Chiavi di crittografia gestite dal cliente

Per impostazione predefinita, Google Cloud cripta automaticamente i dati quando sono rest utilizzando chiavi di crittografia. gestiti da Google. Se hai requisiti normativi o di conformità specifici per le chiavi che proteggono i tuoi dati, puoi utilizzare le chiavi gestite dal cliente chiavi di crittografia (CMEK) per delle tue istanze Vertex AI Workbench.

In questa pagina vengono descritti alcuni vantaggi e limitazioni specifici dell'utilizzo di CMEK con Vertex AI Workbench e mostra come configurare una nuova istanza di Vertex AI Workbench per utilizzare CMEK.

Per informazioni su CMEK in generale, incluso quando e perché abilitarla, consulta Chiavi di crittografia gestite dal cliente.

Vantaggi di CMEK

In generale, CMEK è utile se è necessario il controllo completo sulle chiavi utilizzate per crittografare i dati. Con CMEK, puoi gestire le tue chiavi all'interno Cloud Key Management Service. Ad esempio, puoi ruotare o disabilitare una chiave oppure impostare e configurare una pianificazione di rotazione utilizzando l'API Cloud KMS.

Quando esegui un'istanza di Vertex AI Workbench, l'istanza viene eseguita su una macchina virtuale (VM) gestita da Vertex AI Workbench. Quando attivi o CMEK per un'istanza di Vertex AI Workbench, Vertex AI Workbench usa la chiave che definisci, anziché una chiave gestita da Google, per criptare sui dischi di avvio della VM.

La chiave CMEK non cripta i metadati, come il nome e la regione dell'istanza, associati alla tua istanza di Vertex AI Workbench. I metadati associati a Le istanze di Vertex AI Workbench vengono sempre usando il meccanismo di crittografia predefinito di Google.

Limitazioni di CMEK

Per ridurre la latenza ed evitare casi in cui le risorse dipendono distribuiti su più domini in errore, Google consiglia di proteggere le risorse Istanze di Vertex AI Workbench con chiavi nella stessa località.

• Puoi criptare le istanze di Vertex AI Workbench regionali utilizzando le chiavi nella stessa posizione o in quella globale. Ad esempio: puoi criptare i dati in un disco nella zona us-west1-a utilizzando una chiave in us-west1 o global.
• Puoi criptare le istanze globali utilizzando le chiavi in qualsiasi località.
• Configurare CMEK per Vertex AI Workbench non configura automaticamente CMEK per altri prodotti Google Cloud che utilizzi. Per usare CMEK per criptare in altri prodotti Google Cloud, devi completare configurazione.

Configura CMEK per la tua istanza di Vertex AI Workbench

Le seguenti sezioni descrivono come creare un il keyring e la chiave in Cloud Key Management Service, concedi le autorizzazioni di crittografia e decriptazione dell'account di servizio per la tua chiave, e creerai un'istanza di Vertex AI Workbench che utilizza CMEK.

Prima di iniziare

Ti consigliamo di utilizzare una configurazione che supporti una separazione delle doveri. Per configurare CMEK per Vertex AI Workbench, puoi usare due progetti Google Cloud separati:

• Un progetto Cloud KMS: un progetto per la gestione della chiave di crittografia
• Un progetto Vertex AI Workbench: un progetto per accedere delle istanze di Vertex AI Workbench e interagendo con Altri prodotti Google Cloud di cui hai bisogno per il tuo caso d'uso

In alternativa, puoi utilizzare un singolo progetto Google Cloud. Per farlo, usa lo stesso progetto per tutte le attività seguenti.

configura il progetto Cloud KMS

1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

4. Attiva l'API Cloud KMS.

   Abilita l'API

5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

6. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

7. Attiva l'API Cloud KMS.

   Abilita l'API

configura il progetto Vertex AI Workbench

1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

4. Attiva Notebooks API.

   Abilita l'API

5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

6. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

7. Attiva Notebooks API.

   Abilita l'API

Configura Google Cloud CLI

gcloud CLI è obbligatorio per alcuni passaggi in questa pagina e facoltativo per gli altri.

Installa Google Cloud CLI, quindi initialize eseguendo questo comando:

gcloud init

Crea un keyring e una chiave

Quando crei un keyring e una chiave, tieni presente i seguenti requisiti:

• Quando scegli la posizione del keyring, utilizza global o la posizione in cui si trova la tua istanza di Vertex AI Workbench lo saranno.

• Assicurati di creare il keyring e la chiave nel progetto Cloud KMS.

Per creare un keyring e una chiave, consulta Crea chiavi di crittografia simmetriche.

Concedi le autorizzazioni a Vertex AI Workbench

Per utilizzare CMEK per la tua istanza di Vertex AI Workbench, devi concedere all'istanza di Vertex AI Workbench l'autorizzazione criptare e decriptare i dati con la tua chiave. Concedi questa autorizzazione a l'agente di servizio del progetto e Account di servizio Compute Engine.

Per trovare gli account specifici per il tuo progetto Vertex AI Workbench, la console Google Cloud.

1. Nella console Google Cloud, vai alla pagina IAM.

   Vai a IAM

2. Seleziona Includi concessioni dei ruoli fornite da Google.

3. Trova i membri che corrispondono ai seguenti formati di indirizzi email. Marca degli indirizzi email e utilizzarli nei passaggi successivi.

