Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Cloud External Key Manager

Esta página oferece uma vista geral do Cloud External Key Manager (Cloud EKM).

Terminologia

External key manager (EKM)

O gestor de chaves usado fora do Cloud de Confiance para gerir as suas chaves.
Cloud External Key Manager (Cloud EKM)

Um Cloud de Confiance serviço para usar as suas chaves externas que são geridas num EKM suportado.
Cloud EKM através de uma VPC

Uma versão do Cloud EKM em que Cloud de Confiance comunica com o seu gestor de chaves externo através de uma nuvem virtual privada (VPC). Para mais informações, consulte o artigo Vista geral da rede VPC.
Gestão de chaves EKM a partir do Cloud KMS

As suas chaves usam o modo de gestão do Cloud KMS EKM para simplificar o processo de manutenção de chaves externas no seu parceiro de gestão de chaves externas e no Cloud EKM. Para mais informações, consulte as secções Chaves externas coordenadas e Gestão de chaves EKM a partir do Cloud KMS nesta página.
Espaço cripto

Um contentor para os seus recursos no parceiro de gestão de chaves externo. O seu espaço de criptomoedas é identificado por um caminho de espaço de criptomoedas exclusivo. O formato do caminho do espaço de encriptação varia consoante o parceiro de gestão de chaves externo. Por exemplo, v0/cryptospaces/YOUR_UNIQUE_PATH.
EKM gerido por parceiros

Um acordo em que a GCE é gerida por si por um parceiro fidedigno. Para mais informações, consulte o artigo EKM gerido pelo parceiro nesta página.

Vista geral

Com o Cloud EKM, pode usar chaves que gere num parceiro de gestão de chaves externo suportado para proteger dados no Cloud de Confiance. Pode proteger os dados em repouso nos serviços de integração de CMEK suportados ou chamando diretamente a API Cloud Key Management Service.

O Cloud EKM oferece várias vantagens:

Proveniência das chaves: controla a localização e a distribuição das suas chaves geridas externamente. As chaves geridas externamente nunca são colocadas em cache nem armazenadas no Cloud de Confiance. Em alternativa, o Cloud EKM comunica diretamente com o parceiro de gestão de chaves externo para cada pedido.
Controlo de acesso: gere o acesso às suas chaves geridas externamente no seu gestor de chaves externo. Não pode usar uma chave gerida externamente em Cloud de Confiance sem primeiro conceder ao projeto Cloud de Confiance acesso à chave no seu gestor de chaves externo. Pode revogar este acesso em qualquer altura.
Gestão de chaves centralizada: pode gerir as suas chaves e políticas de acesso a partir de uma única interface do utilizador, quer os dados que protegem residam na nuvem ou nas suas instalações.

Em todos os casos, a chave reside no sistema externo e nunca é enviada para a Google.

Comunica com o seu gestor de chaves externo através de uma nuvem virtual privada (VPC).

Como funciona o Cloud EKM

As versões das chaves do Cloud EKM são compostas por estas partes:

Material de chaves externo: o material de chaves externo de uma chave do Cloud EKM é material criptográfico criado e armazenado no seu EKM. Este material não sai da sua GCE e nunca é partilhado com a Google.
Referência da chave: cada versão da chave do Cloud EKM contém um URI da chave ou um caminho da chave. Este é um identificador exclusivo para o material de chaves externo que o Cloud EKM usa quando pede operações criptográficas com a chave.
Material de chave interno: quando é criada uma chave simétrica do Cloud EKM, o Cloud KMS cria material de chave adicional no Cloud KMS, que nunca sai do Cloud KMS. Este material de chaves é usado como uma camada adicional de encriptação quando comunica com o seu EKM. Este material de chave interno não se aplica a chaves de assinatura assimétricas.

Para usar as suas chaves do Cloud EKM, o Cloud EKM envia pedidos de operações criptográficas ao seu EKM. Por exemplo, para encriptar dados com uma chave de encriptação simétrica, o Cloud EKM encripta primeiro os dados com o material da chave interna. Os dados encriptados são incluídos num pedido ao EKM. O EKM envolve os dados encriptados noutra camada de encriptação através do material de chaves externas e, em seguida, devolve o texto cifrado resultante. Não é possível desencriptar dados encriptados com uma chave do Cloud EKM sem o material da chave externa e o material da chave interna.

