que contém os intervalos, o que permite uma melhor separação de deveres.

Quando a chave é usada?

Ao aplicar uma chave de criptografia gerenciada pelo cliente a um objeto, ela é usada pelo Cloud Storage para criptografar:

  • os dados do objeto;
  • a soma de verificação CRC32C do objeto;
  • O hash MD5 do objeto.

O Cloud Storage usa chaves padrão no lado do servidor para criptografar os metadados restantes, incluindo o nome do objeto. Com isso, você pode ler e atualizar metadados gerais, além de listar e excluir objetos sem precisar da chave de criptografia gerenciada pelo cliente. No entanto, você precisa ter permissões suficientes para executar essas ações.

Por exemplo, se um objeto for criptografado com uma chave de criptografia gerenciada pelo cliente, a chave deverá ser usada para executar operações no objeto, como downloads ou transferências. Se você tentar ler os metadados do objeto sem fornecer a chave, receberá metadados como o nome do objeto e o Content-Type, mas não a soma de verificação CRC32C ou hash MD5 do objeto. Se você fornecer sua chave com a solicitação dos metadados do objeto, a soma de verificação CRC32C e o hash MD5 dele serão incluídos nos metadados.

Contas de serviço

A criptografia e a descriptografia com chaves de criptografia gerenciadas pelo cliente são realizadas usando contas de serviço. Depois de conceder à sua conta de serviço do Cloud Storage o acesso a uma chave de criptografia, essa conta de serviço criptografará:

Ao adicionar ou regravar um objeto no Cloud Storage, se você tiver um conjunto de chaves padrão no seu intervalo e uma chave específica incluída na sua solicitação, o Cloud Storage usará a chave específica para criptografar o objeto.

Quando o solicitante quiser ler um objeto criptografado com uma chave de criptografia gerenciada pelo cliente, basta que ele acesse o objeto como normalmente faria. Durante essa solicitação, a conta de serviço descriptografa automaticamente o objeto solicitado, desde que:

  • a conta de serviço ainda tenha permissão para descriptografar usando a chave;
  • você não tenha desativado ou destruído a chave.

Se uma dessas condições não for atendida, a conta de serviço não descriptografará os dados e a solicitação falhará.

Recursos de chaves

Um recurso de chave do Cloud KMS tem o seguinte formato:

projects/[PROJECT_STORING_KEYS]/locations/[LOCATION]/keyRings/[KEY_RING_NAME]/cryptoKeys/[KEY_NAME]

Em que [VALUES_IN_BRACKETS] são valores que dependem do recurso da sua chave.

Restrições

As restrições a seguir se aplicam ao usar chaves de criptografia gerenciadas pelo cliente:

  • As exportações do Cloud SQL para o Cloud Storage e o Cloud Dataflow atualmente não aceitam objetos criptografados com chaves de criptografia gerenciadas pelo cliente.

  • As chaves de criptografia gerenciadas pelo cliente estão disponíveis nos seguintes países:

    África do Sul, Alemanha, Argentina, Áustria, Austrália, Bélgica, Bulgária, Canadá, Chile, Chipre, Colômbia, Coreia do Sul, Dinamarca, Eslováquia, Espanha, Estados Unidos, Estônia, Finlândia, França, Grécia, Hong Kong, Hungria, Índia, Indonésia, Irlanda, Israel, Itália, Japão, Letônia, Lituânia, Luxemburgo, Malásia, Malta, México, Nova Zelândia, Noruega, Países Baixos, Peru, Polônia, Portugal, Reino Unido, República Tcheca, Romênia, Singapura, Suécia, Suíça, Tailândia, Taiwan, Turquia e Vietnã.
  • Não é possível usar o método Copy Object da API JSON quando o objeto de origem estiver criptografado com uma chave de criptografia gerenciada pelo cliente ou quando o objeto de destino for criptografado por essas chave. Em vez disso, use o método Rewrite Object.

  • Não é possível atualizar os metadados do objeto para criptografá-lo com uma chave de criptografia gerenciada pelo cliente. Inclua a chave como parte da regravação do objeto.

  • Você precisa criar a chave do Cloud KMS no mesmo local dos dados que pretende criptografar. Por exemplo, se o intervalo está localizado em us-east1, qualquer chave do Cloud KMS que criptografa objetos nesse intervalo também precisa ser criada em us-east1. Para conhecer os locais disponíveis do Cloud KMS, consulte este artigo.

  • Não é possível especificar uma chave de criptografia gerenciada pelo cliente como parte de uma transferência do Storage Transfer Service, e quaisquer chaves desse tipo nos objetos de origem não são aplicadas aos objetos transferidos. Defina uma chave padrão gerenciada pelo cliente no seu intervalo antes de realizar a transferência.

Relação com chaves de criptografia fornecidas pelo cliente

Além da criptografia gerenciada pelo cliente, o Cloud Storage oferece chaves de criptografia fornecidas pelo cliente como forma de controlar a criptografia de dados. Você pode criptografar diferentes objetos em um único intervalo com diferentes métodos de criptografia, mas observe que:

  • um único objeto só pode ser criptografado por um desses métodos por vez;

  • se você tiver um conjunto padrão de chaves gerenciadas pelo cliente no intervalo e especificar uma chave fornecida pelo cliente em uma solicitação, o Cloud Storage usará essa chave para criptografar o objeto;

  • é possível definir uma chave padrão gerenciada pelo cliente no intervalo, mas não é possível definir uma chave padrão fornecida pelo cliente.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Precisa de ajuda? Acesse nossa página de suporte.