Chiavi di crittografia gestite dal cliente
Per impostazione predefinita, Google Cloud cripta automaticamente i dati quando sono at-rest utilizzando chiavi di crittografia gestite da Google. Se hai requisiti normativi o di conformità specifici relativi alle chiavi per la protezione dei dati, puoi utilizzare chiavi di crittografia gestite dal cliente (CMEK) per le tue istanze Vertex AI Workbench.
Questa pagina descrive alcuni vantaggi e limitazioni specifici dell'utilizzo di CMEK con Vertex AI Workbench e mostra come configurare una nuova istanza di Vertex AI Workbench per utilizzare CMEK.
Per informazioni su CMEK in generale, inclusi quando e perché abilitarla, vedi Chiavi di crittografia gestite dal cliente.
Vantaggi di CMEK
In generale, CMEK è più utile se hai bisogno del controllo completo sulle chiavi utilizzate per criptare i tuoi dati. Con CMEK, puoi gestire le chiavi in Cloud Key Management Service. Ad esempio, puoi ruotare o disabilitare una chiave oppure configurare una pianificazione di rotazione utilizzando l'API Cloud KMS.
Quando esegui un'istanza di Vertex AI Workbench, l'istanza viene eseguita su una macchina virtuale (VM) gestita da Vertex AI Workbench. Quando abiliti CMEK per un'istanza di Vertex AI Workbench, Vertex AI Workbench utilizza la chiave designata, anziché una chiave gestita da Google, per criptare i dati sui dischi di avvio della VM.
La chiave CMEK non cripta i metadati, come il nome e la regione dell'istanza, associati alla tua istanza di Vertex AI Workbench. I metadati associati alle istanze di Vertex AI Workbench vengono sempre criptati utilizzando il meccanismo di crittografia predefinito di Google.
Limitazioni di CMEK
Per ridurre la latenza ed evitare i casi in cui le risorse dipendono da servizi distribuiti su più domini in errore, Google consiglia di proteggere le istanze Vertex AI Workbench a livello di regione con chiavi nella stessa località.
- Puoi criptare le istanze Vertex AI Workbench a livello di regione
utilizzando chiavi nella stessa località o in quella globale. Ad esempio, puoi criptare i dati in un disco nella zona
us-west1-a
utilizzando una chiave inus-west1
oglobal
. - Puoi criptare le istanze globali utilizzando chiavi in qualsiasi località.
- La configurazione di CMEK per Vertex AI Workbench non configura automaticamente CMEK per altri prodotti Google Cloud che utilizzi. Per utilizzare CMEK per criptare i dati in altri prodotti Google Cloud, devi completare una configurazione aggiuntiva.
Configura CMEK per la tua istanza Vertex AI Workbench
Le sezioni seguenti descrivono come creare un keyring e una chiave in Cloud Key Management Service, concedere le autorizzazioni di crittografia e decriptazione dell'account di servizio per la chiave e creare un'istanza di Vertex AI Workbench che utilizzi CMEK.
Prima di iniziare
Ti consigliamo di utilizzare una configurazione che supporti una separazione dei compiti. Per configurare CMEK per Vertex AI Workbench, puoi utilizzare due progetti Google Cloud separati:
- Un progetto Cloud KMS: un progetto per la gestione della chiave di crittografia
- Un progetto Vertex AI Workbench: un progetto per accedere alle istanze di Vertex AI Workbench e interagire con qualsiasi altro prodotto Google Cloud necessario per il tuo caso d'uso.
In alternativa, puoi utilizzare un singolo progetto Google Cloud. A questo scopo, utilizza lo stesso progetto per tutte le attività seguenti.
Configura il progetto Cloud KMS
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva l'API Cloud KMS.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva l'API Cloud KMS.
Configura il progetto Vertex AI Workbench
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva Notebooks API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva Notebooks API.
Configura Google Cloud CLI
gcloud CLI è obbligatoria per alcuni passaggi in questa pagina e facoltativa per altri.Installa Google Cloud CLI, quindi initialize eseguendo questo comando:
gcloud init
Crea un keyring e una chiave
Quando crei un keyring e una chiave, tieni presente i seguenti requisiti:
Quando scegli la posizione del keyring, utilizza
global
o la località in cui si troverà l'istanza di Vertex AI Workbench.Assicurati di creare il keyring e la chiave nel progetto Cloud KMS.
Per creare un keyring e una chiave, consulta Creare chiavi di crittografia simmetriche.
Concedi le autorizzazioni di Vertex AI Workbench
Per utilizzare CMEK per l'istanza Vertex AI Workbench, devi concedere all'istanza Vertex AI Workbench l'autorizzazione per criptare e decriptare i dati utilizzando la chiave. Concedi questa autorizzazione all'agente di servizio del progetto e all'account di servizio Compute Engine.
Per trovare gli account specifici per il tuo progetto Vertex AI Workbench, utilizza la console Google Cloud.
Nella console Google Cloud, vai alla pagina IAM.
