Questa pagina fornisce una panoramica di Cloud External Key Manager (Cloud EKM).
Terminologia
-
External Key Manager (EKM)
Il gestore chiavi utilizzato al di fuori di Trusted Cloud per gestire le chiavi.
-
Cloud External Key Manager (Cloud EKM)
Un Trusted Cloud servizio per l'utilizzo delle chiavi esterne gestite in un EKM supportato.
-
Una versione di Cloud EKM in cui Trusted Cloud comunica con il tuo gestore delle chiavi esterno tramite un Virtual Private Cloud (VPC). Per maggiori informazioni, consulta Panoramica della rete VPC.
-
Gestione delle chiavi EKM da Cloud KMS
Le chiavi utilizzano la modalità di gestione EKM Cloud KMS per semplificare il processo di gestione delle chiavi esterne nel tuo partner di gestione delle chiavi esterne e in Cloud EKM. Per saperne di più, consulta Chiavi esterne coordinate e Gestione delle chiavi EKM da Cloud KMS in questa pagina.
-
Un contenitore per le tue risorse all'interno del tuo partner esterno per la gestione delle chiavi. Il tuo spazio crittografico è identificato da un percorso univoco. Il formato del percorso Crypto Space varia a seconda del partner di gestione delle chiavi esterno, ad esempio,
v0/cryptospaces/YOUR_UNIQUE_PATH
. -
EKM gestito dal partner
Un accordo in cui il tuo EKM viene gestito per tuo conto da un partner fidato. Per saperne di più, consulta la sezione EKM gestito dal partner in questa pagina.
Panoramica
Con Cloud EKM puoi utilizzare le chiavi da te gestite in un partner di gestione delle chiavi esterne supportato per proteggere i dati in Trusted Cloud. Puoi proteggere i dati at-rest nei servizi di integrazione CMEK supportati o chiamando direttamente l'API Cloud Key Management Service.
Cloud EKM offre diversi vantaggi:
Provenienza delle chiavi:controlli la posizione e la distribuzione delle chiavi gestite esternamente. Le chiavi gestite esternamente non vengono mai memorizzate nella cache o archiviate in Trusted Cloud. Cloud EKM comunica invece direttamente con il partner esterno per la gestione delle chiavi per ogni richiesta.
Controllo dell'accesso:gestisci l'accesso alle chiavi gestite esternamente nel tuo gestore di chiavi esterno. Non puoi utilizzare una chiave gestita esternamente in Trusted Cloud senza prima concedere al progetto Trusted Cloud l'accesso alla chiave nel gestore di chiavi esterne. Puoi revocare l'accesso in qualsiasi momento.
Gestione centralizzata delle chiavi:puoi gestire le chiavi e le norme di accesso da un'unica interfaccia utente, indipendentemente dal fatto che i dati che proteggono risiedano nel cloud o on-premise.
In tutti i casi, la chiave si trova sul sistema esterno e non viene mai inviata a Google.
Comunichi con il gestore delle chiavi esterne tramite Virtual Private Cloud (VPC).Come funziona Cloud EKM
Le versioni delle chiavi Cloud EKM sono costituite dai seguenti componenti:
- Materiale della chiave esterna: il materiale della chiave esterna di una chiave Cloud EKM è materiale crittografico creato e archiviato nel tuo EKM. Questo materiale non esce dal tuo EKM e non viene mai condiviso con Google.
- Riferimento alla chiave: ogni versione della chiave Cloud EKM contiene un URI della chiave o un percorso della chiave. Si tratta di un identificatore univoco per il materiale della chiave esterna che Cloud EKM utilizza quando richiede operazioni crittografiche utilizzando la chiave.
- Materiale della chiave interna: quando viene creata una chiave Cloud EKM simmetrica, Cloud KMS crea materiale della chiave aggiuntivo in Cloud KMS, che non esce mai da Cloud KMS. Questo materiale della chiave viene utilizzato come livello di crittografia aggiuntivo quando comunichi con il tuo EKM. Questo materiale della chiave interna non si applica alle chiavi di firma asimmetrica.
Per utilizzare le chiavi Cloud EKM, Cloud EKM invia richieste di operazioni di crittografia al tuo EKM. Ad esempio, per criptare i dati con una chiave di crittografia simmetrica, Cloud EKM cripta prima i dati utilizzando il materiale della chiave interna. I dati criptati sono inclusi in una richiesta all'EKM. EKM esegue il wrapping dei dati criptati in un altro livello di crittografia utilizzando il materiale della chiave esterna e poi restituisce il testo cifrato risultante. I dati criptati utilizzando una chiave Cloud EKM non possono essere decriptati senza il materiale della chiave esterna e quello della chiave interna.
