In T-Systems Sovereign Cloud, tutti i dati devono essere criptati utilizzando le chiavi di Cloud External Key Manager (Cloud EKM), ovvero chiavi di crittografia collegate a un gestore di chiavi esterno (abbreviato anche come EKM). Sebbene i clienti possano configurare e utilizzare il proprio Cloud EKM, viene loro fornito anche un progetto eseguito da Google Cloud e T-Systems Sovereign Cloud. In questo progetto, chiamato Progetto di gestione delle chiavi, le chiavi possono essere create utilizzando un gestore di chiavi esterno gestito da T-Systems International (TSI) per conto del cliente.
Questo argomento illustra i passaggi per utilizzare Cloud KMS quando è supportato da TSI.
Panoramica
Per creare e gestire le chiavi utilizzando Cloud EKM in T-Systems Sovereign Cloud, utilizzerai un sistema di ticketing chiamato Issue Tracker. Nella email di benvenuto riceverai un link allo strumento Issue Tracker e le informazioni chiave del gruppo di accesso amministrativo. Tutti gli amministratori principali devono essere aggiunti al gruppo di accesso. Questi amministratori avranno quindi accesso al componente Issue Tracker per inviare richieste al TSI, che eseguirà le operazioni di gestione delle chiavi per tuo conto.
Tutte le chiavi gestite da TSI devono essere create nel progetto di gestione delle chiavi preprovisioned. Puoi ospitare i dati in un progetto diverso da quello in cui si trovano le chiavi Cloud KMS. Questa funzionalità supporta la best practice di separazione dei compiti tra gli amministratori delle chiavi e quelli dei dati.
Individuare informazioni specifiche per il cliente
Prima di iniziare a creare le chiavi, individua le seguenti informazioni nell'email di benvenuto iniziale:
- Numero del progetto Cloud KMS
- Gruppo di accesso amministratore delle chiavi
- Link a Issue Tracker
Configurare i gruppi di accesso
Il gruppo di accesso degli amministratori delle chiavi è un gruppo Google privato per gli amministratori delle chiavi della tua organizzazione, ovvero a coloro a cui verrà concesso il ruolo IAM Amministratore Cloud KMS. Il gruppo di accesso amministrativo delle chiavi è gestito da te.
Riceverai il gruppo di accesso nell'email di benvenuto. Il formato sarà:
<customer-name>-<KMS-project-number>-key-admin@googlegroups.com
Aggiungi al gruppo Google gli utenti a cui vuoi concedere il ruolo Amministratore Cloud KMS nel tuo progetto. Per ulteriori informazioni su come gestire il gruppo, consulta Aggiungere persone al gruppo.
Creare una chiave EKM cloud
Le chiavi EKM cloud vengono utilizzate per criptare i dati su Google Cloud. Per utilizzare le chiavi del gestore di chiavi esterno di TSI, devi prima creare una chiave EKM di Cloud. Questa chiave Cloud EKM collegata a TSI viene utilizzata per fare riferimento a una chiave specifica nell'EKM di TSI e può essere creata solo nel progetto di gestione delle chiavi preprovisioned.
Creazione di chiavi automatizzate
Crea un keyring per contenere la chiave EKM di Cloud. Per T-Systems Sovereign Cloud, la posizione del keyring deve essere sempre europe-west3. Sostituisci il
segnaposto KEY_RING_NAME con il nome che vuoi assegnare al portachiavi:
gcloud
gcloud kms keyrings create KEY_RING_NAME \ --location europe-west3
Recupera il nome della risorsa di connessione Cloud EKM
Successivamente, dovrai ottenere il nome della risorsa della connessione EKM Cloud di TSI nel progetto di gestione delle chiavi. Verrà chiamato
default-ekm-connection.
gcloud
Esegui il seguente comando e trova il nome della risorsa di connessione Cloud EKM che contiene il nome della connessione default-ekm-connection. Deve essere nel formato di projects/[PROJECT-ID]/locations/europe-west3/ekmConnections/default-ekm-connection:
gcloud kms ekm-connections list \ --location europe-west3
Esempio di output:
NAME: projects/test-project/locations/europe-west3/ekmConnections/default-ekm-connection SERVICE_DIRECTORY_SERVICE: projects/host-project/locations/europe-west3/namespaces/tsi-ekm-000000001/services/tsi-ekm-00000001 HOSTNAME: test_host.example.com
Copia il nome del nome completo della risorsa, ovvero il testo evidenziato nella sezione NAME. Verrà utilizzato come valore --crypto-key-backend quando crei la chiave simmetrica e/o asimmetrica.
