Per impostazione predefinita, Google Cloud cripta automaticamente i dati quando sono inattivi utilizzando chiavi di crittografia gestite da Google. Se hai requisiti normativi o di conformità specifici relativi alle chiavi che proteggono i tuoi dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per le tue istanze di blocchi note gestiti da Vertex AI Workbench.
Questa pagina descrive alcuni vantaggi e limitazioni specifici dell'utilizzo di CMEK con i blocchi note gestiti e mostra come configurare una nuova istanza di blocchi note gestiti per utilizzare CMEK.
Per informazioni su CMEK in generale, incluso quando e perché abilitarla, consulta Chiavi di crittografia gestite dal cliente.
Vantaggi di CMEK
In generale, CMEK è utile se hai bisogno del controllo completo sulle chiavi utilizzate per criptare i dati. Con CMEK, puoi gestire le tue chiavi all'interno di Cloud Key Management Service. Ad esempio, puoi ruotare o disabilitare una chiave oppure impostare una pianificazione di rotazione utilizzando l'API Cloud KMS.
Quando esegui un'istanza di blocchi note gestiti, l'istanza viene eseguita in un'infrastruttura di computing gestita da Google. Quando abiliti CMEK per un'istanza di blocchi note gestiti, Vertex AI Workbench utilizza la chiave da te designata, anziché una chiave gestita da Google, per criptare i dati utente.
La chiave CMEK non cripta i metadati, come il nome e la regione dell'istanza, associati all'istanza dei blocchi note gestiti. I metadati associati alle istanze di blocchi note gestiti vengono sempre criptati utilizzando il meccanismo di crittografia predefinito di Google.
Limitazioni di CMEK
Per ridurre la latenza ed evitare i casi in cui le risorse dipendano da servizi distribuiti su più domini in errore, Google consiglia di proteggere le istanze di blocchi note gestiti a livello di regione con chiavi nella stessa località.
- Puoi criptare le istanze di blocchi note gestiti a livello di regione
utilizzando chiavi nella stessa località o in quella globale. Ad esempio,
puoi criptare i dati utente nella regione
us-west1
utilizzando una chiave inus-west1
oglobal
. - La configurazione di CMEK per blocchi note gestiti non configura automaticamente CMEK per altri prodotti Google Cloud che utilizzi. Per utilizzare CMEK per criptare i dati in altri prodotti Google Cloud, devi completare un'ulteriore configurazione.
Configura CMEK per l'istanza di blocchi note gestiti
Le sezioni seguenti descrivono come creare un keyring e una chiave in Cloud Key Management Service, concedere le autorizzazioni di crittografia e decriptazione dell'account di servizio per la chiave e creare un'istanza di blocchi note gestiti che utilizza CMEK.
Prima di iniziare
Ti consigliamo di utilizzare una configurazione che supporti una separazione dei compiti. Per configurare CMEK per i blocchi note gestiti, puoi utilizzare due progetti Google Cloud separati:
- Un progetto Cloud KMS: un progetto per la gestione della chiave di crittografia
- Un progetto di blocchi note gestiti, un progetto per accedere a istanze di blocchi note gestiti e interagire con qualsiasi altro prodotto Google Cloud di cui hai bisogno per il tuo caso d'uso
In alternativa, puoi utilizzare un singolo progetto Google Cloud. Per farlo, utilizza lo stesso progetto per tutte le attività seguenti.
configura il progetto Cloud KMS
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva l'API Cloud KMS.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva l'API Cloud KMS.
Configura il progetto Blocchi note gestiti
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva Notebooks API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva Notebooks API.
Configura Google Cloud CLI
gcloud CLI è obbligatoria per alcuni passaggi in questa pagina e facoltativa per altri.Installa Google Cloud CLI, quindi initialize eseguendo questo comando:
gcloud init
Crea un keyring e una chiave
Quando crei un keyring e una chiave, tieni presente i seguenti requisiti:
Quando scegli la posizione del keyring, utilizza
global
o la località in cui si troverà l'istanza dei blocchi note gestiti.Assicurati di creare il keyring e la chiave nel progetto Cloud KMS.
Per creare un keyring e una chiave, consulta Creare chiavi di crittografia simmetriche.
