Este documento descreve como criptografar dados de avaliação do Gerenciador de cargas de trabalho com chaves de criptografia gerenciadas pelo cliente (CMEK).
Visão geral
Por padrão, o Workload Manager criptografa o conteúdo do cliente em repouso. O Workload Manager processa a criptografia para você sem que você precise fazer nada. Essa opção é chamada de Criptografia padrão do Google.
Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o Workload Manager. O uso de chaves do Cloud KMS permite controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. O uso do Cloud KMS também permite visualizar registros de auditoria e controlar ciclos de vida importantes. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.
Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos do Workload Manager é semelhante à criptografia padrão do Google. Para mais informações sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).
Limitações
As seguintes limitações se aplicam às criptografias CMEK no Workload Manager:
A CMEK está disponível apenas para avaliações de tipo de regra personalizada do gerenciador de cargas de trabalho. Outros recursos do Workload Manager, como avaliações ou implantações do SAP, usam a criptografia padrão do Google porque não envolvem conteúdo do cliente em repouso.
O Workload Manager aplica chaves da CMEK apenas ao armazenamento de propriedade dele.
Antes de começar
Antes de usar a CMEK, é necessário criar uma chave do Cloud Key Management Service e conceder as permissões necessárias.
Crie um keyring e uma chave.
Selecione um projeto e siga o guia do Cloud KMS para criar chaves simétricas e um keyring. O local do keyring precisa corresponder ao local da avaliação.
O Workload Manager é compatível com chaves gerenciadas externas. Para mais informações, consulte Gerenciador de chaves externo do Cloud.
Conceder permissões.
Para fornecer acesso à chave do Cloud KMS, conceda o papel
roles/cloudkms.cryptoKeyEncrypterDecrypterao agente de serviço do Workload Manager. O agente de serviço éservice-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com, em que PROJECT_ID é o ID do projeto em que a avaliação foi criada.
Como a CMEK funciona para avaliações de tipo de regra personalizada
Esta seção descreve como a CMEK funciona para avaliações de tipo de regra personalizada.
Provisionamento de chaves do KMS
É possível fornecer uma chave do Cloud KMS durante o processo de criação ou atualização de uma avaliação de tipo de regra personalizada. Essa disposição é opcional. Se nenhuma chave do Cloud KMS for especificada, o Workload Manager usará a criptografia padrão do Google.
A chave do Cloud KMS fornecida precisa existir, e a conta de serviço do Workload Manager precisa ter o papel de criptografador/descriptografador (roles/cloudkms.cryptoKeyEncrypterDecrypter) atribuído para usar a chave do Cloud KMS. O Workload Manager valida a chave do Cloud KMS durante a criação ou atualização da avaliação e retorna erros.
Criptografia de dados
Ao executar uma avaliação com uma chave provisionada do Cloud KMS, o Workload Manager usa a chave fornecida para criptografar o armazenamento de propriedade do Workload Manager:
Bucket temporário do Cloud Storage usado pela operação de avaliação. O bucket temporário do Cloud Storage é criado no início e excluído no final de uma avaliação.
Conjuntos de dados do BigQuery em que os resultados da avaliação são armazenados.
O Workload Manager não usa essas chaves para criptografar dados nos buckets do Cloud Storage em que você armazena regras personalizadas ou nos conjuntos de dados externos do BigQuery que você usa para salvar os resultados da avaliação.
Acesso a dados
O Workload Manager criptografa os resultados da avaliação com a versão principal da chave do Cloud KMS fornecida no momento da execução da avaliação. Você pode acessar e conferir os resultados de uma avaliação se a versão específica da chave do Cloud KMS permanecer ativada.
O acesso aos resultados da avaliação não é afetado pela rotação de chaves do KMS. A rotação de chaves cria uma nova versão, e as anteriores permanecem.
Os resultados da avaliação não são criptografados novamente quando a chave é alternada.
Configurar a CMEK para avaliações de tipo de regra personalizada
Para usar a CMEK em avaliações de tipo de regra personalizada, primeiro crie uma chave no Cloud KMS e conceda a ela as permissões necessárias, conforme descrito em Antes de começar. Depois disso, use a chave para criar ou atualizar avaliações, executar avaliações e conferir os resultados.
Criar uma avaliação com CMEK
É possível criar avaliações de tipo de regra personalizadas com a CMEK da mesma forma descrita na página de criação de avaliação. É possível ativar a CMEK depois de selecionar as regiões.
Selecione Chave de criptografia gerenciada pelo cliente (CMEK) na lista Criptografia (opcional).
Selecione uma chave do Cloud KMS.
Atualizar uma avaliação com CMEK
É possível atualizar uma avaliação para usar chaves da CMEK.
Na página de edição da avaliação, selecione Chave de criptografia gerenciada pelo cliente (CMEK) na lista Criptografia (opcional).
Selecione uma chave do Cloud KMS.
Conferir os resultados da avaliação com a CMEK
Você pode conferir os resultados da avaliação da mesma forma descrita na página Ver resultados da avaliação. Nenhum trabalho extra é necessário.
Cotas do Cloud KMS e o Workload Manager
Ao usar a CMEK no Workload Manager, seus projetos podem consumir cotas de solicitações criptográficas do Cloud KMS. Por exemplo, as avaliações do gerenciador de cargas de trabalho criptografadas com CMEK podem consumir essas cotas. As operações de criptografia e descriptografia que usam chaves CMEK afetam as cotas do Cloud KMS somente se você usar chaves de hardware (Cloud HSM) ou externas (Cloud EKM). Para mais informações, consulte Cotas do Cloud KMS.
Para chaves externas, a cota padrão é de 100 QPS por projeto de chave para operações criptográficas. Se necessário, solicite uma cota maior do EKM.
A seguir
- Saiba mais sobre a CMEK no Google Cloud.
- Saiba como usar a CMEK com outros produtos do Google Cloud.