Utilizzo delle chiavi di crittografia gestite dal cliente

Per impostazione predefinita, Cloud Tasks cripta i contenuti inattivi dei clienti. Cloud Tasks gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google.

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con i servizi integrati con CMEK, tra cui Cloud Tasks. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il loro livello di protezione, la posizione, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i confini di crittografia. L'utilizzo di Cloud KMS ti consente inoltre di visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece che essere di proprietà e gestite da Google, le chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati sono sotto il tuo controllo e vengono gestite in Cloud KMS.

Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse Cloud Tasks è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Che cosa viene protetto con CMEK

Quando attivi CMEK in Cloud Tasks, lo attivi per una regione. Se questa opzione è attiva, il corpo e l'intestazione delle attività create nella regione sono protetti con la tua chiave quando non sono in uso. Se un'attività è stata creata quando CMEK era attivato e la chiave viene successivamente resa inattiva (disattivando o eliminando la chiave o disattivando CMEK), l'attività viene criptata con la chiave, ma non può essere eseguita.

Le attività non sono protette con CMEK nei seguenti casi:

  • L'attività è stata creata prima dell'attivazione di CMEK
  • L'attività non si trova nella regione per cui è abilitato CMEK
  • L'attività è interessata da una limitazione di compatibilità

Limitazioni di compatibilità

L'integrazione di Cloud Tasks con CMEK non supporta quanto segue:

  • Versioni di google-gax precedenti a 4.0.0: il pacchetto NPM google-gax per Node.js ha un supporto limitato nelle versioni precedenti a 4.0.0. Per queste versioni, CMEK è supportato solo nella regione us-central1. Anche se hai solo attività in quella regione, ti consigliamo di eseguire l'upgrade alla versione 4.0.0 o successiva.

  • Servizio Taskqueue integrato di App Engine: le attività create utilizzando il servizio Taskqueue integrato di App Engine non sono protette da CMEK, anche se si trovano in una regione per la quale è abilitato. L'attivazione del CMEK non impedisce la creazione o il funzionamento (ad esempio l'esecuzione o l'eliminazione) di queste attività.

  • Codella pull: se attivi CMEK, puoi creare ed eseguire attività nelle code pull, ma queste attività non sono protette da CMEK. Le code pull sono rare. Per verificare se la coda è una coda in modalità pull, esegui il seguente comando gcloud CLI nel terminale:

    gcloud tasks queues describe QUEUE_NAME

    Sostituisci QUEUE_NAME con il nome della coda.

    Se il valore type indicato è pull, la coda è una coda in modalità pull. Se il valore type elencato è push, questa limitazione non influisce sulle attività nella coda.

  • Indirizzamento a livello di coda: quando CMEK è attivato, non puoi applicare il routing a livello di coda. Inoltre, se il routing a livello di coda è attivo, non puoi attivare CMEK. Per verificare se hai attivato il routing a livello di coda:

    1. Esegui il seguente comando gcloud CLI nel terminale: 

      gcloud tasks queues describe QUEUE_NAME
       Sostituisci QUEUE_NAME con il nome della coda.

    2. Nell'output, cerca il campo httpTarget e controlla se è stato impostato uriOverride. Se è specificato un host, per la coda è attivo il routing a livello di coda e non è compatibile con CMEK. Per rimuovere il routing a livello di coda, consulta Aggiornare o rimuovere il routing a livello di coda. Se l'output non mostra uriOverride con un host specificato, la coda non utilizza il routing a livello di coda.

  • TTL dell'attività: quando CMEK è attivato, non puoi impostare task_ttl su più di 60 giorni. Inoltre, se hai impostato task_ttl su un valore superiore a 60 giorni, non puoi attivare CMEK.