Concedi le autorizzazioni per i blocchi note gestiti
Se configuri l'istanza con l'accesso con singolo utente, devi concedere l'autorizzazione al progetto dell'istanza di blocchi note gestiti per criptare e decriptare i dati utilizzando la tua chiave. Devi concedere questa autorizzazione all'agente di servizio del tuo progetto. L'indirizzo email di questo agente di servizio ha il seguente aspetto:
service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com
Sostituisci NOTEBOOKS_PROJECT_NUMBER
con il numero di progetto per il progetto della tua istanza di blocchi note gestiti.
Prendi nota dell'indirizzo email dell'agente di servizio, Lo utilizzerai nei passaggi seguenti per concedere l'autorizzazione al progetto dell'istanza di blocchi note gestiti a criptare e decriptare i dati utilizzando la tua chiave. Puoi concedere l'autorizzazione utilizzando la console Google Cloud o Google Cloud CLI.
Console
Nella console Google Cloud, vai alla pagina Chiavi di crittografia.
Seleziona il progetto Cloud KMS.
Fai clic sul nome del keyring creato in Crea un keyring e una chiave. Viene visualizzata la pagina Dettagli keyring.
Seleziona la casella di controllo per la chiave che hai creato in Crea un keyring e una chiave. Se non è già aperto un riquadro informativo etichettato con il nome della chiave, fai clic su Mostra riquadro informazioni.
Nel riquadro delle informazioni, fai clic su
Aggiungi membro. Si apre la finestra di dialogo Aggiungi membri a "KEY_NAME". In questa finestra di dialogo, procedi nel seguente modo:Nel campo Nuovi membri, inserisci l'indirizzo email dell'agente di servizio di cui hai preso nota nella sezione precedente.
Nell'elenco Seleziona un ruolo, fai clic su Cloud KMS, quindi seleziona il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS.
Fai clic su Salva.
gcloud
Esegui questo comando per concedere all'agente di servizio l'autorizzazione a criptare e decriptare i dati utilizzando la tua chiave:
gcloud kms keys add-iam-policy-binding KEY_NAME \ --keyring=KEY_RING_NAME \ --location=REGION \ --project=KMS_PROJECT_ID \ --member=serviceAccount:EMAIL_ADDRESS \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave che hai creato in Crea un keyring e una chiaveKEY_RING_NAME
: il keyring che hai creato in Crea un keyring e una chiaveREGION
: la regione in cui hai creato il keyringKMS_PROJECT_ID
: l'ID del tuo progetto Cloud KMSEMAIL_ADDRESS
: l'indirizzo email dell'agente di servizio di cui hai preso nota nella sezione precedente
Crea un'istanza di blocchi note gestiti con CMEK
Dopo aver concesso all'istanza di blocchi note gestiti l'autorizzazione per criptare e decriptare i dati utilizzando la tua chiave, puoi creare un'istanza di blocchi note gestiti che cripta i dati utilizzando questa chiave. Segui questi passaggi:
Nella console Google Cloud, vai alla pagina Blocchi note gestiti.
Fai clic su
Nuovo blocco note.Nel campo Nome blocco note, inserisci un nome per l'istanza.
Fai clic sull'elenco Regione e seleziona una regione per l'istanza.
Fai clic su Impostazioni avanzate.
Nella sezione Crittografia del disco, seleziona Chiave di crittografia gestita dal cliente (CMEK).
Fai clic su Seleziona una chiave gestita dal cliente.
Se la chiave gestita dal cliente che vuoi utilizzare è in elenco, selezionala.
Se la chiave gestita dal cliente che vuoi utilizzare non è nell'elenco, inserisci l'ID risorsa per la chiave gestita dal cliente. L'ID risorsa per la chiave gestita dal cliente ha il seguente aspetto:
projects/NOTEBOOKS_PROJECT_NUMBER/locations/global/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
Sostituisci quanto segue:
NOTEBOOKS_PROJECT_NUMBER
: l'ID del tuo progetto di blocchi note gestitiKEY_RING_NAME
: il keyring che hai creato in Crea un keyring e una chiaveKEY_NAME
: il nome della chiave che hai creato in Crea un keyring e una chiave
Completa il resto della finestra di dialogo Crea un blocco note gestito in base alle tue esigenze.
Fai clic su Crea.
Vertex AI Workbench crea un'istanza di blocchi note gestiti in base alle proprietà specificate e avvia automaticamente l'istanza. Quando l'istanza è pronta per l'uso, Vertex AI Workbench attiva un link Apri JupyterLab.
Passaggi successivi
Scopri di più su CMEK su Google Cloud