A criação e a gestão de chaves do Cloud EKM requerem alterações correspondentes no Cloud KMS e no EKM. As suas chaves são chaves externas coordenadas, pelo que estas alterações correspondentes são processadas por si através do plano de controlo do Cloud EKM. Para mais informações, consulte o artigo Chaves externas coordenadas nesta página.

O diagrama seguinte mostra como o Cloud KMS se enquadra no modelo de gestão de chaves. Este diagrama usa o Compute Engine e o BigQuery como dois exemplos; também pode ver a lista completa dos serviços que suportam chaves do Cloud EKM.

Diagrama que ilustra a encriptação e a desencriptação com o EKM na nuvem

Pode saber mais acerca das considerações e das restrições quando usar o EKM do Google Cloud.

Chaves externas coordenadas

Esta secção fornece uma vista geral de como o Cloud EKM funciona com chaves externas coordenadas.

Configura uma ligação EKM, definindo o modo de gestão EKM como Cloud KMS. Durante a configuração, tem de autorizar o seu EKM a aceder à sua rede VPC e autorizar aCloud de Confiance conta de serviço do projeto a aceder ao seu espaço de encriptação no seu EKM. A sua ligação EKM usa o nome do anfitrião do EKM e um caminho do espaço criptográfico que identifica os seus recursos no EKM.
Cria uma chave externa no Cloud KMS. Quando cria uma chave do EKM na nuvem através de uma ligação EKM sobre VPC com o modo de gestão do EKM do Cloud KMS ativado, os passos seguintes ocorrem automaticamente:
1. O Cloud EKM envia um pedido de criação de chaves para o seu EKM.
2. O seu EKM cria o material de chaves pedido. Este material de chaves externo permanece no EKM e nunca é enviado para a Google.
3. O EKM devolve um caminho de chave ao Cloud EKM.
4. O Cloud EKM cria a versão da chave do Cloud EKM através do caminho da chave fornecido pelo seu EKM.
As operações de manutenção em chaves externas coordenadas podem ser iniciadas a partir do Cloud KMS. Por exemplo, as chaves externas coordenadas usadas para a encriptação simétrica podem ser rodadas automaticamente num horário definido. A criação de novas versões de chaves é coordenada no seu EKM pelo Cloud EKM. Também pode acionar a criação ou a destruição de versões de chaves no seu EKM a partir do Cloud KMS através daCloud de Confiance consola, da CLI gcloud, da API Cloud KMS ou das bibliotecas de cliente do Cloud KMS.

No Cloud de Confiance, a chave aparece juntamente com as outras chaves do Cloud KMS e do Cloud HSM, com o nível de proteção EXTERNAL_VPC. A chave do Cloud EKM e a chave do parceiro de gestão de chaves externo funcionam em conjunto para proteger os seus dados. O material de chave externo nunca é exposto à Google.

Gestão de chaves EKM a partir do Cloud KMS

As chaves externas coordenadas são possíveis através de ligações EKM que usam a gestão de chaves EKM do Cloud KMS. Se o seu EKM suportar o plano de controlo do Cloud EKM, pode ativar a gestão de chaves do EKM a partir do Cloud KMS para as suas ligações EKM de modo a criar chaves externas coordenadas. Com a gestão de chaves EKM do Cloud KMS ativada, o Cloud EKM pode pedir as seguintes alterações no seu EKM:

Criar uma chave: quando cria uma chave gerida externamente no Cloud KMS através de uma ligação EKM compatível, o Cloud EKM envia o seu pedido de criação de chave para o EKM. Quando bem-sucedido, o EKM cria a nova chave e o material da chave, e devolve o caminho da chave para o Cloud EKM usar para aceder à chave.
Rodar uma chave: quando roda uma chave gerida externamente no Cloud KMS através de uma ligação EKM compatível, o Cloud EKM envia o seu pedido de rotação para o EKM. Quando bem-sucedido, o EKM cria novo material de chaves e devolve o caminho da chave para o Cloud EKM usar para aceder à nova versão da chave.
Destruir uma chave: quando destrói uma versão de chave para uma chave gerida externamente no Cloud KMS através de uma ligação EKM compatível, o Cloud KMS agenda a versão de chave para destruição no Cloud KMS. Se a versão da chave não for restaurada antes do período agendado para destruição terminar, o Cloud EKM destrói a respetiva parte do material criptográfico da chave e envia um pedido de destruição para o seu EKM.