Seleziona Includi concessioni di ruoli fornite da Google.
Trova i membri che corrispondono ai seguenti formati di indirizzi email. Prendi nota degli indirizzi email e utilizzali nei passaggi seguenti.
L'indirizzo email dell'agente di servizio del tuo progetto è simile al seguente:
service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com
L'indirizzo email dell'account di servizio Compute Engine è simile al seguente:
service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
Sostituisci
NOTEBOOKS_PROJECT_NUMBER
con il numero di progetto per il progetto Vertex AI Workbench.Per concedere a questi account l'autorizzazione a criptare e decriptare i dati utilizzando la chiave, puoi utilizzare la console Google Cloud o Google Cloud CLI.
Console
Nella console Google Cloud, vai alla pagina Chiavi di crittografia.
Seleziona il progetto Cloud KMS.
Fai clic sul nome del keyring creato in Creare un keyring e una chiave. Si apre la pagina Dettagli del keyring.
Seleziona la casella di controllo per la chiave che hai creato in Creare un keyring e una chiave. Se non è già aperto un riquadro informazioni con il nome della chiave, fai clic su Mostra riquadro informazioni.
Nel riquadro delle informazioni, fai clic su
Aggiungi membro. Viene visualizzata la finestra di dialogo Aggiungi membri a "KEY_NAME". In questa finestra di dialogo, procedi nel seguente modo:Nel campo Nuovi membri, inserisci l'indirizzo email dell'agente di servizio del progetto:
service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com
Nell'elenco Seleziona un ruolo, fai clic su Cloud KMS, quindi seleziona il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS.
Fai clic su Salva.
Ripeti questi passaggi per l'agente di servizio Compute Engine:
service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
gcloud
Per concedere all'agente di servizio del progetto l'autorizzazione per criptare e decriptare i dati utilizzando la chiave, esegui questo comando:
gcloud kms keys add-iam-policy-binding KEY_NAME \ --keyring=KEY_RING_NAME \ --location=REGION \ --project=KMS_PROJECT_ID \ --member=serviceAccount:service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave creata in Creare un keyring e una chiaveKEY_RING_NAME
: il keyring creato in Creare un keyring e una chiaveREGION
: la regione in cui hai creato il keyringKMS_PROJECT_ID
: l'ID del tuo progetto Cloud KMSNOTEBOOKS_PROJECT_NUMBER
: il numero del progetto Vertex AI Workbench, che hai annotato nella sezione precedente come parte dell'indirizzo email di un account di servizio.
Per concedere all'account di servizio Compute Engine l'autorizzazione per criptare e decriptare i dati utilizzando la tua chiave, esegui questo comando:
gcloud kms keys add-iam-policy-binding KEY_NAME \ --keyring=KEY_RING_NAME \ --location=REGION \ --project=KMS_PROJECT_ID \ --member=serviceAccount:service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Crea un'istanza di Vertex AI Workbench con CMEK
Dopo aver concesso all'istanza Vertex AI Workbench l'autorizzazione per criptare e decriptare i dati utilizzando la chiave, puoi creare un'istanza di Vertex AI Workbench che cripta i dati usando questa chiave.
L'esempio seguente mostra come criptare e decriptare i dati utilizzando la chiave mediante la console Google Cloud.
Per creare un'istanza di Vertex AI Workbench con una chiave di crittografia gestita dal cliente:
Nella console Google Cloud, vai alla pagina Istanze.
Fai clic su
Crea nuovo.Nella finestra di dialogo Nuova istanza, fai clic su Opzioni avanzate.
Nella finestra di dialogo Crea istanza, nella sezione Dettagli, fornisci le seguenti informazioni per la nuova istanza:
- Nome: un nome per la nuova istanza
- Regione: la regione in cui si trovano la chiave e il keyring
- Zona: una zona all'interno della regione selezionata.
Nella sezione Dischi, in Crittografia, seleziona Chiave di crittografia gestita dal cliente (CMEK).
Fai clic su Seleziona una chiave gestita dal cliente.
- Se la chiave gestita dal cliente che vuoi utilizzare è presente nell'elenco, selezionala.
Se la chiave gestita dal cliente che vuoi utilizzare non è nell'elenco, inserisci l'ID risorsa per la chiave gestita dal cliente. L'ID risorsa per la chiave gestita dal cliente è simile al seguente:
projects/NOTEBOOKS_PROJECT_NUMBER/locations/global/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
Sostituisci quanto segue:
NOTEBOOKS_PROJECT_NUMBER
: l'ID del tuo progetto Vertex AI WorkbenchKEY_RING_NAME
: il keyring creato nella sezione Creare un keyring e una chiaveKEY_NAME
: il nome della chiave creata in Creare un keyring e una chiave
Completa il resto della finestra di dialogo di creazione dell'istanza, quindi fai clic su Crea.
Passaggi successivi
- Scopri di più su CMEK su Google Cloud.
- Scopri come utilizzare CMEK con altri prodotti Google Cloud.