Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzo delle chiavi di crittografia gestite dal cliente

Per impostazione predefinita, Google Cloud cripta automaticamente i dati quando sono rest utilizzando chiavi di crittografia. gestiti da Google. Se hai requisiti normativi o di conformità specifici per le chiavi che proteggono i tuoi dati, puoi utilizzare le chiavi gestite dal cliente chiavi di crittografia (CMEK) per delle tue istanze di blocchi note gestiti da Vertex AI Workbench.

Questa pagina descrive alcuni vantaggi e limitazioni specifici dell'utilizzo di CMEK con i notebook gestiti e mostra come configurare una nuova istanza di notebook gestiti per l'utilizzo di CMEK.

Per informazioni su CMEK in generale, incluso quando e perché abilitarla, consulta Chiavi di crittografia gestite dal cliente.

Vantaggi di CMEK

In generale, CMEK è più utile se hai bisogno del controllo totale sulle chiavi utilizzate per criptare i tuoi dati. Con CMEK, puoi gestire le tue chiavi all'interno Cloud Key Management Service. Ad esempio, puoi ruotare o disattivare una chiave oppure impostare una pianificazione di rotazione utilizzando l'API Cloud KMS.

Quando esegui un'istanza di Notebooks gestita, l'istanza viene eseguita in un'infrastruttura di calcolo gestita da Google. Quando attivi la chiave CMEK per un'istanza di notebook gestito, Vertex AI Workbench utilizza la chiave che hai designato, anziché una chiave gestita da Google, per criptare i dati utente.

La chiave CMEK non cripta i metadati, come il nome e la regione dell'istanza, associati alla tua istanza di blocchi note gestiti. I metadati associati alle istanze di notebook gestite sono sempre criptati utilizzando il meccanismo di crittografia predefinito di Google.

Limitazioni di CMEK

Per ridurre la latenza ed evitare casi in cui le risorse dipendono distribuiti su più domini in errore, Google consiglia di proteggere le risorse di blocchi note gestiti con chiavi nella stessa località.

Puoi criptare le istanze di blocchi note gestiti a livello di regione utilizzando le chiavi nella stessa posizione o in quella globale. Ad esempio, puoi criptare i dati utente nella regione us-west1 utilizzando una chiave in us-west1 o global.
La configurazione di CMEK per i notebook gestiti non configura automaticamente CMEK per gli altri prodotti Google Cloud che utilizzi. Per usare CMEK per criptare in altri prodotti Google Cloud, devi completare configurazione.

Configura CMEK per l'istanza di blocchi note gestiti

Le sezioni seguenti descrivono come creare un portachiavi e una chiave in Cloud Key Management Service, concedere le autorizzazioni di crittografia e decrittografia dell'account di servizio per la chiave e creare un'istanza di notebook gestita che utilizza CMEK.

Prima di iniziare

Ti consigliamo di utilizzare una configurazione che supporti una separazione dei compiti. Per configurare CMEK per i blocchi note gestiti, puoi utilizzare due progetti Google Cloud separati:

Un progetto Cloud KMS: un progetto per la gestione della chiave di crittografia
Un progetto di blocchi note gestiti: un progetto per accedere di blocchi note gestiti, e interagendo con Altri prodotti Google Cloud di cui hai bisogno per il tuo caso d'uso

In alternativa, puoi utilizzare un singolo progetto Google Cloud. Per farlo, usa lo stesso progetto per tutte le attività seguenti.

Configura il progetto Cloud KMS

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Cloud KMS API.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Cloud KMS API.

Enable the API

Configura il progetto di notebook gestiti

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Notebooks API.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Notebooks API.

Enable the API

Configura Google Cloud CLI

L'interfaccia a riga di comando gcloud è obbligatoria per alcuni passaggi di questa pagina e facoltativa per altri.

Install the Google Cloud CLI, then initialize it by running the following command:

gcloud init

Creare un keyring e una chiave

Quando crei un mazzo di chiavi e una chiave, tieni presente i seguenti requisiti:

Quando scegli la posizione del keyring, utilizza global o la posizione in cui si troverà l'istanza di Notebook gestiti.
Assicurati di creare il keyring e la chiave nel progetto Cloud KMS.

Per creare un keyring e una chiave, consulta Crea chiavi di crittografia simmetriche.

Concedi le autorizzazioni per i blocchi note gestiti

Se configuri l'istanza con accesso singolo utente, devi concedere all'autorizzazione del progetto dell'istanza di notebook gestita di criptare e decriptare i dati utilizzando la tua chiave. Concedi questa autorizzazione all'agente di servizio del tuo progetto. L'indirizzo email di questo agente di servizio ha il seguente aspetto:

service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com

Sostituisci NOTEBOOKS_PROJECT_NUMBER con numero progetto per il progetto della tua istanza di blocchi note gestiti.