Prima di iniziare

Prima di utilizzare CMEK in Cloud Tasks, completa i seguenti passaggi:

  1. Abilita le API.

    Console

    1. Enable the Cloud KMS and Cloud Tasks APIs.

      Enable the APIs

    gcloud

    1. In the Google Cloud console, activate Cloud Shell.

      Activate Cloud Shell

      At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    2. Imposta il progetto predefinito. Deve essere il progetto che contiene le risorse Cloud Tasks che vuoi proteggere con CMEK. Se devi eseguire un comando in un progetto diverso, ad esempio il progetto contenente le risorse Cloud KMS, questa pagina includerà il flag --project nel comando gcloud CLI e ti indicherà quale progetto specificare.

      gcloud config set project PROJECT_ID

      Sostituisci PROJECT_ID con l'ID del progetto che contiene le risorse Cloud Tasks.

    3. Aggiorna i componenti gcloud. 

      gcloud components update

    4. Abilita le API Cloud KMS e Cloud Tasks per il progetto che memorizzerà le chiavi di crittografia. 

      gcloud services enable cloudkms.googleapis.com cloudtasks.googleapis.com 
      
--project=PROJECT_ID

      Sostituisci PROJECT_ID con l'ID del progetto che memorizzerà le tue chiavi di crittografia. Potrebbe essere lo stesso progetto delle tue risorse Cloud Tasks, ma per limitare l'accesso alle tue chiavi Cloud KMS, ti consigliamo di configurare Cloud KMS in un progetto separato.

  2. Cloud KMS genera Cloud Audit Logs quando le chiavi vengono attivate, disattivate o utilizzate dalle risorse Cloud Tasks per criptare e decriptare i dati. Assicurati che il logging sia abilitato per l'API Cloud KMS nel tuo progetto e che tu abbia deciso quali autorizzazioni e ruoli specifici per il logging si applicano al tuo caso d'uso. Per ulteriori informazioni, consulta le informazioni sui log di controllo di Cloud KMS.

  3. Ottieni i ruoli di Identity and Access Management.

    Per ottenere le autorizzazioni necessarie per utilizzare CMEK con Cloud Tasks, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:

    • Attiva o disattiva CMEK: roles/cloudtasks.admin
    • Visualizza la chiave in uso: roles/cloudtasks.viewer

    Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

    Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Crea un keyring e una chiave Cloud KMS

Se hai già un keyring nella stessa regione delle tue risorse Cloud Tasks e vuoi utilizzare questa chiave e questo keyring, salta questa sezione. In caso contrario, segui queste istruzioni per creare la chiave e il portachiavi Cloud KMS.

  1. Crea un keyring.

  2. Crea una chiave per un keyring specificato.

Recuperare l'ID di una chiave Cloud KMS

L'ID risorsa di una chiave Cloud KMS è obbligatorio quando attivi CMEK per Cloud Tasks.

Console

  1. Nella console Google Cloud, vai alla pagina Gestione delle chiavi e seleziona la scheda Inventario chiavi.

    Vai a Inventario chiavi

  2. Per la chiave di cui stai recuperando l'ID risorsa, fai clic su Azioni.

  3. Fai clic su Copia nome risorsa.

    L'ID risorsa per la chiave viene copiato negli appunti. Il formato è simile al seguente:

    projects/PROJECT_NAME/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME

gcloud

  1. Elenca tutte le chiavi di un determinato mazzo di chiavi:

    gcloud kms keys list --keyring=KEY_RING --location=LOCATION --project=PROJECT_ID

    Sostituisci quanto segue:

    • KEY_RING: il nome del keyring
    • LOCATION: la regione del keyring
    • PROJECT_ID: l'ID del progetto che contiene il keyring

    L'output include l'ID chiave per ogni chiave. Ad esempio:

    NAME: projects/PROJECT_NAME/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME

Concedi all'agente di servizio Cloud Tasks l'accesso alla chiave

Devi concedere all'agente di servizio Cloud Tasks il ruolo di Cloud Identity and Access Management (IAM) Autore crittografia/decrittografia CryptoKey Cloud KMS per consentirgli di accedere alla chiave Cloud KMS:

Console

  1. Nella console Google Cloud, vai alla pagina Identity and Access Management.

    Vai a IAM

  2. Seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.

  3. Trova l'account di servizio Cloud Tasks digitando cloudtasks.iam.gserviceaccount.com nel filtro.

    L'account di servizio Cloud Tasks ha il formato service-PROJECT_NUMBER@gcp-sa-cloudtasks.iam.gserviceaccount.com.