Crea una chiave di crittografia simmetrica
Per creare una chiave Cloud EKM simmetrica, utilizza il seguente comando in Google Cloud CLI:
gcloud
gcloud kms keys create KEY_NAME \ --keyring KEY_RING_NAME \ --location europe-west3 \ --purpose encryption \ --protection-level external-vpc \ --default-algorithm external-symmetric-encryption \ --skip-initial-version-creation \ --crypto-key-backend EKM_CONNECTION
Il flag --skip-initial-version-creation viene utilizzato per impedire la creazione di una versione della chiave. Quando utilizzi Cloud KMS con TSI Sovereign Cloud,
è TSI a occuparsi della creazione delle versioni delle chiavi per te.
Lo scopo della chiave come encryption specifica che si tratta di una chiave di crittografia simmetrica. Devi utilizzare il livello di protezione external-vpc poiché l'EKM del TSI è connesso a Cloud KMS utilizzando un EKM tramite una connessione VPC.
Sostituisci EKM_CONNECTION con il nome della connessione EKM che hai copiato nella sezione Ottenere il nome della risorsa della connessione EKM di Cloud sopra, utilizzando il nome completo della risorsa.
Il passaggio precedente crea una chiave di crittografia simmetrica vuota nel keyring. Per creare una versione della chiave, segui le istruzioni riportate nella sezione Passaggi finali di seguito.
Creazione di una chiave di firma asimmetrica
La creazione di una chiave di firma asimmetrica è simile alla creazione di una chiave di crittografia simmetrica. Le differenze principali sono lo scopo e l'algoritmo predefinito della chiave.
Quando crei una nuova chiave, assicurati di aggiungere --skip-initial-version-creation per impedire la creazione di una versione della chiave. Quando utilizzi Cloud KMS con T-Systems Sovereign Cloud, è TSI a creare le versioni delle chiavi per te.
gcloud
gcloud kms keys create KEY_NAME \ --keyring KEY_RING_NAME \ --location europe-west3 \ --purpose asymmetric-signing \ --protection-level external-vpc \ --skip-initial-version-creation \ --default-algorithm ec-sign-p256-sha256 \ --crypto-key-backend EKM_CONNECTION
Imposta lo scopo della chiave su asymmetric-signing per specificare che si tratta di una chiave di firma asimmetrica. Devi utilizzare il livello di protezione external-vpc poiché
l'EKM di TSI è connesso a Cloud KMS utilizzando
un EKM tramite connessione VPC.
Sostituisci EKM_CONNECTION con il nome della connessione EKM che hai copiato nella sezione Ottenere il nome della risorsa della connessione EKM Cloud sopra, utilizzando il nome completo della risorsa.
I passaggi precedenti creano una chiave di crittografia asimmetrica vuota nel keyring. Per creare una versione della chiave, segui le istruzioni riportate nella sezione Passaggi finali di seguito.
Passaggi finali
Dopo aver creato una chiave EKM Cloud in Google Cloud, il passaggio finale consiste nell'inviare un ticket al TSI utilizzando il modulo di richiesta di Issue Tracker. Esegui questa operazione per creare la prima versione della chiave. La tua richiesta verrà inoltrata al TSI per completare la parte di provisioning delle chiavi.
Consulta la sezione Operazioni con le chiavi gestite da TSI per procedure dettagliate su altre operazioni di gestione delle chiavi, come la creazione o la rotazione delle versioni delle chiavi.