La creazione e la gestione delle chiavi Cloud EKM richiedono modifiche corrispondenti sia in Cloud KMS sia in EKM. Le tue chiavi sono chiavi esterne coordinate, quindi queste modifiche corrispondenti vengono gestite per te utilizzando il control plane Cloud EKM. Per ulteriori informazioni, consulta Chiavi esterne coordinate in questa pagina.
Il seguente diagramma mostra come Cloud KMS si inserisce nel modello di gestione delle chiavi. Questo diagramma utilizza Compute Engine e BigQuery come due esempi; puoi anche visualizzare l'elenco completo dei servizi che supportano le chiavi Cloud EKM.
Puoi scoprire di più sulle considerazioni e sulle limitazioni relative all'utilizzo di Cloud EKM.
Chiavi esterne coordinate
Questa sezione fornisce una panoramica del funzionamento di Cloud EKM con le chiavi esterne coordinate.
Configura una connessione EKM, impostando la modalità di gestione EKM su Cloud KMS. Durante la configurazione, devi autorizzare il tuo EKM ad accedere alla tua rete VPC e autorizzare il account di servizio del tuo progettoTrusted Cloud ad accedere al tuo spazio di archiviazione delle chiavi nel tuo EKM. La connessione EKM utilizza il nome host di EKM e un percorso dello spazio crittografico che identifica le tue risorse all'interno di EKM.
Crea una chiave esterna in Cloud KMS. Quando crei una chiave Cloud EKM utilizzando una connessione EKM tramite VPC con la modalità di gestione EKM Cloud KMS abilitata, vengono eseguiti automaticamente i seguenti passaggi:
- Cloud EKM invia una richiesta di creazione della chiave al tuo EKM.
- EKM crea il materiale della chiave richiesto. Questo materiale delle chiavi esterno rimane in EKM e non viene mai inviato a Google.
- Il tuo EKM restituisce un percorso della chiave a Cloud EKM.
- Cloud EKM crea la versione della chiave Cloud EKM utilizzando il percorso della chiave fornito dall'EKM.
Le operazioni di manutenzione sulle chiavi esterne coordinate possono essere avviate da Cloud KMS. Ad esempio, le chiavi esterne coordinate utilizzate per la crittografia simmetrica possono essere ruotate automaticamente in base a una pianificazione prestabilita. La creazione di nuove versioni della chiave viene coordinata nel tuo EKM da Cloud EKM. Puoi anche attivare la creazione o l'eliminazione di versioni della chiave nel tuo EKM da Cloud KMS utilizzando la consoleTrusted Cloud , la CLI gcloud, l'API Cloud KMS o le librerie client Cloud KMS.
All'interno di Trusted Cloud, la chiave viene visualizzata insieme alle altre chiavi
Cloud KMS e Cloud HSM, con il livello di protezione
EXTERNAL_VPC
. La chiave Cloud EKM e la chiave del partner di gestione delle chiavi esterne funzionano
insieme per proteggere i tuoi dati. Il materiale delle chiavi esterno non viene mai esposto a Google.
Gestione delle chiavi EKM da Cloud KMS
Le chiavi esterne coordinate sono rese possibili dalle connessioni EKM che utilizzano la gestione delle chiavi EKM da Cloud KMS. Se EKM supporta il piano di controllo Cloud EKM, puoi abilitare la gestione delle chiavi EKM da Cloud KMS per le tue connessioni EKM per creare chiavi esterne coordinate. Con la gestione delle chiavi EKM da Cloud KMS abilitata, Cloud EKM può richiedere le seguenti modifiche nel tuo EKM:
Crea una chiave: quando crei una chiave gestita esternamente in Cloud KMS utilizzando una connessione EKM compatibile, Cloud EKM invia la richiesta di creazione della chiave al tuo EKM. In caso di esito positivo, l'EKM crea la nuova chiave e il nuovo materiale della chiave e restituisce il percorso della chiave che Cloud EKM deve utilizzare per accedere alla chiave.
Esegui la rotazione di una chiave: quando esegui la rotazione di una chiave gestita esternamente in Cloud KMS utilizzando una connessione EKM compatibile, Cloud EKM invia la richiesta di rotazione al tuo EKM. In caso di esito positivo, il tuo EKM crea nuovo materiale della chiave e restituisce il percorso della chiave che Cloud EKM deve utilizzare per accedere alla nuova versione della chiave.
