Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Cloud de Confiance di S3NS. Per maggiori dettagli, consulta Differenze rispetto a Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Eseguire l'onboarding di Cloud HSM per Google Workspace

Questa pagina descrive come eseguire l'onboarding di Cloud HSM per Google Workspace (CHGWS), il servizio chiavi di crittografia per Google Workspace offerto da Cloud Key Management Service (Cloud KMS). Cloud HSM per Google Workspace fornisce controlli della privacy avanzati per Google Workspace, aiutandoti a rispettare gli standard normativi come DISA IL5 e a migliorare la sicurezza dei dati. Cloud HSM è un Key Management Service completamente gestito, altamente disponibile e conforme agli standard, gestito su scala cloud con chiavi hardware archiviate in HSM (moduli di sicurezza hardware) conformi a FIPS 140-2 di livello 3.

CHGWS è compatibile sia con le chiavi Cloud HSM multi-tenant sia con le chiavi Cloud HSM a tenant singolo.

Per saperne di più, vedi Cloud HSM per Google Workspace.

Prima di iniziare

Prima di eseguire l'onboarding di Cloud HSM per Google Workspace, completa i seguenti prerequisiti:

Configura un Google Workspace.
Abilita la crittografia lato client di Google Workspace (CSE) in Google Workspace.
Configura il provider di identità (IdP) in Google Workspace CSE. Prendi nota dell'ID client del tuo IdP. Se utilizzi Google Identity Platform, trova l'ID client nel tuo Cloud de Confiance progetto.
(Facoltativo) Se consenti l'accesso ai contenuti criptati con CSE su applicazioni della piattaforma diverse dal web (ad esempio mobile o desktop), aggiungi gli ID client per queste piattaforme nelle impostazioni dell'IdP nella Console di amministrazione di Google Workspace. Prendi nota di tutti gli ID client per questo IdP. Se utilizzi Google Identity Platform, trova questi ID client nel tuo Cloud de Confiance progetto. Per altri provider di identità, crea questi ID client separatamente.

Località compatibili

Puoi archiviare le chiavi Cloud KMS in qualsiasi località regionale o multi-regionale all'interno delle aree geografiche Stati Uniti o Europa. Cloud HSM per Google Workspace supporta sia le chiavi Cloud HSM multi-tenant sia le chiavi Cloud HSM a tenant singolo. Per trovare una località specifica, visita Località Cloud KMS e filtra in base al tipo di HSM.

Cloud HSM per Google Workspace fornisce automaticamente l'endpoint in una delle seguenti multi-regioni più vicine alla località della chiave:

us
eur3

Configurare un Cloud de Confiance progetto per Cloud KMS

Gli endpoint di Cloud HSM per Google Workspace si basano sulle chiavi Cloud KMS per le operazioni crittografiche. Configura un nuovo Cloud de Confiance progetto per ospitare le chiavi Cloud KMS.

Crea un Cloud de Confiance progetto. Questo è il tuo progetto chiave. Prendi nota dell'ID progetto e del numero di progetto; ti serviranno per completare la configurazione.

Importante: ti consigliamo vivamente di utilizzare un progetto dedicato Cloud de Confiance che contenga solo le chiavi CHGWS. In questo modo avrai un maggiore controllo sulla fatturazione. Per saperne di più, vedi Gestire la fatturazione.
Abilita la fatturazione per il progetto che hai creato.
Abilita l'API Cloud KMS nel tuo Cloud de Confiance progetto chiave.

Abilitare l'API
Nella Cloud de Confiance console, fai clic su terminale Attiva Cloud Shell.
Verifica di essere nel progetto corretto confrontando l'ID progetto con l'ID progetto nel prompt di Cloud Shell.
Utilizzando Cloud Shell, crea l'account di servizio Cloud HSM per Google Workspace:
```
gcloud beta services identity create \
    --service=cloudkmskacls-pa.googleapis.com
```
Prendi nota dell'identità dei servizi creata da questo comando. Il nome dell'identità dei servizi ti servirà nel passaggio successivo.

