Chiavi di crittografia gestite dal cliente
Per impostazione predefinita, Google Cloud cripta automaticamente i dati quando sono rest utilizzando chiavi di crittografia. gestiti da Google. Se hai requisiti normativi o di conformità specifici per le chiavi che proteggono i tuoi dati, puoi utilizzare le chiavi gestite dal cliente chiavi di crittografia (CMEK) per delle tue istanze di blocchi note gestiti dall'utente.
In questa pagina vengono descritti alcuni vantaggi e limitazioni specifici dell'utilizzo di CMEK con e i blocchi note gestiti dall'utente come configurare una nuova istanza di blocchi note gestiti dall'utente per utilizzare CMEK.
Per informazioni su CMEK in generale, incluso quando e perché abilitarla, consulta Chiavi di crittografia gestite dal cliente.
Vantaggi di CMEK
In generale, CMEK è utile se è necessario il controllo completo sulle chiavi utilizzate per crittografare i dati. Con CMEK, puoi gestire le tue chiavi all'interno Cloud Key Management Service. Ad esempio, puoi ruotare o disabilitare una chiave oppure impostare e configurare una pianificazione di rotazione utilizzando l'API Cloud KMS.
Quando esegui un'istanza di blocchi note gestiti dall'utente, l'istanza viene eseguita su una macchina virtuale (VM) gestita da Vertex AI Workbench. Quando attivi CMEK per un'istanza di blocchi note gestiti dall'utente, Vertex AI Workbench usa la chiave che definisci, anziché una chiave gestita da Google, per criptare sui dischi di avvio della VM.
La chiave CMEK non cripta i metadati, come il nome e la regione dell'istanza, associati alla tua istanza di blocchi note gestiti dall'utente. I metadati associati a le istanze di blocchi note gestiti dall'utente sono sempre usando il meccanismo di crittografia predefinito di Google.
Limitazioni di CMEK
Per ridurre la latenza ed evitare casi in cui le risorse dipendono distribuiti su più domini in errore, Google consiglia di proteggere le risorse di blocchi note gestiti dall'utente con chiavi nella stessa località.
- Puoi criptare le istanze di blocchi note gestiti dall'utente a livello di regione
utilizzando le chiavi nella stessa posizione o in quella globale. Ad esempio:
puoi criptare i dati in un disco nella zona
us-west1-a
utilizzando una chiave inus-west1
oglobal
. - Puoi criptare le istanze globali utilizzando le chiavi in qualsiasi località.
- Configurare CMEK per i blocchi note gestiti dall'utente non configurano automaticamente CMEK per altri prodotti Google Cloud che utilizzi. Per usare CMEK per criptare in altri prodotti Google Cloud, devi completare configurazione.
Configura CMEK per l'istanza di blocchi note gestiti dall'utente
Le seguenti sezioni descrivono come creare un il keyring e la chiave in Cloud Key Management Service, concedi le autorizzazioni di crittografia e decriptazione dell'account di servizio per la tua chiave, e creerai un'istanza di blocchi note gestiti dall'utente che utilizza CMEK.
Prima di iniziare
Ti consigliamo di utilizzare una configurazione che supporti una separazione delle doveri. Per configurare CMEK per i blocchi note gestiti dall'utente, puoi utilizzare due progetti Google Cloud separati:
- Un progetto Cloud KMS: un progetto per la gestione della chiave di crittografia
- Un progetto di blocchi note gestiti dall'utente: un progetto per l'accesso di blocchi note gestiti dall'utente e interagire con Altri prodotti Google Cloud di cui hai bisogno per il tuo caso d'uso
In alternativa, puoi utilizzare un singolo progetto Google Cloud. Per farlo, usa lo stesso progetto per tutte le attività seguenti.
configura il progetto Cloud KMS
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva l'API Cloud KMS.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva l'API Cloud KMS.
Configura il progetto Blocchi note gestiti dall'utente
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva Notebooks API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
-
Attiva Notebooks API.
Configura Google Cloud CLI
gcloud CLI è obbligatorio per alcuni passaggi in questa pagina e facoltativo per gli altri.Installa Google Cloud CLI, quindi initialize eseguendo questo comando:
gcloud init
Crea un keyring e una chiave
Quando crei un keyring e una chiave, tieni presente i seguenti requisiti:
Quando scegli la posizione del keyring, utilizza
global
o la posizione in cui è presente l'istanza dei blocchi note gestiti dall'utente lo saranno.Assicurati di creare il keyring e la chiave nel progetto Cloud KMS.
Per creare un keyring e una chiave, consulta Crea chiavi di crittografia simmetriche.
Concedi le autorizzazioni per i blocchi note gestiti dall'utente
Per utilizzare CMEK per l'istanza di blocchi note gestiti dall'utente, devi concedere all'istanza di blocchi note gestiti dall'utente l'autorizzazione criptare e decriptare i dati con la tua chiave.
Determina l'account di servizio da utilizzare
I blocchi note gestiti dall'utente utilizzano account di servizio per eseguire di blocchi note gestiti dall'utente. Questo account di servizio è l'account di servizio Compute Engine predefinito e un account di servizio specificato al momento della creazione dell'istanza.
Se l'account di servizio è l'account di servizio Compute Engine predefinito, completa i seguenti passaggi per trovare l'indirizzo email dell'account di servizio:
Nella console Google Cloud, vai alla pagina IAM.
Trova l'entità con il nome
Compute Engine default service account
.Prendi nota dell'indirizzo email di questo account di servizio e utilizzalo nella segui questi passaggi per concedere l'autorizzazione a criptare e decriptare i dati utilizzando la chiave.