Elimina una chiave: quando elimini una versione della chiave per una chiave gestita esternamente in Cloud KMS utilizzando una connessione EKM compatibile, Cloud KMS pianifica l'eliminazione della versione della chiave in Cloud KMS. Se la versione della chiave non viene ripristinata prima della fine del periodo pianificato per l'eliminazione, Cloud EKM elimina la sua parte del materiale crittografico della chiave e invia una richiesta di eliminazione al tuo EKM.
I dati criptati con questa versione della chiave non possono essere decriptati dopo l'eliminazione della versione della chiave in Cloud KMS, anche se EKM non l'ha ancora eliminata. Puoi verificare se EKM ha distrutto correttamente la versione della chiave visualizzando i dettagli della chiave in Cloud KMS.
Quando le chiavi nel tuo EKM vengono gestite da Cloud KMS, il materiale della chiave risiede ancora nel tuo EKM. Google non può effettuare richieste di gestione delle chiavi al tuo EKM senza un'autorizzazione esplicita. Google non può modificare le autorizzazioni nel sistema del tuo partner esterno per la gestione delle chiavi. Se revochi le autorizzazioni di Google nel tuo EKM, le operazioni di gestione delle chiavi tentate in Cloud KMS non vanno a buon fine.
Compatibilità
Gestori delle chiavi supportati
Puoi archiviare le chiavi esterne nei seguenti sistemi di partner esterni per la gestione delle chiavi:
Servizi che supportano CMEK con Cloud EKM
I seguenti servizi supportano l'integrazione con Cloud KMS per le chiavi esterne (Cloud EKM):
- Agent Assist
- AlloyDB per PostgreSQL
- Hub API Apigee
- Application Integration
- Artifact Registry
- Backup per GKE
- BigQuery
- Bigtable
- Cloud Composer
- Cloud Data Fusion
- API Cloud Healthcare
- Cloud Logging: Dati nel router di logging e Dati nell'archivio Logging
- Cloud Run
- Cloud Run Functions
- Cloud SQL
- Cloud Storage
- Cloud Tasks
- Cloud Workstations
- Compute Engine: Dischi permanenti, Snapshot, Immagini personalizzate, e immagini macchina
- Conversational Insights
- Database Migration Service: Migrazioni MySQL - Dati scritti nei database, Migrazioni PostgreSQL - Dati scritti nei database, Migrazioni da PostgreSQL ad AlloyDB - Dati scritti nei database, Migrazioni SQL Server - Dati scritti nei database, e dati Oracle a PostgreSQL a riposo
- Dataflow
- Dataform
- Dataplex Universal Catalog
- Dataproc: Dati dei cluster Dataproc sui dischi VM e dati di Dataproc serverless sui dischi VM
- Dataproc Metastore
- Dialogflow CX
- Document AI
- Eventarc Standard
- Filestore
- Firestore
- Google Cloud Managed Service per Apache Kafka
- Google Cloud NetApp Volumes
- Google Distributed Cloud
- Google Kubernetes Engine: Dati sui dischi VM e secret a livello di applicazione
- Integration Connectors
- Looker (Google Cloud core)
- Memorystore for Redis
- Migrate to Virtual Machines: Dati di cui è stata eseguita la migrazione dalle origini VM VMware, AWS e Azure e Dati di cui è stata eseguita la migrazione dalle origini di immagini disco e macchina
- Parameter Manager
- Pub/Sub
- Secret Manager
- Secure Source Manager
- Spanner
- Speaker ID (GA con limitazioni)
- Speech-to-Text
- Vertex AI
- Istanze Vertex AI Workbench
- Workflows
Considerazioni
Quando utilizzi una chiave Cloud EKM, Google non ha alcun controllo sulla disponibilità della chiave gestita esternamente nel sistema del partner di gestione delle chiavi esterne. Se perdi le chiavi gestite al di fuori di Trusted Cloud, Google non potrà recuperare i tuoi dati.
Esamina le linee guida relative a partner esterni per la gestione delle chiavi e regioni quando scegli le posizioni per le chiavi Cloud EKM.
La comunicazione con un servizio esterno su internet può causare problemi di affidabilità, disponibilità e latenza. Per le applicazioni con bassa tolleranza a questi tipi di rischi, valuta la possibilità di utilizzare Cloud HSM o Cloud KMS per archiviare il materiale delle chiavi.
