Crie uma chave externa

Esta página mostra-lhe como criar chaves do Cloud External Key Manager (Cloud EKM) num conjunto de chaves existente no Cloud Key Management Service (Cloud KMS).

Antes de começar

Antes de concluir as tarefas nesta página, precisa do seguinte:

  • Um recurso de projeto para conter os seus recursos do Cloud KMS. Trusted Cloud Recomendamos a utilização de um projeto separado para os seus recursos do Cloud KMS que não contenha outros recursos. Trusted Cloud

    Tome nota da conta de serviço do EKM do Google Cloud do seu projeto. No exemplo seguinte, substitua PROJECT_NUMBER pelo Trusted Cloud número do projeto do seu projeto. Estas informações também são visíveis sempre que usa a Trusted Cloud consola para criar uma chave do EKM na nuvem.

        service-PROJECT_NUMBER@gcp-sa-ekms.
  • O nome e a localização do conjunto de chaves onde quer criar a sua chave. Escolha um porta-chaves numa localização próxima dos seus outros recursos e que suporte o EKM da nuvem. Para criar um conjunto de chaves, consulte o artigo Crie um conjunto de chaves.
  • No sistema de parceiros de gestão de chaves externas, conceda à conta de serviço acesso para usar as suas chaves externas. Trusted CloudTratar a conta de serviço como um endereço de email. Os parceiros de EKM podem usar uma terminologia diferente da usada neste documento.
  • Para criar chaves EKM sobre VPC, tem de criar uma ligação EKM.

Funções necessárias

Para receber as autorizações de que precisa para criar chaves, peça ao seu administrador para lhe conceder a função de administrador do Cloud KMS (roles/cloudkms.admin) da IAM no projeto ou num recurso principal. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Esta função predefinida contém as autorizações necessárias para criar chaves. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

Autorizações necessárias

São necessárias as seguintes autorizações para criar chaves:

  • cloudkms.cryptoKeys.create
  • cloudkms.cryptoKeys.get
  • cloudkms.cryptoKeys.list
  • cloudkms.cryptoKeyVersions.create
  • cloudkms.cryptoKeyVersions.get
  • cloudkms.cryptoKeyVersions.list
  • cloudkms.keyRings.get
  • cloudkms.keyRings.list
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
  • Para obter uma chave pública: cloudkms.cryptoKeyVersions.viewPublicKey

Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

Crie uma chave externa coordenada

Consola

  1. Na Trusted Cloud consola, aceda à página Gestão de chaves.

    Aceda à gestão de chaves

  2. Clique no nome do conjunto de chaves para o qual vai criar uma chave.

  3. Clique em Criar chave.

  4. Em Nome da chave, introduza um nome para a chave.

  5. Para Nível de proteção, selecione Externo.

  6. Para o tipo de ligação do gestor de chaves externo (EKM), selecione através da VPC.

  7. Para EKM através da ligação à VPC, selecione uma ligação.

    Se não tiver a autorização EkmConnection.list, tem de introduzir manualmente o nome do recurso de associação.

  8. Clique em Continuar.

  9. Na secção Material da chave, deve ver uma mensagem sobre o novo material da chave a ser pedido pelo Cloud KMS e gerado no seu EKM. Se vir o campo Caminho da chave, significa que o EKM através da ligação VPC que selecionou não está configurado para chaves externas coordenadas.

  10. Configure as restantes definições principais conforme necessário e, de seguida, clique em Criar.

O EKM da nuvem envia um pedido ao seu EKM para criar uma nova chave. A chave é apresentada como Geração pendente até o caminho da chave ser devolvido pelo seu EKM e a chave do Cloud EKM estar disponível.

gcloud

Para usar o Cloud KMS na linha de comandos, primeiro instale ou atualize para a versão mais recente da CLI do Google Cloud.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Substitua o seguinte:

  • KEY_NAME: o nome da chave.
  • KEY_RING: o nome do conjunto de chaves que contém a chave.
  • LOCATION: a localização do Cloud KMS do conjunto de chaves.
  • PURPOSE: o objetivo da chave.
  • ALGORITHM: o algoritmo a usar para a chave, por exemplo, google-symmetric-encryption. Para ver uma lista dos algoritmos suportados, consulte o artigo Algoritmos.
  • VPC_CONNECTION_RESOURCE_ID: o ID do recurso da ligação EKM.

Para ver informações sobre todas as flags e valores possíveis, execute o comando com a flag --help.

O que se segue?