Concedi l'autorizzazione all'account di servizio
Concedi l'autorizzazione utilizzando la console Google Cloud oppure con Google Cloud CLI.
Console
Nella console Google Cloud, vai alla pagina Chiavi di crittografia.
Seleziona il progetto Cloud KMS.
Fai clic sul nome del keyring creato in Crea un keyring e una chiave. La Si apre la pagina Dettagli keyring.
Seleziona la casella di controllo per la chiave che hai creato in Crea un keyring e una chiave. Se non è già presente un riquadro informativo etichettato con il nome della chiave apri, fai clic su Mostra riquadro informazioni.
Nel riquadro delle informazioni, fai clic su
Aggiungi membro. Si apre la finestra di dialogo Aggiungi membri a "KEY_NAME". In questo procedi nel seguente modo:Nel campo Nuovi membri, inserisci l'indirizzo email dell'account di servizio per la tua istanza.
Nell'elenco Seleziona un ruolo, fai clic su Cloud KMS. quindi seleziona Ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS.
Fai clic su Salva.
gcloud
Esegui questo comando:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--keyring=KEY_RING_NAME \
--location=REGION \
--project=KMS_PROJECT_ID \
--member=serviceAccount:SERVICE_ACCOUNT \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Sostituisci quanto segue:
KEY_NAME
: il nome della chiave che hai creato in Creare un keyring e una chiaveKEY_RING_NAME
: il keyring che hai creato in Creare un keyring e una chiaveREGION
: la regione in cui hai creato la chiave suonareKMS_PROJECT_ID
: l'ID del tuo Progetto Cloud KMSSERVICE_ACCOUNT
: l'indirizzo email dell'account di servizio per la tua istanza
Crea un'istanza di blocchi note gestiti dall'utente con CMEK
Dopo aver concesso l'istanza di blocchi note gestiti dall'utente autorizzazione per criptare e decriptare i dati utilizzando la tua chiave, puoi creare un'istanza di blocchi note gestiti dall'utente che cripta i dati utilizzando questa chiave.
I seguenti esempi mostrano come criptare e decriptare i dati la tua chiave con la console Google Cloud con gcloud CLI.
Console
Per creare per un'istanza di blocchi note gestiti dall'utente di crittografia gestita dal cliente, segui questi passaggi:
Nella console Google Cloud, vai alla pagina Blocchi note gestiti dall'utente. Oppure vai a notebook.new (https://notebook.new) e salta il passaggio successivo.
Fai clic su
Nuovo blocco note. e seleziona Personalizza.Nella pagina Crea un blocco note gestito dall'utente, nella sezione Details, fornisci le seguenti informazioni per la nuova istanza:
- Nome: un nome per la nuova istanza
- Regione: la regione in cui si trovano la chiave e il keyring
- Zona: una zona all'interno della regione selezionata
Seleziona la sezione Dischi.
Per utilizzare le chiavi di crittografia gestite dal cliente, in Crittografia, seleziona Chiave di crittografia gestita dal cliente (CMEK).
Fai clic su Seleziona una chiave gestita dal cliente.
- Se la chiave gestita dal cliente che vuoi utilizzare è in elenco, selezionalo.
Se la chiave gestita dal cliente che vuoi utilizzare non è nell'elenco, inserisci l'ID risorsa per la chiave gestita dal cliente. La risorsa L'ID per la chiave gestita dal cliente ha il seguente aspetto:
projects/NOTEBOOKS_PROJECT_NUMBER/locations/global/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
Sostituisci quanto segue:
NOTEBOOKS_PROJECT_NUMBER
: l'ID del tuo progetto blocchi note gestiti dall'utenteKEY_RING_NAME
: il keyring che hai creato in Creare un keyring e una chiaveKEY_NAME
: il nome della chiave creato in Crea un keyring e una chiave
Completa il resto della finestra di dialogo per la creazione dell'istanza e fai clic su Crea.
Vertex AI Workbench crea un'istanza di blocchi note gestiti dall'utente in base proprietà specificate e avvia automaticamente l'istanza. Quando è pronta per l'uso, Vertex AI Workbench attiva Apri il link JupyterLab.
gcloud
Per utilizzare gcloud CLI per creare
per un'istanza di blocchi note gestiti dall'utente
di crittografia gestita dal cliente, esegui questo comando.
Questo esempio presuppone che tu voglia creare
un'istanza di blocchi note gestiti dall'utente
con un tipo di macchina n1-standard-1
e un
Disco di avvio permanente standard da 100 GB.
gcloud notebooks instances create notebook-vm-cmek \ --location=REGION \ --vm-image-family=IMAGE_FAMILY \ --vm-image-project=deeplearning-platform-release \ --machine-type="n1-standard-1" \ --boot-disk-type="PD_STANDARD" \ --boot-disk-size=100 \ --kms-key=KEY_NAME \ --kms-project=KMS_PROJECT_ID \ --kms-location=REGION \ --kms-keyring=KEY_RING_NAME \ --disk-encryption=CMEK \ --metadata='proxy-mode=project_editors'
Sostituisci quanto segue:
REGION
: la regione in cui hai creato il keyring e dove prevedi di creare i tuoi blocchi note gestiti dall'utente istanzaIMAGE_FAMILY
: il valore famiglia di immagini che vuoi utilizzare per creare i tuoi blocchi note gestiti dall'utente istanzaKEY_NAME
: il nome della chiave che hai creato in Crea un keyring e una chiaveKMS_PROJECT_ID
: l'ID del tuo Progetto Cloud KMSKEY_RING_NAME
: il keyring che hai creato in Crea un keyring e una chiave
Passaggi successivi
- Scopri di più su CMEK su Google Cloud
- Scopri come utilizzare CMEK con altri servizi Google Cloud prodotti