Prendi nota dell'indirizzo email dell'agente di servizio, Lo utilizzerai nei seguenti passaggi per concedere ai tuoi autorizzazione per il progetto dell'istanza di blocchi note gestiti per criptare e decriptare i dati utilizzando la tua chiave. Puoi concedere l'autorizzazione utilizzando la console Google Cloud oppure con Google Cloud CLI.

Console

Nella console Google Cloud, vai alla pagina Gestione delle chiavi.

Vai a Gestione delle chiavi
Seleziona il progetto Cloud KMS.
Fai clic sul nome del keyring che hai creato in Creare un keyring e una chiave. Viene visualizzata la pagina Dettagli keyring.
Seleziona la casella di controllo per la chiave che hai creato in Crea un keyring e una chiave. Se un riquadro informazioni etichettato con il nome della chiave non è già aperto, fai clic su Mostra riquadro informazioni.
Nel riquadro delle informazioni, fai clic su Aggiungi membro. Viene visualizzata la finestra di dialogo Aggiungi membri a "KEY_NAME". In questo procedi nel seguente modo:
1. Nel campo Nuovi membri, inserisci l'indirizzo email dell'agente di servizio che hai annotato nella sezione precedente.
2. Nell'elenco Seleziona un ruolo, fai clic su Cloud KMS. e seleziona Autore crittografia/decrittografia CryptoKey Cloud KMS ruolo.
3. Fai clic su Salva.

gcloud

Esegui il seguente comando per concedere all'agente di servizio l'autorizzazione per criptare e decriptare i dati utilizzando la tua chiave:
```
gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring=KEY_RING_NAME \
    --location=REGION \
    --project=KMS_PROJECT_ID \
    --member=serviceAccount:EMAIL_ADDRESS \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
```
Sostituisci quanto segue:
- KEY_NAME: il nome della chiave che hai creato in Creare un keyring e una chiave
- KEY_RING_NAME: il keyring che hai creato in Creare un keyring e una chiave
- REGION: la regione in cui hai creato la chiave suonare
- KMS_PROJECT_ID: l'ID del tuo progetto Cloud KMS
- EMAIL_ADDRESS: l'indirizzo email del agente di servizio che hai preso nota nella sezione precedente

Crea un'istanza di blocchi note gestiti con CMEK

Dopo aver concesso l'istanza di blocchi note gestiti l'autorizzazione per criptare e decriptare i dati usando la tua chiave puoi creare un'istanza di blocchi note gestiti che cripta i dati utilizzando questa chiave. Procedi nel seguente modo:

Nella console Google Cloud, vai alla pagina Blocchi note gestiti.

Vai a Blocchi note gestiti
Fai clic su Nuovo blocco note.
Nel campo Nome blocco note, inserisci un nome per l'istanza.
Fai clic sull'elenco Regione e seleziona una regione per l'istanza.
Fai clic su Impostazioni avanzate.
Nella sezione Crittografia dei dischi, seleziona Chiave di crittografia gestita dal cliente (CMEK).
Fai clic su Seleziona una chiave gestita dal cliente.
- Se la chiave gestita dal cliente che vuoi utilizzare è in elenco, selezionalo.
- Se la chiave gestita dal cliente che vuoi utilizzare non è nell'elenco, inserisci l'ID risorsa della chiave gestita dal cliente. La risorsa L'ID per la chiave gestita dal cliente ha il seguente aspetto:
```
  projects/NOTEBOOKS_PROJECT_NUMBER/locations/global/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
```
  Sostituisci quanto segue:
  - NOTEBOOKS_PROJECT_NUMBER: l'ID del progetto di notebook gestiti
  - KEY_RING_NAME: il keyring che hai creato in Creare un keyring e una chiave
  - KEY_NAME: il nome della chiave creato in Crea un keyring e una chiave
Completa il resto della finestra di dialogo Crea un notebook gestito in base alle tue esigenze.
Fai clic su Crea.
Vertex AI Workbench crea di un'istanza di blocchi note gestiti proprietà specificate e avvia automaticamente l'istanza. Quando è pronta per l'uso, Vertex AI Workbench attiva Apri il link JupyterLab.

Passaggi successivi

Scopri di più su CMEK su Google Cloud
Scopri come utilizzare CMEK con altri servizi Google Cloud prodotti