Se una chiave esterna non è disponibile, Cloud KMS restituisce un errore
FAILED_PRECONDITION
e fornisce i dettagli nell'errorePreconditionFailure
.Abilita il logging di controllo dei dati per mantenere un record di tutti gli errori relativi a Cloud EKM. I messaggi di errore contengono informazioni dettagliate per aiutarti a individuare l'origine dell'errore. Un esempio di errore comune si verifica quando un partner esterno di gestione delle chiavi non risponde a una richiesta entro un periodo di tempo ragionevole.
Devi disporre di un contratto di assistenza con il partner esterno per la gestione delle chiavi. L'assistenzaTrusted Cloud può aiutarti solo con i problemi relativi ai serviziTrusted Cloud e non può fornire assistenza diretta per i problemi relativi ai sistemi esterni. A volte, devi collaborare con l'assistenza di entrambe le parti per risolvere i problemi di interoperabilità.
Cloud EKM può essere utilizzato con Bare Metal Rack HSM per creare una soluzione HSM single-tenant integrata con Cloud KMS. Per saperne di più, scegli un partner Cloud EKM che supporti gli HSM con singolo tenant e consulta i requisiti per gli HSM Bare Metal Rack.
Abilita l'audit logging nel tuo gestore chiavi esterno per acquisire l'accesso e l'utilizzo delle tue chiavi EKM.
Limitazioni
- Quando crei una chiave Cloud EKM utilizzando l'API o Google Cloud CLI, non deve avere una versione iniziale della chiave. Ciò non si applica alle chiavi Cloud EKM create utilizzando la consoleTrusted Cloud .
- Le operazioni Cloud EKM sono soggette a quote specifiche, oltre alle quote per le operazioni Cloud KMS.
Chiavi di crittografia simmetrica
- Le chiavi di crittografia simmetrica sono supportate solo per quanto segue:
- Chiavi di crittografia gestite dal cliente (CMEK) nei servizi di integrazione supportati.
- Crittografia e decrittografia simmetriche utilizzando Cloud KMS direttamente.
- I dati criptati da Cloud EKM utilizzando una chiave gestita esternamente non possono essere decriptati senza utilizzare Cloud EKM.
Chiavi di firma asimmetriche
- Le chiavi di firma asimmetriche sono limitate a un sottoinsieme di algoritmi Cloud KMS.
- Le chiavi di firma asimmetriche sono supportate solo per i seguenti casi d'uso:
- Una volta impostato un algoritmo di firma asimmetrica su una chiave Cloud EKM, non può essere modificato.
- La firma deve essere apposta nel campo
data
.
EKM gestito dal partner
EKM gestito dal partner ti consente di utilizzare Cloud EKM tramite un partner sovrano attendibile che gestisce il tuo sistema EKM. Con EKM gestito dal partner, il partner crea e gestisce le chiavi che utilizzi in Cloud EKM. Il partner garantisce che la tua EKM sia conforme ai requisiti di sovranità.
Quando esegui l'onboarding con il tuo partner sovrano, quest'ultimo esegue il provisioning delle risorse in Trusted Cloud e nel tuo EKM. Queste risorse includono un progetto Cloud KMS per gestire le chiavi Cloud EKM e una connessione EKM configurata per la gestione delle chiavi EKM da Cloud KMS. Il partner crea risorse nelle posizioni Trusted Cloud in base ai requisiti di residenza dei dati.
Ogni chiave Cloud EKM include metadati Cloud KMS, che consentono a Cloud EKM di inviare richieste al tuo EKM per eseguire operazioni di crittografia utilizzando il materiale della chiave esterna che non esce mai dal tuo EKM. Le chiavi Cloud EKM simmetriche includono anche il materiale delle chiavi interno di Cloud KMS che non esce mai da Trusted Cloud. Per saperne di più sui lati interno ed esterno delle chiavi Cloud EKM, consulta Come funziona Cloud EKM in questa pagina.
Per saperne di più su EKM gestito dal partner, consulta Configura Cloud KMS gestito dal partner.
Passaggi successivi
Inizia a utilizzare l'API.
Crea una connessione EKM per utilizzare EKM tramite VPC.
Leggi il riferimento dell'API Cloud KMS.
Scopri di più su Logging in Cloud KMS. La registrazione si basa sulle operazioni e si applica alle chiavi con livelli di protezione HSM e software.