Os dados encriptados com esta versão da chave não podem ser desencriptados depois de a versão da chave ser destruída no Cloud KMS, mesmo que o EKM ainda não tenha destruído a versão da chave. Pode ver se o EKM destruiu com êxito a versão da chave, consultando os detalhes da chave no Cloud KMS.

Quando as chaves no seu EKM são geridas a partir do Cloud KMS, o material da chave continua a residir no seu EKM. A Google não pode fazer pedidos de gestão de chaves ao seu EKM sem autorização explícita. A Google não pode alterar as autorizações no sistema de parceiros de gestão de chaves externas. Se revogar as autorizações da Google no seu EKM, as operações de gestão de chaves tentadas no Cloud KMS falham.

Compatibilidade

Gestores de chaves suportados

Pode armazenar chaves externas nos seguintes sistemas de parceiros de gestão de chaves externas:

Suportado hoje:
- Fortanix
- Futurex
- Thales

Serviços que suportam CMEK com o Cloud EKM

Os seguintes serviços suportam a integração com o Cloud KMS para chaves externas (Cloud EKM):

Agente de ajuda
AlloyDB para PostgreSQL
Apigee API hub
Integração de aplicações
Artifact Registry
Cópia de segurança do GKE
BigQuery
Bigtable
Cloud Composer
Cloud Data Fusion
Cloud Healthcare API
Cloud Logging: Dados no Log Router e dados no armazenamento do Logging
Cloud Run
Funções do Cloud Run
Cloud SQL
Cloud Storage
Cloud Tasks
Cloud Workstations
Compute Engine: Persistent Disks, Instantâneos, Imagens personalizadas, e imagens de máquinas
Conversational Insights
Database Migration Service: Migrações do MySQL: dados escritos em bases de dados, Migrações do PostgreSQL: dados escritos em bases de dados, Migrações do PostgreSQL para o AlloyDB: dados escritos em bases de dados, Migrações do SQL Server: dados escritos em bases de dados, e dados do Oracle para o PostgreSQL em repouso
Dataflow
Dataform
Dataplex Universal Catalog
Dataproc: Dados dos clusters do Dataproc em discos de VMs e dados do Dataproc sem servidor em discos de VMs
Dataproc Metastore
Stream de dados
Dialogflow CX
Document AI
Eventarc Advanced (Pré-visualização)
Eventarc Standard
Filestore
Firestore
Google Cloud Managed Service para Apache Kafka
Google Cloud NetApp Volumes
Google Distributed Cloud
Google Kubernetes Engine: Dados em discos de VMs e secrets da camada de aplicação
Conetores de integração
Looker (Google Cloud core)
Memorystore para Redis
Memorystore for Redis Cluster
Memorystore for Valkey
Migre para máquinas virtuais: Dados migrados de origens de VMs VMware, AWS e Azure e dados migrados de origens de imagens de discos e máquinas
Gestor de parâmetros
Pub/Sub
Secret Manager
Secure Source Manager
Spanner
Speaker ID (GA restrito)
Conversão de voz em texto
Vertex AI
Instâncias do Vertex AI Workbench
Fluxos de trabalho
Workload Manager

Considerações

Quando usa uma chave do Cloud EKM, a Google não tem controlo sobre a disponibilidade da sua chave gerida externamente no sistema de parceiros de gestão de chaves externas. Se perder chaves que gere fora do Cloud de Confiance, a Google não pode recuperar os seus dados.
Reveja as diretrizes sobre parceiros e regiões de gestão de chaves externas quando escolher as localizações para as suas chaves do Cloud EKM.
A comunicação com um serviço externo através da Internet pode originar problemas de fiabilidade, disponibilidade e latência. Para aplicações com baixa tolerância a estes tipos de riscos, considere usar o Cloud HSM ou o Cloud KMS para armazenar o seu material de chaves.
- Se uma chave externa não estiver disponível, o Cloud KMS devolve um erro FAILED_PRECONDITION e fornece detalhes no detalhe do erro PreconditionFailure.
  
  Ative o registo de auditoria de dados para manter um registo de todos os erros relacionados com o EKM da nuvem. As mensagens de erro contêm informações detalhadas para ajudar a identificar a origem do erro. Um exemplo de um erro comum é quando um parceiro de gestão de chaves externo não responde a um pedido num período razoável.
- Precisa de um contrato de apoio técnico com o parceiro de gestão de chaves externo. Cloud de Confiance O apoio técnico só pode ajudar com problemas nos Cloud de Confiance serviços e não pode ajudar diretamente com problemas em sistemas externos. Por vezes, tem de trabalhar com o apoio técnico de ambos os lados para resolver problemas de interoperabilidade.
O EKM da nuvem pode ser usado com o HSM de rack de metal não revestido para criar uma solução de HSM de inquilino único integrada com o Cloud KMS. Para saber mais, escolha um parceiro do EKM na nuvem que suporte HSMs de inquilino único e reveja os requisitos para HSMs de rack de metal sem revestimento.
Ative o registo de auditoria no seu gestor de chaves externo para capturar o acesso e a utilização das suas chaves EKM.