Concedi il ruolo Account di servizio chiave CHGWS all'account di servizio che hai creato:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkmskacls.s3ns-system.iam.gserviceaccount.com \
    --role=roles/cloudkmskacls.serviceAgent

Sostituisci quanto segue:

PROJECT_ID: l'ID progetto del tuo progetto chiave.
PROJECT_NUMBER: il numero del progetto chiave.

Gestire l'endpoint di servizio CHGWS

Le sezioni riportate di seguito mostrano come configurare e gestire gli endpoint CHGWS.

Configurare le chiavi Cloud KMS

Configura le risorse Cloud KMS per l'endpoint del servizio chiavi CHGWS.

Crea un keyring in una delle regioni supportate:
```
gcloud kms keyrings create KEY_RING --location LOCATION
```
- Sostituisci KEY_RING con il nome che vuoi utilizzare per il keyring CHGWS, ad esempio CHGWS_KEY_RING.
- Sostituisci LOCATION con la località in cui vuoi creare il keyring, ad esempio us.
Crea una chiave Cloud HSM.
Cloud HSM multi-tenant
Per creare una chiave con il livello di protezione hsm:
gcloud kms keys create KEY_NAME \ --protection-level "hsm" \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Sostituisci quanto segue:
- KEY_NAME: il nome che vuoi utilizzare per la chiave, ad esempio CHGWS_KEY.
- KEY_RING: il nome del key ring, ad esempio CHGWS_KEY_RING.
- LOCATION: la località in cui hai creato il keyring, ad esempio us.
- ROTATION_PERIOD: la frequenza con cui vuoi ruotare le chiavi, ad esempio 7d.
- NEXT_ROTATION_TIME: la data e l'ora in cui si verifica la prossima rotazione delle chiavi, ad esempio 2024-03-20T01:00:00.
Cloud HSM a tenant singolo
Per creare una chiave con il livello di protezione hsm_single_tenant, devi prima aver eseguito il provisioning di un'istanza Cloud HSM a tenant singolo nella stessa località.
1. Crea ed esegui il provisioning di un'istanza Cloud HSM a tenant singolo: segui le istruzioni riportate nella guida Creare e gestire un'istanza Cloud HSM a tenant singolo. Prendi nota dell'ID istanza di cui è stato eseguito il provisioning. Lo utilizzerai nel passaggio successivo.
2. Crea una chiave:
  
  gcloud kms keys create KEY_NAME \ --protection-level "hsm_single_tenant" \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --crypto-key-backend "projects/PROJECT_ID/locations/LOCATION/singleTenantHsmInstances/INSTANCE_NAME" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
  
  Sostituisci quanto segue:
  
  KEY_NAME: il nome che vuoi utilizzare per la chiave, ad esempio CHGWS_KEY.
  
  KEY_RING: il nome del key ring, ad esempio CHGWS_KEY_RING.
  
  LOCATION: la località in cui hai creato il keyring, ad esempio us.
  
  PROJECT_ID: l'ID progetto del tuo progetto chiave.
  
  INSTANCE_NAME: il nome dell'istanza Cloud HSM a tenant singolo in cui vuoi creare la chiave.
  
  ROTATION_PERIOD: la frequenza con cui vuoi ruotare le chiavi, ad esempio 7d.
  
  NEXT_ROTATION_TIME: la data e l'ora in cui si verifica la prossima rotazione delle chiavi, ad esempio 2024-03-20T01:00:00.
Per maggiori dettagli sulle opzioni di creazione delle chiavi, vedi Creare chiavi.

Richiedere l'onboarding e la creazione dell'endpoint

Per richiedere l'onboarding e la creazione dell'endpoint, contatta il tuo rappresentante dell'account per ricevere assistenza con l'invio di una richiesta di onboarding dell'endpoint. Nella richiesta, includi le seguenti informazioni:

Dettagli di Google Workspace
- ID Google Workspace: il tuo ID Google Workspace. Trova il tuo ID Google Workspace seguendo le istruzioni riportate in Trovare l'ID cliente.
- Indirizzi email degli amministratori di Google Workspace: fornisci un elenco separato da virgole di indirizzi email degli amministratori.
Dettagli del provider di identità (IdP)
- Dettagli del provider di identità (IdP) principale:
  - URL JWKS (JSON Web Key Set) dell'IdP: per Google Identity Platform, utilizza https://www.googleapis.com/oauth2/v3/certs.
  - Emittente del token JWT (JSON Web Token): per Google Identity Platform, utilizza https://accounts.google.com.
  - Segmento di pubblico JWT: l'ID client dell'IdP per le applicazioni web.
  - Segmenti di pubblico JWT aggiuntivi: facoltativo. Fornisci gli ID client per le applicazioni della piattaforma non web, se configurate. Per Google Identity Platform, utilizza gli ID client indicati in Se utilizzerai l'identità Google per la crittografia lato client.
- Dettagli dell'IdP ospite: facoltativo. Completa questa sezione se utilizzi un IdP ospite.
  - URL JWKS dell'IdP ospite: l'URL JWKS dell'IdP ospite.
  - Emittente del token JWT ospite: l'emittente del token JWT dell'IdP ospite.
  - Segmento di pubblico JWT ospite: l'ID client dell'IdP ospite per le applicazioni web, ad eccezione di Google Meet.
  - Segmenti di pubblico JWT aggiuntivi ospite: facoltativo. Se configuri un ID client web di Google Meet o altri ID client di applicazioni della piattaforma non web, fornisci gli ID client per ciascuno. Per Google Identity Platform, utilizza gli ID client indicati in Se utilizzerai l'identità Google per la crittografia lato client.
Importante: verifica che l'URL JWKS dell'IdP sia accessibile pubblicamente. Conferma i valori di Emittente del token JWT e Segmento di pubblico JWT con l'amministratore dell'IdP.
Dettagli della chiave CSE
- ID progetto Google Cloud: PROJECT_ID
- Numero progetto Google Cloud: PROJECT_NUMBER
- Nome keyring Cloud KMS: KEY_RING
- Località keyring Cloud KMS: LOCATION
- Nome chiave Cloud KMS: KEY_NAME
- Livello di protezione della chiave Cloud KMS: deve essere hsm o hsm_single_tenant
- URL di base CHGWS: facoltativo. Un elenco di URL per abilitare la migrazione delle chiavi. Se configuri CHGWS per la prima volta per questo Google Workspace, lascia vuoto questo campo.
Ulteriori dettagli
- Nome cliente: fornisci il nome del cliente.
- Numero previsto di utenti: fornisci il numero previsto di utenti nella tua istanza di Google Workspace.

Configurare l'endpoint CHGWS in Google Workspace CSE

Configura Google Workspace CSE in modo che utilizzi l'URL CHGWS generato quando hai creato l'endpoint CHGWS. Segui le istruzioni riportate in Aggiungere e gestire i servizi chiavi per la crittografia lato client.

Migrazione del servizio chiavi

CHGWS offre la flessibilità di spostare il servizio chiavi da o verso CHGWS. Per avviare la migrazione di un servizio chiavi, contatta il tuo rappresentante dell'account per ricevere assistenza con l'invio di una richiesta di migrazione. Nella richiesta, includi le seguenti informazioni:

ID endpoint: l'ID endpoint di CHGWS.
URL del servizio chiavi: un elenco di URL per abilitare la migrazione del servizio chiavi.
- Se esegui la migrazione a Cloud HSM per Google Workspace, fornisci l'URL di base di ogni endpoint del servizio chiavi da cui esegui la migrazione.
- Se esegui la migrazione da Cloud HSM per Google Workspace, fornisci gli URL di base degli endpoint del servizio chiavi a cui vuoi eseguire la migrazione.
Importante: se esegui la migrazione tra due endpoint Cloud HSM per Google Workspace diversi, invia due richieste separate: una dall' endpoint precedente e l'altra all' nuovo endpoint.

Eliminare o disabilitare gli endpoint

Le operazioni di eliminazione o disabilitazione sull'endpoint Cloud HSM per Google Workspace non sono supportate direttamente. Tuttavia, puoi disabilitare un endpoint Cloud HSM per Google Workspace disabilitando tutte le versioni delle chiavi Cloud KMS di backup.