   • L'indirizzo email dell'agente di servizio del tuo progetto ha il seguente aspetto:

     service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com
     

   • L'indirizzo email dell'account di servizio Compute Engine è simile le seguenti:

     service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
     

   Sostituisci NOTEBOOKS_PROJECT_NUMBER con il progetto numero per il tuo progetto Vertex AI Workbench.

   Per concedere a questi account l'autorizzazione a criptare e decriptare i dati utilizzando la chiave, puoi utilizzare la console Google Cloud o Google Cloud CLI.

   Console

   1. Nella console Google Cloud, vai alla pagina Chiavi di crittografia.

      Vai a Chiavi di crittografia

   2. Seleziona il progetto Cloud KMS.

   3. Fai clic sul nome del keyring creato in Crea un keyring e una chiave. La Si apre la pagina Dettagli keyring.

   4. Seleziona la casella di controllo per la chiave che hai creato in Crea un keyring e una chiave. Se non è già presente un riquadro informativo etichettato con il nome della chiave apri, fai clic su Mostra riquadro informazioni.

   5. Nel riquadro delle informazioni, fai clic su person_add Aggiungi membro. Si apre la finestra di dialogo Aggiungi membri a "KEY_NAME". In questo procedi nel seguente modo:

      1. Nel campo Nuovi membri, inserisci il nome dell'agente di servizio del progetto indirizzo email:

         service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com
         

      2. Nell'elenco Seleziona un ruolo, fai clic su Cloud KMS. quindi seleziona Ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS.

      3. Fai clic su Salva.

   6. Ripeti questi passaggi per l'agente di servizio Compute Engine:

      service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
      

   gcloud

   1. Concedi all'agente di servizio del progetto l'autorizzazione per criptare e per decriptare i dati utilizzando la tua chiave, esegui questo comando:

      gcloud kms keys add-iam-policy-binding KEY_NAME \
        --keyring=KEY_RING_NAME \
        --location=REGION \
        --project=KMS_PROJECT_ID \
        --member=serviceAccount:service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com \
        --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
      

      Sostituisci quanto segue:

      • KEY_NAME: il nome della chiave creato in Crea un keyring e una chiave
      • KEY_RING_NAME: il keyring che vuoi creato in Crea un keyring e una chiave
      • REGION: la regione in cui hai creato key ring
      • KMS_PROJECT_ID: l'ID del tuo Progetto Cloud KMS
      • NOTEBOOKS_PROJECT_NUMBER: il numero del progetto del progetto Vertex AI Workbench, che hai notato in nella sezione precedente come parte dell'indirizzo email di un account di servizio.

   2. Concedere l'autorizzazione per l'account di servizio Compute Engine Per criptare e decriptare i dati utilizzando la tua chiave, esegui questo comando:

      gcloud kms keys add-iam-policy-binding KEY_NAME \
        --keyring=KEY_RING_NAME \
        --location=REGION \
        --project=KMS_PROJECT_ID \
        --member=serviceAccount:service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \
        --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
      

Crea un'istanza di Vertex AI Workbench con CMEK

Dopo aver concesso l'istanza di Vertex AI Workbench autorizzazione per criptare e decriptare i dati con la tua chiave, puoi creare un'istanza di Vertex AI Workbench che cripta i dati utilizzando questa chiave.

L'esempio seguente mostra come criptare e decriptare i dati la tua chiave con la console Google Cloud.

Per creare un'istanza di Vertex AI Workbench con chiave di crittografia gestita dal cliente:

1. Nella console Google Cloud, vai alla pagina Istanze.

   Vai a Istanze

2. Fai clic su add_box Crea nuovo.

3. Nella finestra di dialogo Nuova istanza, fai clic su Opzioni avanzate.

4. Nella finestra di dialogo Crea istanza, nella sezione Details, fornisci le seguenti informazioni per la nuova istanza:

   • Nome: un nome per la nuova istanza
   • Regione: la regione in cui si trovano la chiave e il keyring
   • Zona: una zona all'interno della regione selezionata

5. Nella sezione Dischi, in Crittografia, Seleziona Chiave di crittografia gestita dal cliente (CMEK).

6. Fai clic su Seleziona una chiave gestita dal cliente.

   • Se la chiave gestita dal cliente che vuoi utilizzare è in elenco, selezionalo.

   • Se la chiave gestita dal cliente che vuoi utilizzare non è nell'elenco, inserisci l'ID risorsa per la chiave gestita dal cliente. La risorsa L'ID per la tua chiave gestita dal cliente è simile al seguente:

     projects/NOTEBOOKS_PROJECT_NUMBER/locations/global/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
     

     Sostituisci quanto segue:

     • NOTEBOOKS_PROJECT_NUMBER: l'ID del tuo Progetto Vertex AI Workbench
     • KEY_RING_NAME: il keyring che hai creato in Creare un keyring e una chiave
     • KEY_NAME: il nome della chiave creato in Crea un keyring e una chiave

7. Completa il resto della finestra di dialogo per la creazione dell'istanza e fai clic su Crea.

Passaggi successivi

• Scopri di più su CMEK su Google Cloud.
• Scopri come utilizzare CMEK con altri servizi Google Cloud prodotti.