Creare una chiave esterna

Questa pagina mostra come creare chiavi Cloud External Key Manager (Cloud EKM) in un keyring esistente in Cloud Key Management Service (Cloud KMS).

Prima di iniziare

Prima di completare le attività in questa pagina, devi disporre di quanto segue:

  • Una risorsa di progetto per contenere le risorse di Cloud KMS. Trusted Cloud Ti consigliamo di utilizzare un progetto separato per le risorse Cloud KMS che non contenga altre risorse Trusted Cloud .

    Prendi nota dell'account di servizio Cloud EKM del tuo progetto. Nell'esempio seguente, sostituisci PROJECT_NUMBER con il Trusted Cloud numero di progetto del tuo progetto. Queste informazioni sono visibili anche ogni volta che utilizzi la console Trusted Cloud per creare una chiave Cloud EKM.

        service-PROJECT_NUMBER@gcp-sa-ekms.s3ns-system.iam.gserviceaccount.com
  • Il nome e la posizione del keyring in cui vuoi creare la chiave. Scegli un portachiavi in una località vicina alle altre risorse e che supporti Cloud EKM. Per creare un keyring, vedi Creare un keyring.
  • Nel sistema del partner di gestione delle chiavi esterne, concedi all'account di servizio Trusted Cloud l'accesso per utilizzare le tue chiavi esterne. Considera l'account di servizio come un indirizzo email. I partner EKM potrebbero utilizzare una terminologia diversa da quella utilizzata in questo documento.
  • Per creare chiavi EKM su VPC, devi creare una connessione EKM.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare chiavi, chiedi all'amministratore di concederti il ruolo IAM Amministratore Cloud KMS (roles/cloudkms.admin) nel progetto o in una risorsa padre. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per creare chiavi. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per creare chiavi sono necessarie le seguenti autorizzazioni:

  • cloudkms.cryptoKeys.create
  • cloudkms.cryptoKeys.get
  • cloudkms.cryptoKeys.list
  • cloudkms.cryptoKeyVersions.create
  • cloudkms.cryptoKeyVersions.get
  • cloudkms.cryptoKeyVersions.list
  • cloudkms.keyRings.get
  • cloudkms.keyRings.list
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
  • Per recuperare una chiave pubblica: cloudkms.cryptoKeyVersions.viewPublicKey

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Crea una chiave esterna coordinata

Console

  1. Nella console Trusted Cloud , vai alla pagina Key Management.

    Vai a Gestione delle chiavi

  2. Fai clic sul nome del keyring per cui creerai una chiave.

  3. Fai clic su Crea chiave.

  4. In Nome chiave, inserisci un nome per la chiave.

  5. In Livello di protezione, seleziona Esterno.

  6. Per Tipo di connessione gestore esterno delle chiavi (EKM), seleziona tramite VPC.

  7. Per EKM tramite connessione VPC, seleziona una connessione.

    Se non disponi dell'autorizzazione EkmConnection.list, devi inserire manualmente il nome della risorsa di connessione.

  8. Fai clic su Continua.

  9. Nella sezione Materiale della chiave, dovresti visualizzare un messaggio relativo al nuovo materiale della chiave richiesto da Cloud KMS e generato nel tuo EKM. Se vedi il campo Percorso della chiave, la connessione EKM tramite VPC che hai selezionato non è configurata per le chiavi esterne coordinate.

  10. Configura le restanti impostazioni della chiave in base alle tue esigenze, quindi fai clic su Crea.

Cloud EKM invia una richiesta al tuo EKM per creare una nuova chiave. La chiave viene visualizzata come In attesa di generazione finché il percorso della chiave non viene restituito dal tuo EKM e la chiave Cloud EKM non è disponibile.

gcloud

Per utilizzare Cloud KMS dalla riga di comando, devi prima installare o eseguire l'upgrade all'ultima versione di Google Cloud CLI.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Sostituisci quanto segue:

  • KEY_NAME: il nome della chiave.
  • KEY_RING: il nome delle chiavi automatizzate che contengono la chiave.
  • LOCATION: la posizione di Cloud KMS delle chiavi automatizzate.
  • PURPOSE: lo scopo della chiave.
  • ALGORITHM: l'algoritmo da utilizzare per la chiave, ad esempio google-symmetric-encryption. Per un elenco degli algoritmi supportati, consulta Algoritmi.
  • VPC_CONNECTION_RESOURCE_ID: l'ID risorsa della connessione EKM.

Per informazioni su tutti i flag e i valori possibili, esegui il comando con il flag --help.

Passaggi successivi