Aviso: quando usa chaves do EKM na nuvem, existe o risco de a chave ficar indisponível. Consoante os serviços que estiver a usar, isto pode causar erros fatais ou dados inacessíveis. Por exemplo, se usar uma chave CMEK externa para encriptar segredos da camada de aplicação do Google Kubernetes Engine, os seus nós podem ficar indisponíveis se não conseguirem desencriptar os segredos. A incapacidade de aceder à chave externa também pode causar a perda permanente de dados. Por exemplo, se a chave CMEK usada para encriptar uma base de dados do Spanner permanecer indisponível durante mais de 30 dias consecutivos, o Spanner elimina automaticamente a base de dados. Quando a versão da chave atual não está disponível, não pode recuperar os dados alterando para uma nova versão da chave. Para uma melhor disponibilidade, considere usar o EKM do Google Cloud através da VPC ou as chaves do HSM do Google Cloud.

Restrições

Quando cria uma chave do EKM do Google Cloud através da API ou da CLI do Google Cloud, esta não pode ter uma versão inicial da chave. Isto não se aplica às chaves EKM da nuvem criadas através daCloud de Confiance consola
As operações do Cloud EKM estão sujeitas a quotas específicas, além das quotas nas operações do Cloud KMS.

Chaves de encriptação simétrica

As chaves de encriptação simétrica só são suportadas para o seguinte:
- Chaves de encriptação geridas pelo cliente (CMEK) nos serviços de integração suportados.
- Encriptação e desencriptação simétricas com o Cloud KMS diretamente.
Os dados encriptados pelo Cloud EKM com uma chave gerida externamente não podem ser desencriptados sem usar o Cloud EKM.

Chaves de assinatura assimétricas

As chaves de assinatura assimétricas estão limitadas a um subconjunto de algoritmos do Cloud KMS.
As chaves de assinatura assimétricas só são suportadas para os seguintes exemplos de utilização:
- Assinatura assimétrica através do Cloud KMS diretamente.
- Chave de assinatura personalizada com aprovação de acesso.
Depois de definir um algoritmo de assinatura assimétrico numa chave do Cloud EKM, não é possível modificá-lo.
A assinatura tem de ser feita no campo data.

EKM gerido pelo parceiro

O EKM gerido pelo parceiro permite-lhe usar o Cloud EKM através de um parceiro soberano de confiança que gere o seu sistema EKM por si. Com o EKM gerido pelo parceiro, o parceiro cria e gere as chaves que usa no Cloud EKM. O parceiro garante que a sua GCE cumpre os requisitos de soberania.

Quando faz a integração com o seu parceiro soberano, o parceiro aprovisiona recursos na Cloud de Confiance e no seu EKM. Estes recursos incluem um projeto do Cloud KMS para gerir as suas chaves do Cloud EKM e uma ligação do EKM configurada para a gestão de chaves do EKM a partir do Cloud KMS. O parceiro cria recursos em Cloud de Confiance localizações de acordo com os seus requisitos de residência dos dados.

Cada chave do Cloud EKM inclui metadados do Cloud KMS, que permitem ao Cloud EKM enviar pedidos para o seu EKM para realizar operações criptográficas usando o material de chave externo que nunca sai do seu EKM. As chaves simétricas do Cloud EKM também incluem material de chave interno do Cloud KMS que nunca sai do Cloud de Confiance. Para mais informações sobre os lados interno e externo das chaves do EKM do Google Cloud, consulte a secção Como funciona o EKM do Google Cloud nesta página.

Para mais informações sobre a GCE de gestão de parceiros, consulte o artigo Configure o Cloud KMS gerido por parceiros.

O que se segue?

Comece a usar a API.
Crie uma ligação EKM para usar o EKM através do VPC.
Leia a referência da API Cloud KMS.
Saiba mais sobre o registo no Cloud KMS. O registo baseia-se em operações e aplica-se a chaves com níveis de proteção de HSM e software.