Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Recursos do Cloud KMS

Esta página descreve cada tipo de recurso no Cloud KMS. Pode saber mais acerca da hierarquia de recursos.

Chaves

Uma chave do Cloud KMS é um objeto com nome que contém uma ou mais versões da chave, juntamente com metadados para a chave. Uma chave existe exatamente num conjunto de chaves associado a uma localização específica.

Pode permitir e negar o acesso a chaves através de autorizações e funções da gestão de identidade e de acesso (IAM). Não pode gerir o acesso a uma versão da chave.

A desativação ou a destruição de uma chave também desativa ou destrói cada versão da chave.

As secções seguintes abordam as propriedades de uma chave.

Consoante o contexto, as propriedades de uma chave são apresentadas num formato diferente.

Quando usa a CLI Google Cloud ou a API Cloud Key Management Service, a propriedade é apresentada como uma string de letras maiúsculas, como SOFTWARE.
Quando usa a Trusted Cloud consola, a propriedade é apresentada como uma string com capitalização inicial, como Software.

Nas secções seguintes, cada formato é apresentado onde é adequado.

Tipo

O tipo de uma chave determina se a chave é usada para operações criptográficas simétricas ou assimétricas.

Na encriptação ou assinatura simétrica, é utilizada a mesma chave para encriptar e desencriptar dados ou para assinar e validar uma assinatura.

Na encriptação ou assinatura assimétrica, a chave consiste numa chave pública e numa chave privada. Uma chave privada com a respetiva chave pública correspondente chama-se par de chaves.

A chave privada é um dado sensível e é necessária para desencriptar dados ou para assinar, consoante a finalidade configurada da chave.
A chave pública não é considerada sensível e é necessária para encriptar dados ou para validar uma assinatura, consoante a finalidade configurada da chave.

O tipo de uma chave é um componente da finalidade da chave e não pode ser alterado depois de a chave ser criada.

Finalidade

A finalidade de uma chave indica o tipo de operações criptográficas para as quais a chave pode ser usada, por exemplo, encriptação/desencriptação simétrica ou assinatura assimétrica. Escolhe a finalidade quando cria a chave, e todas as versões de uma chave têm a mesma finalidade. Não é possível alterar a finalidade de uma chave depois de a chave ser criada. Para mais informações sobre as finalidades principais, consulte o artigo Finalidades principais.

Nível de proteção

O nível de proteção de uma chave determina o ambiente de armazenamento da chave em repouso. O nível de proteção é um dos seguintes:

Software (SOFTWARE)
External_VPC (EXTERNAL_VPC)

Não é possível alterar o nível de proteção de uma chave após a criação da mesma.

Versão principal

As chaves podem ter várias versões de chaves ativas e ativadas em simultâneo. As chaves de encriptação simétricas têm uma versão de chave principal, que é a versão de chave usada por predefinição para encriptar dados se não especificar uma versão de chave.

As chaves assimétricas não têm versões principais. Tem de especificar a versão quando usar a chave.

Para chaves simétricas e assimétricas, pode usar qualquer versão de chave ativada para encriptar e desencriptar dados ou para assinar e validar assinaturas.

Versões da chave

Cada versão de uma chave contém material de chave usado para encriptação ou assinatura. A cada versão é atribuído um número de versão, começando por 1. A rotação de uma chave cria uma nova versão da chave. Pode saber mais sobre a rotação de chaves.

Para desencriptar dados ou validar uma assinatura, tem de usar a mesma versão da chave que foi usada para encriptar ou assinar os dados. Para encontrar o ID de recurso de uma versão da chave, consulte o artigo Obter o ID de recurso de uma chave.

Pode desativar ou destruir versões de chaves individuais sem afetar outras versões. Também pode desativar ou destruir todas as versões de chaves para uma determinada chave.

Não pode controlar o acesso às versões das chaves independentemente das autorizações em vigor na chave. A concessão de acesso a uma chave concede acesso a todas as versões ativadas dessa chave.

Por motivos de segurança, nenhum Trusted Cloud principal pode ver nem exportar o material da chave criptográfica não processado representado por uma versão da chave. Em alternativa, o Cloud KMS acede ao material da chave em seu nome.