  4. Fai clic sull'icona a forma di matita Modifica amministratore.

  5. Nel riquadro che si apre, fai clic su Aggiungi un altro ruolo.

  6. Cerca e seleziona il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS.

  7. Fai clic su Salva.

gcloud 

gcloud kms keys add-iam-policy-binding KEY_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudtasks.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Sostituisci quanto segue:

  • KEY_ID: l'ID risorsa completo della chiave. Per istruzioni su come trovarlo, consulta Recupero dell'ID di una chiave Cloud KMS. Non includere un numero di versione della chiave. L'inclusione di un numero di versione della chiave potrebbe causare il fallimento di questo comando.

  • PROJECT_NUMBER: il numero del tuo progetto Google Cloud. Puoi trovare il numero del progetto nella pagina Welcome della console Google Cloud o eseguendo il seguente comando:

    PROJECT=$(gcloud info --format='value(config.project)')
gcloud projects describe ${PROJECT} --format="value(projectNumber)"

A condizione che l'agente di servizio abbia il ruolo roles/cloudkms.cryptoKeyEncrypterDecrypter, un'attività nella regione con CMEK abilitato può criptare e decriptare i propri dati utilizzando la chiave CMEK. Se revochi questo ruolo o se disattivi o distruggi la chiave CMEK, non potrai accedere ai dati. In questo documento, consulta Disattivare CMEK per Cloud Tasks.

Attivare CMEK per Cloud Tasks

Puoi abilitare CMEK utilizzando l'API o gcloud CLI. Per Cloud Tasks, la chiave CMEK è attivata per regione. Non è abilitato dalle singole attività. Quando la chiave CMEK è abilitata per una determinata regione in Cloud Tasks, tutte le attività in quella regione sono protette dalla chiave CMEK.

gcloud

Per attivare CMEK utilizzando Google Cloud CLI, utilizza il seguente comando:

gcloud tasks cmek-config update --location=LOCATION --kms-key-name=KEY_ID

Sostituisci quanto segue:

  • LOCATION: la regione della risorsa Cloud Tasks
  • KEY_ID: l'ID risorsa completo della chiave. Per istruzioni su come trovarlo, consulta Recupero dell'ID di una chiave Cloud KMS. Non includere un numero di versione della chiave. L'inclusione di un numero di versione della chiave potrebbe causare l'errore di questo comando.

REST

Puoi attivare CMEK chiamando il metodo Update CMEK config. L'API Cloud Tasks fornisce il metodo Update CMEK config sia nelle API REST sia nelle API RPC:

Per verificare che la chiave sia stata attivata correttamente, segui le istruzioni riportate nella sezione Identificare la chiave in uso.

Attivare per le attività preesistenti

CMEK non protegge le attività create prima dell'attivazione di CMEK per Cloud Tasks. Per proteggere le attività preesistenti con CMEK:

  1. Attiva CMEK (vedi la sezione sull'attivazione di CMEK).

  2. Sostituisci le attività preesistenti. Esistono due modi principali per farlo. Il modo migliore per farlo dipende da ciò che è importante per te:

    • Esecuzione continua: per garantire l'esecuzione continua ("almeno una volta" inviata), puoi prima ricreare l'attività e poi eliminare quella preesistente dopo aver verificato che la nuova attività funzioni come previsto. Ciò può comportare esecuzioni duplicate, perché sia l'attività precedente sia quella nuova potrebbero essere eseguite prima di eliminare l'attività precedente.

    • Prevenzione dei duplicati: per evitare esecuzioni duplicate ("al massimo una volta" inviata), puoi prima eliminare la vecchia attività e poi ricrearla. Ciò può comportare la perdita di esecuzioni a causa del tempo trascorso tra l'eliminazione della vecchia attività e la creazione di quella nuova.

