No T-Systems Sovereign Cloud, todos os dados precisam ser criptografados usando chaves do Cloud External Key Manager (Cloud EKM), que são chaves de criptografia conectadas a um gerenciador de chaves externo (também abreviado como EKM). Embora os clientes possam configurar e usar o próprio EKM do Cloud, eles também recebem um projeto provisionado pelo Google Cloud e da nuvem soberana da T-Systems. Nesse projeto, chamado de Projeto de gerenciamento de chaves, as chaves podem ser criadas usando um gerenciador de chaves externo operado pela T-Systems International (TSI) em nome do cliente.
Neste tópico, abordamos as etapas para usar o Cloud KMS com o TSI.
Visão geral
Para criar e gerenciar chaves usando o Cloud EKM no T-Systems Sovereign Cloud, você usará um sistema de tickets chamado Issue Tracker. Você vai receber um link para a ferramenta Issue Tracker e as principais informações do grupo de acesso de administrador no e-mail de boas-vindas. Todos os administradores principais precisam ser adicionados ao grupo de acesso. Esses administradores vão ter acesso ao componente Issue Tracker para registrar tickets com o TSI, que vai realizar operações de gerenciamento de chaves em seu nome.
Todas as chaves gerenciadas por TSI precisam ser criadas no projeto de gerenciamento de chaves provisionado previamente. É possível hospedar dados em um projeto diferente do projeto em que as chaves do Cloud KMS estão. Esse recurso oferece suporte à prática recomendada de separação de deveres entre os principais administradores e administradores de dados.
Localizar informações específicas do cliente
Antes de começar a criar chaves, localize as seguintes informações no e-mail de boas-vindas inicial:
- Número do projeto do Cloud KMS
- Grupo de acesso de administradores de chaves
- Link do Issue Tracker
Configurar grupos de acesso
O grupo de acesso de administradores de chaves é um grupo particular do Google para administradores de chaves na sua organização, ou seja, aqueles que receberão o papel do Identity and Access Management (IAM) Administrador do Cloud KMS. O grupo de acesso de administrador de chaves é mantido por você.
Você vai receber o grupo de acesso no e-mail de boas-vindas. Ele vai estar no formato:
<customer-name>-<KMS-project-number>-key-admin@googlegroups.com
Adicione ao grupo do Google os usuários que você quer que tenham a função Administrador do Cloud KMS no seu projeto. Para mais informações sobre como gerenciar seu grupo, consulte Adicionar pessoas ao seu grupo.
Criar uma chave do Cloud EKM
As chaves EKM do Cloud são usadas para criptografar seus dados no Google Cloud. Para usar chaves do gerenciador de chaves externas do TSI, primeiro é necessário criar uma chave do Cloud EKM. Essa chave do Cloud EKM vinculada ao TSI é usada para fazer referência a uma chave específica no EKM do TSI e só pode ser criada no projeto de gerenciamento de chaves provisionado previamente.
Criar um keyring
Crie um keyring para armazenar a chave do Cloud EKM. Para a nuvem soberana da T-Systems, o
local do keyring precisa ser sempre europe-west3. Substitua o marcador de posição
KEY_RING_NAME pelo nome que você quer dar ao keyring:
gcloud
gcloud kms keyrings create KEY_RING_NAME \ --location europe-west3
Conferir o nome do recurso de conexão do Cloud EKM
Em seguida, você vai precisar acessar o nome do recurso de conexão do EKM do Cloud do TSI no projeto de gerenciamento de chaves. Ele vai ser chamado de
default-ekm-connection.
gcloud
Execute o comando a seguir e encontre o nome do recurso de conexão do EKM do Cloud que contém o nome de conexão default-ekm-connection. Ele vai estar no
formato de
projects/[PROJECT-ID]/locations/europe-west3/ekmConnections/default-ekm-connection:
gcloud kms ekm-connections list \ --location europe-west3
Exemplo de resposta:
NAME: projects/test-project/locations/europe-west3/ekmConnections/default-ekm-connection SERVICE_DIRECTORY_SERVICE: projects/host-project/locations/europe-west3/namespaces/tsi-ekm-000000001/services/tsi-ekm-00000001 HOSTNAME: test_host.example.com
Copie o nome do recurso completo, que é o texto destacado na seção
NAME. Ele será usado como o valor --crypto-key-backend ao
criar a chave simétrica e/ou assimétrica.
Criar uma chave de criptografia simétrica
Para criar uma chave simétrica do EKM do Cloud, use o seguinte comando na Google Cloud CLI:
gcloud
gcloud kms keys create KEY_NAME \ --keyring KEY_RING_NAME \ --location europe-west3 \ --purpose encryption \ --protection-level external-vpc \ --default-algorithm external-symmetric-encryption \ --skip-initial-version-creation \ --crypto-key-backend EKM_CONNECTION
A flag --skip-initial-version-creation é usada para impedir que uma versão de chave
seja criada. Ao usar o Cloud KMS com o TSI Sovereign Cloud,
o TSI é responsável por criar versões de chaves para você.
A finalidade da chave como encryption especifica que ela é uma chave de criptografia
simétrica. É necessário usar o nível de proteção external-vpc, já que o
EKM do TSI está conectado ao Cloud KMS usando
um EKM pela conexão da VPC.
Substitua EKM_CONNECTION pelo nome da conexão do EKM que você copiou na seção Pegar o nome do recurso de conexão do Cloud EKM acima, usando o nome completo do recurso.
A etapa acima cria uma chave de criptografia simétrica vazia no keyring. Para criar uma versão de chave, siga as instruções na seção Etapas finais abaixo.
Crie uma chave de assinatura assimétrica
A criação de uma chave de assinatura assimétrica é semelhante à criação de uma chave de criptografia simétrica. As principais diferenças são a finalidade da chave e o algoritmo padrão.
Ao criar uma nova chave, adicione --skip-initial-version-creation para
evitar que uma versão de chave seja criada. Ao usar o Cloud KMS com o
T-Systems Sovereign Cloud, a TSI é responsável por criar versões de chaves para
você.
gcloud
gcloud kms keys create KEY_NAME \ --keyring KEY_RING_NAME \ --location europe-west3 \ --purpose asymmetric-signing \ --protection-level external-vpc \ --skip-initial-version-creation \ --default-algorithm ec-sign-p256-sha256 \ --crypto-key-backend EKM_CONNECTION
Defina a finalidade da chave como asymmetric-signing para especificar que ela é uma
chave de assinatura assimétrica. É necessário usar o nível de proteção external-vpc, já que
a EKM do TSI está conectada ao Cloud KMS usando
uma EKM pela conexão da VPC.
Substitua EKM_CONNECTION pelo nome da conexão do EKM que você copiou na seção Pegar o nome do recurso de conexão do Cloud EKM acima, usando o nome completo do recurso.
As etapas acima criam uma chave de criptografia assimétrica vazia no keyring. Para criar uma versão de chave, siga as instruções na seção Etapas finais abaixo.
Etapas finais
Depois de criar uma chave EKM do Cloud no Google Cloud, a etapa final é enviar um tíquete para o TSI usando o formulário de solicitação do Issue Tracker. Faça isso para criar a primeira versão da chave. Seu pedido será encaminhado para TSI para concluir o provisionamento da chave.
Consulte Operações de chave gerenciadas pelo TSI para ver tutoriais detalhados sobre outras operações de gerenciamento de chaves, como a criação ou a rotação de versões de chaves.