Na nuvem soberana da T-Systems, todos os dados têm de ser encriptados com chaves do Cloud External Key Manager (Cloud EKM), que são chaves de encriptação ligadas a um gestor de chaves externo (também abreviado como EKM). Embora os clientes possam configurar e usar o seu próprio EKM na nuvem, também lhes é disponibilizado um projeto aprovisionado pela Google Cloud T-Systems Sovereign Cloud. Neste projeto, denominado projeto de gestão de chaves, as chaves podem ser criadas através de um gestor de chaves externo operado pela T-Systems International (TSI) em nome do cliente.
Este tópico aborda os passos para usar o Cloud KMS quando suportado pelo TSI.
Vista geral
Para criar e gerir chaves através do EKM na nuvem soberana da T-Systems, vai usar um sistema de pedidos chamado Issue Tracker. Vai receber um link para a ferramenta Issue Tracker e as informações do grupo de acesso de administrador principal no email de boas-vindas. Todos os administradores principais têm de ser adicionados ao grupo de acesso. Estes administradores têm acesso ao componente Issue Tracker para registar pedidos de apoio técnico junto da TSI, que realiza operações de gestão de chaves em seu nome.
Todas as chaves geridas pela TSI devem ser criadas no projeto de gestão de chaves pré-aprovisionado. Pode alojar dados num projeto diferente do projeto no qual residem as suas chaves do Cloud KMS. Esta capacidade suporta a prática recomendada de separação de funções entre os administradores principais e os administradores de dados.
Encontre informações específicas do cliente
Antes de começar a criar chaves, localize as seguintes informações no email de boas-vindas inicial:
- Número do projeto do Cloud KMS
- Grupo de acesso de administrador principal
- Link do Issue Tracker
Configure grupos de acesso
O grupo de acesso de administrador de chaves é um grupo Google privado para administradores de chaves na sua organização, ou seja, aqueles aos quais será concedida a função de gestão de identidade e de acesso (IAM) de administrador do Cloud KMS. O grupo de acesso de administrador de chaves é mantido por si.
Vai receber o seu grupo de acesso no email de boas-vindas. O formato é o seguinte:
<customer-name>-<KMS-project-number>-key-admin@googlegroups.com
Adicione os utilizadores aos quais quer conceder a função de administrador do Cloud KMS no seu projeto ao grupo Google. Para mais informações sobre como gerir o seu grupo, consulte o artigo Adicione pessoas ao seu grupo.
Crie uma chave do Cloud EKM
As chaves do EKM do Google Cloud são usadas para encriptar os seus dados no Google Cloud. Para usar chaves do gestor de chaves externo da TSI, primeiro tem de criar uma chave do Cloud EKM. Esta chave do EKM na nuvem associada ao TSI é usada para fazer referência a uma chave específica no EKM do TSI e só pode ser criada no projeto de gestão de chaves pré-aprovisionado.
Crie um conjunto de chaves
Crie um conjunto de chaves para guardar a sua chave do Cloud EKM. Para a nuvem soberana da T-Systems, a localização do conjunto de chaves tem de ser sempre europe-west3. Substitua o marcador de posição KEY_RING_NAME pelo nome pretendido para o conjunto de chaves:
gcloud
gcloud kms keyrings create KEY_RING_NAME \ --location europe-west3
Obtenha o nome do recurso de ligação do EKM do Google Cloud
Em seguida, tem de obter o nome do recurso de ligação do EKM na nuvem da TSI no projeto de gestão de chaves. Vai chamar-se
default-ekm-connection.
gcloud
Execute o seguinte comando e encontre o nome do recurso de ligação do Cloud EKM que contém o nome da ligação default-ekm-connection. Tem o formato
projects/[PROJECT-ID]/locations/europe-west3/ekmConnections/default-ekm-connection:
gcloud kms ekm-connections list \ --location europe-west3
Exemplo de resultado:
NAME: projects/test-project/locations/europe-west3/ekmConnections/default-ekm-connection SERVICE_DIRECTORY_SERVICE: projects/host-project/locations/europe-west3/namespaces/tsi-ekm-000000001/services/tsi-ekm-00000001 HOSTNAME: test_host.example.com
Copie o nome do recurso completo, que é o texto realçado na secção NAME. Este valor é usado como o valor --crypto-key-backend quando cria a chave simétrica e/ou a chave assimétrica.
Crie uma chave de encriptação simétrica
Para criar uma chave simétrica do Cloud EKM, use o seguinte comando na CLI do Google Cloud:
gcloud
gcloud kms keys create KEY_NAME \ --keyring KEY_RING_NAME \ --location europe-west3 \ --purpose encryption \ --protection-level external-vpc \ --default-algorithm external-symmetric-encryption \ --skip-initial-version-creation \ --crypto-key-backend EKM_CONNECTION
A flag --skip-initial-version-creation é usada para impedir a criação de uma versão da chave. Quando usa o Cloud KMS com o TSI Sovereign Cloud, o TSI é responsável por criar versões de chaves para si.
A finalidade da chave como encryption especifica que a chave é uma chave de encriptação simétrica. Tem de usar o nível de proteção external-vpc, uma vez que o EKM do TSI está ligado ao Cloud KMS através de um EKM através da ligação VPC.
Substitua EKM_CONNECTION pelo nome da ligação do EKM que copiou na secção Obtenha o nome do recurso de ligação do Cloud EKM acima, usando o nome completo do recurso.
O passo acima cria uma chave de encriptação simétrica vazia no conjunto de chaves. Para criar uma versão da chave, siga as instruções na secção Passos finais abaixo.
Crie uma chave de assinatura assimétrica
A criação de uma chave de assinatura assimétrica é semelhante à criação de uma chave de encriptação simétrica. As principais diferenças são a finalidade da chave e o algoritmo predefinido.
Quando criar uma nova chave, certifique-se de que adiciona o atributo --skip-initial-version-creation para
impedir a criação de uma versão da chave. Quando usa o Cloud KMS com o
T-Systems Sovereign Cloud, a TSI é responsável pela criação de versões de chaves para si.
gcloud
gcloud kms keys create KEY_NAME \ --keyring KEY_RING_NAME \ --location europe-west3 \ --purpose asymmetric-signing \ --protection-level external-vpc \ --skip-initial-version-creation \ --default-algorithm ec-sign-p256-sha256 \ --crypto-key-backend EKM_CONNECTION
Defina a finalidade da chave como asymmetric-signing para especificar que a chave é uma chave de assinatura assimétrica. Tem de usar o nível de proteção external-vpc, uma vez que o EKM da TSI está ligado ao Cloud KMS através de um EKM através da ligação VPC.
Substitua EKM_CONNECTION pelo nome da ligação do EKM que copiou na secção Obtenha o nome do recurso de ligação do Cloud EKM acima, usando o nome completo do recurso.
Os passos acima criam uma chave de encriptação assimétrica vazia no conjunto de chaves. Para criar uma versão da chave, siga as instruções na secção Passos finais abaixo.
Passos finais
Depois de criar uma chave do EKM na nuvem Google Cloud, o passo final é enviar um pedido ao TSI através do formulário de solicitação do Issue Tracker. Faça isto para criar a primeira versão da chave. O seu pedido vai ser encaminhado para a TSI para concluir o aprovisionamento de chaves da respetiva parte.
Consulte o artigo Operações de chaves geridas pela TSI para ver explicações detalhadas sobre outras operações de gestão de chaves, como a criação ou a rotação de versões de chaves.