Identifica la chiave in uso

Per identificare la chiave CMEK in uso per le risorse Cloud Tasks, esegui il seguente comando gcloud CLI nel terminale:

gcloud tasks cmek-config describe --location=LOCATION

Sostituisci LOCATION con la regione delle tue risorse Cloud Tasks.

Se non viene visualizzato alcun output, significa che CMEK non è configurato per la località specificata.

Disattivare CMEK per Cloud Tasks

Puoi disattivare CMEK utilizzando l'API o gcloud CLI. Per Cloud Tasks, CMEK è disabilitato per regione. Non viene disattivato dalle singole attività. Quando CMEK è disabilitato per una determinata regione in Cloud Tasks, le attività in quella regione non sono protette da CMEK.

La disattivazione di CMEK influisce sulle attività create in futuro, non su quelle create nel passato:

  • Nuove attività: non sono protette da CMEK

  • Attività esistenti: le attività create quando CMEK era abilitato rimangono criptate e continuano a essere eseguite finché la chiave Cloud KMS rimane attiva.

gcloud

Per disattivare CMEK utilizzando Google Cloud CLI, utilizza il seguente comando:

gcloud tasks cmek-config update --location=LOCATION --clear-kms-key

Sostituisci quanto segue:

  • LOCATION: la regione della risorsa Cloud Tasks.

REST

Puoi disattivare CMEK chiamando il metodo Update CMEK config e cancellando la chiave Cloud KMS sostituendola con una stringa vuota. L'API Cloud Tasks fornisce il metodo Update CMEK config sia nelle API REST sia nelle API RPC:

Rimuovi Cloud KMS

Se vuoi revocare l'accesso ai dati alle tue attività, puoi rimuovere Cloud KMS. Puoi procedere in tre modi:

  • Disattiva la chiave di crittografia gestita dal cliente. La disattivazione di una chiave CMEK sospende l'accesso a tutti i dati protetti da quella versione della chiave mentre la chiave è disattivata. Non puoi accedere o creare attività con una chiave disattivata. Il tentativo di eseguire un'attività protetta da CMEK mentre la chiave è disabilitata genera un errore UNKNOWN in Cloud Logging. Se vuoi, puoi riattivare la chiave in un secondo momento. Quando disattivi una chiave di crittografia gestita dal cliente, l'applicazione della modifica può richiedere fino a 5 minuti.

  • Distruggi la chiave di crittografia gestita dal cliente. L'eliminazione di una chiave CMEK sospende definitivamente l'accesso a tutti i dati protetti dalla versione della chiave. Non puoi accedere o creare attività con una chiave che è stata eliminata. Se un'attività è stata creata quando CMEK era attivato e la chiave viene successivamente eliminata, l'attività viene criptata con la chiave, ma non può essere eseguita. Se la task tenta di essere eseguita, Cloud Logging registra un errore UNKNOWN. Quando elimini una chiave di crittografia gestita dal cliente, l'applicazione della modifica può richiedere fino a 5 minuti.

  • Rimuovi il ruolo IAM cloudkms.cryptoKeyEncrypterDecrypter dall'agente di servizio Cloud Tasks. Ciò influisce su tutte le attività nel progetto Google Cloud che supportano la crittografia utilizzando CMEK. Non puoi creare nuove attività integrate con CMEK o visualizzare risorse criptate con CMEK.

Anche se nessuna di queste operazioni garantisce la revoca immediata dell'accesso, in genere le modifiche all'IAM vengono applicate più rapidamente. Per ulteriori informazioni, consulta Coerenza delle risorse Cloud KMS e Propagazione della modifica di accesso.

Prezzi

Questa integrazione non comporta costi aggiuntivi oltre alle operazioni sulle chiavi, che vengono fatturate al tuo progetto Google Cloud. Per informazioni sui prezzi attuali, consulta Prezzi di Cloud KMS.