As secções seguintes abordam as propriedades de uma versão da chave.

Estado

Cada versão da chave tem um estado que indica o respetivo estado. Normalmente, o estado de uma chave é um dos seguintes:

Ativado
Desativado
Agendada para destruição
Destruída

Uma versão da chave só pode ser usada quando está ativada. As versões das chaves em qualquer estado que não seja destruído incorrem em custos. Para mais informações sobre os estados das versões das chaves e como as versões podem transitar entre eles, consulte o artigo Estados das versões das chaves.

Algoritmo

O algoritmo de uma versão da chave determina como o material da chave é criado e os parâmetros necessários para as operações criptográficas. As chaves simétricas e assimétricas usam algoritmos diferentes. A encriptação e a assinatura usam algoritmos diferentes.

Se não especificar um algoritmo quando criar uma nova versão da chave, é usado o algoritmo da versão anterior.

Independentemente do algoritmo, o Cloud KMS usa a encriptação probabilística, pelo que o mesmo texto simples encriptado duas vezes com a mesma versão da chave não devolve o mesmo texto encriptado.

Conjuntos de chaves

Um porta-chaves organiza as chaves numa Trusted Cloud localização específica e permite-lhe gerir o controlo de acesso em grupos de chaves. O nome de um conjunto de chaves não tem de ser exclusivo num Trusted Cloud projeto, mas tem de ser exclusivo numa determinada localização. Após a criação, não é possível eliminar um anel de chaves.

Ligações de GCE

Uma ligação EKM é um recurso do Cloud KMS que organiza as ligações VPC aos seus EKMs no local numaTrusted Cloud localização específica. Uma ligação EKM permite-lhe estabelecer ligação e usar chaves de um gestor de chaves externo através de uma rede VPC. Após a criação, não é possível eliminar uma associação de EKM.

Obter o ID de um recurso

Algumas chamadas da API e da CLI gcloud podem exigir que faça referência a um conjunto de chaves, uma chave ou uma versão da chave pelo respetivo ID do recurso, que é uma string que representa o nome CryptoKeyVersion totalmente qualificado. Os IDs de recursos são hierárquicos, semelhantes a um caminho do sistema de ficheiros. O ID de recurso de uma chave também contém informações sobre o conjunto de chaves e a localização.

Objeto	Formato do ID do recurso
Conjunto de chaves	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING`
Chave	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME`
Versão da chave	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION`
Ligação EKM	`projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION`

Para saber mais, consulte o artigo Obter um ID de recurso do Cloud KMS.

Organizar recursos

Quando estiver a planear como organizar os recursos no seu Trusted Cloud projeto, tenha em conta as regras da sua empresa e como planeia gerir o acesso. Pode conceder acesso a uma única chave, a todas as chaves num anel de chaves ou a todas as chaves num projeto. Os seguintes padrões de organização são comuns:

Por ambiente, como prod, test e develop.
Por área de trabalho, como payroll ou insurance_claims.
Por sensibilidade ou caraterísticas dos dados, como unrestricted, restricted, confidential e top-secret.

Ciclos de vida dos recursos

Não é possível eliminar anéis de chaves, chaves nem versões de chaves. Isto garante que o identificador de recurso de uma versão da chave é único e aponta sempre para o material da chave original dessa versão da chave, a menos que tenha sido destruído. Pode armazenar um número ilimitado de conjuntos de chaves, chaves ativadas ou desativadas e versões de chaves ativadas, desativadas ou destruídas. Para mais informações, consulte Quotas.

Para saber como destruir ou restaurar uma versão de chave, consulte o artigo Destruir e restaurar versões de chaves.

Depois de agendar o encerramento de um Trusted Cloud by S3NS projeto, não pode aceder aos recursos do projeto, incluindo os recursos do Cloud KMS, a menos que recupere o projeto seguindo os passos para restaurar um projeto.

O que se segue?

Crie uma chave.
Saiba mais acerca das autorizações e funções no Cloud KMS.