Questo documento descrive come criptare i dati di valutazione di Workload Manager con chiavi di crittografia gestite dal cliente (CMEK).
Panoramica
Per impostazione predefinita, Workload Manager cripta i contenuti inattivi dei clienti. Workload Manager gestisce la crittografia per tuo conto senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google.
Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con servizi integrati con CMEK, tra cui Workload Manager. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la posizione, la pianificazione della rotazione, l'utilizzo e le autorizzazioni di accesso e i limiti crittografici. L'utilizzo di Cloud KMS consente anche di visualizzare i log di controllo e controllare i cicli di vita delle chiavi. Anziché essere di proprietà di Google e gestite da Google, le chiavi di crittografia delle chiavi (KEK) simmetriche che proteggono i tuoi dati sono controllate e gestite da te in Cloud KMS.
Dopo aver configurato le risorse con le CMEK, l'esperienza di accesso alle risorse di Workload Manager è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).
Limitazioni
Le seguenti limitazioni si applicano alle crittografie CMEK in Workload Manager:
CMEK è disponibile solo per le valutazioni del tipo di regola personalizzata di Workload Manager. Altre funzionalità di Workload Manager, come le valutazioni o l'implementazione SAP, utilizzano la crittografia predefinita di Google perché non sono coinvolti contenuti dei clienti inattivi.
Workload Manager applica le chiavi CMEK solo allo spazio di archiviazione di proprietà di Workload Manager.
Prima di iniziare
Prima di poter utilizzare CMEK, devi creare una chiave Cloud Key Management Service e concedere le autorizzazioni richieste.
Crea una chiave automatizzata e una chiave.
Seleziona un progetto, segui la guida di Cloud KMS per la creazione di chiavi simmetriche per creare un keyring e una chiave. La posizione del keyring deve corrispondere alla posizione della valutazione.
Tieni presente che Workload Manager supporta la chiave gestita esternamente. Per saperne di più, consulta Cloud External Key Manager.
Concedere le autorizzazioni.
Per fornire l'accesso alla chiave Cloud KMS, concedi il ruolo
roles/cloudkms.cryptoKeyEncrypterDecrypterall'agente di servizio Workload Manager. L'agente di servizio èservice-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com, dove PROJECT_ID è l'ID progetto in cui viene creata la valutazione.
Come funziona CMEK per le valutazioni del tipo di regola personalizzata
Questa sezione descrive come funziona CMEK per le valutazioni dei tipi di regole personalizzate.
Provisioning della chiave KMS
Puoi fornire una chiave Cloud KMS durante la creazione o l'aggiornamento di una valutazione del tipo di regola personalizzato. Questa disposizione è facoltativa. Se non viene specificata alcuna chiave Cloud KMS, Workload Manager utilizza la crittografia predefinita di Google.
La chiave Cloud KMS fornita deve esistere e all'account di servizio Workload Manager
deve essere assegnato il ruolo di criptatore/decriptatore
(roles/cloudkms.cryptoKeyEncrypterDecrypter) per utilizzare la chiave Cloud KMS. Workload Manager
convalida la chiave Cloud KMS durante la creazione o l'aggiornamento della valutazione
e restituisce errori.
Crittografia dei dati
Quando esegui una valutazione con una chiave Cloud KMS di cui è stato eseguito il provisioning, Workload Manager utilizza la chiave Cloud KMS fornita per criptare lo spazio di archiviazione di proprietà di Workload Manager:
Bucket Cloud Storage temporaneo utilizzato dall'operazione di valutazione. Il bucket Cloud Storage temporaneo viene creato all'inizio di una valutazione ed eliminato al termine della valutazione.
Set di dati BigQuery in cui vengono archiviati i risultati della valutazione.
Workload Manager non utilizza queste chiavi per criptare i dati nei bucket Cloud Storage in cui memorizzi le regole personalizzate o nei set di dati BigQuery esterni che utilizzi per salvare i risultati della valutazione.
Accesso ai dati
Workload Manager cripta i risultati della valutazione con la versione primaria della chiave Cloud KMS fornita al momento dell'esecuzione della valutazione. Puoi accedere e visualizzare i risultati di una valutazione se la versione specifica della chiave Cloud KMS rimane abilitata.
L'accesso ai risultati della valutazione non è interessato dalla rotazione delle chiavi KMS. La rotazione delle chiavi crea una nuova versione e le versioni precedenti rimangono.
I risultati della valutazione non vengono nuovamente criptati quando la chiave viene ruotata.
Configura CMEK per le valutazioni dei tipi di regole personalizzate
Per utilizzare CMEK per le valutazioni dei tipi di regole personalizzate, crea prima una chiave in Cloud KMS, poi concedi alla chiave le autorizzazioni richieste come descritto in Prima di iniziare. Dopodiché, puoi utilizzare la chiave per creare o aggiornare le valutazioni, eseguirle e visualizzarne i risultati.
Crea una valutazione con CMEK
Puoi creare valutazioni personalizzate del tipo di regola con CMEK nello stesso modo descritto nella pagina di creazione della valutazione. Puoi abilitare CMEK dopo aver selezionato le regioni.
Seleziona Chiave di crittografia gestita dal cliente (CMEK) nell'elenco Crittografia (facoltativo).
Seleziona una chiave Cloud KMS.
Aggiorna una valutazione con CMEK
Puoi aggiornare una valutazione per utilizzare le chiavi CMEK.
Nella pagina di modifica della valutazione, seleziona Chiave di crittografia gestita dal cliente (CMEK) nell'elenco Crittografia (facoltativo).
Seleziona una chiave Cloud KMS.
Visualizza i risultati della valutazione con CMEK
Puoi visualizzare i risultati della valutazione nello stesso modo descritto nella pagina Visualizzare i risultati della valutazione. Non sono necessari ulteriori interventi.
Quote di Cloud KMS e Workload Manager
Quando utilizzi CMEK in Workload Manager, i tuoi progetti possono utilizzare le quote per le richieste crittografiche di Cloud KMS. Ad esempio, le valutazioni del Gestore workload criptate con CMEK possono consumare queste quote. Le operazioni di crittografia e decrittografia che utilizzano chiavi CMEK influiscono sulle quote di Cloud KMS solo se utilizzi chiavi hardware (Cloud HSM) o esterne (Cloud EKM). Per ulteriori informazioni, consulta Quote di Cloud KMS.
Per le chiavi esterne, la quota predefinita è 100 QPS per progetto di chiavi per le operazioni crittografiche. Se necessario, puoi richiedere una quota EKM più elevata.
Passaggi successivi
- Scopri di più su CMEK su Google Cloud.
- Scopri come utilizzare CMEK con altri Google Cloud prodotti.