Per ogni versione della chiave Cloud KMS di backup dell'endpoint, esegui il seguente comando:
```
gcloud kms keys versions disable KEY_VERSION --keyring \
    KEY_RING --location LOCATION --key KEY_NAME
```
Sostituisci quanto segue:
- KEY_VERSION: la versione della chiave che vuoi disabilitare, ad esempio 1.
- KEY_RING: il nome del keyring, ad esempio CHGWS_KEY_RING.
- LOCATION: la località in cui vuoi disabilitare, ad esempio us.
- KEY_NAME: il nome della chiave, ad esempio CHGWS_KEY.

Abilitare gli endpoint

Se hai disabilitato un endpoint CHGWS disabilitando tutte le versioni delle chiavi della chiave Cloud KMS di backup, puoi riabilitare l'endpoint CHGWS. Per riabilitare l'endpoint, abilita tutte le versioni attive della chiave Cloud KMS di backup utilizzando il seguente comando gcloud CLI:

Per ogni versione della chiave Cloud KMS di backup dell'endpoint, esegui il seguente comando:
```
gcloud kms keys versions enable KEY_VERSION --keyring \
    KEY_RING --location LOCATION --key KEY_NAME
```
Sostituisci quanto segue:
- KEY_VERSION: la versione della chiave che vuoi abilitare, ad esempio 1.
- KEY_RING: il nome del keyring, ad esempio CHGWS_KEY_RING.
- LOCATION: la località in cui vuoi abilitare, ad esempio us.
- KEY_NAME: il nome della chiave, ad esempio CHGWS_KEY.

Gestire la fatturazione per CHGWS

La fatturazione inizia non appena ti viene fornito l'endpoint CHGWS richiesto nella tua richiesta di onboarding. Da quel momento in poi, gli addebiti ricorrenti dell'abbonamento a Cloud HSM per Google Workspace continuano finché la fatturazione rimane abilitata nel Cloud de Confiance progetto, anche se disabiliti l'endpoint CHGWS. Questa sezione spiega come interrompere l'accumulo di addebiti per Cloud HSM per Google Workspace e come riprenderli.

Disabilitare/abilitare la fatturazione del progetto

Puoi disabilitare la fatturazione per il progetto che contiene le tue chiavi Cloud KMS per Cloud HSM per Google Workspace. La disabilitazione della fatturazione comporta l'interruzione del funzionamento di tutti i servizi a pagamento all'interno del progetto. Dopo aver disabilitato la fatturazione a livello di progetto, prevedi che gli addebiti dell'abbonamento a Cloud HSM per Google Workspace si interrompano entro 24 ore.

Quando vuoi riprendere a utilizzare Cloud HSM per Google Workspace, puoi riabilitare la fatturazione per il progetto. Dopo aver riabilitato la fatturazione, le quote di abbonamento riprendono e l'endpoint CHGWS e le chiavi Cloud KMS funzionano di nuovo normalmente.

Richiedere la disattivazione o l'attivazione manuale

Se devi disabilitare l'endpoint CHGWS mantenendo attive le altre risorse del progetto, invia una richiesta simile alla richiesta di onboarding. Fornisci i dettagli di Google Workspace, l'ID endpoint CHGWS e altri dettagli pertinenti e descrivi il tuo requisito. Il team CHGWS può impiegare 48 ore per completare i ticket manuali. Una volta completata la richiesta, prevedi che gli addebiti dell'abbonamento a Cloud HSM per Google Workspace si interrompano entro 24 ore.

Puoi riabilitare l'endpoint CHGWS e la relativa fatturazione creando una richiesta simile.

Eliminare o ripristinare il progetto

Puoi eliminare il progetto che contiene le tue chiavi Cloud KMS per Cloud HSM per Google Workspace. L'eliminazione di un progetto interrompe tutti i servizi al suo interno. Puoi recuperare un progetto eliminato entro 30 giorni dall'eliminazione. Tuttavia, le chiavi Cloud KMS nel progetto non possono essere recuperate, quindi tutti i documenti e gli altri dati criptati con le chiavi nel progetto ripristinato rimangono criptati in modo permanente. Il ripristino di un progetto eliminato riprende gli addebiti dell'abbonamento a Cloud HSM per Google Workspace, anche se le chiavi Cloud KMS rimangono irrecuperabili.

Passaggi successivi

Scopri di più su Cloud HSM per Google Workspace.
Scopri di più su Cloud Key Management Service.
Scopri come aggiungere e gestire i servizi chiavi per la crittografia lato client.