Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance da S3NS. Consulte Diferenças do Google Cloud para saber mais.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Usar chaves do Cloud KMS em Cloud de Confiance

Nesta página, explicamos como usar chaves de criptografia gerenciadas pelo cliente do Cloud KMS em outros serviços do Cloud de Confiance para proteger seus recursos. Para mais informações, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

Quando um serviço é compatível com CMEK, diz-se que ele tem uma integração com CMEK. Alguns serviços, como o GKE, têm várias integrações CMEK para proteger diferentes tipos de dados relacionados ao serviço. Para conferir uma lista de serviços com integrações de CMEK, consulte Ativar a CMEK para serviços compatíveis nesta página.

Antes de começar

Antes de usar as chaves do Cloud KMS em outros serviços do Cloud de Confiance , é necessário ter um recurso de projeto para conter as chaves do Cloud KMS. Recomendamos usar um projeto separado para os recursos do Cloud KMS que não contenha outros recursos Cloud de Confiance .

Integrações com CMEK

Preparar para ativar a integração da CMEK

Para saber mais sobre as etapas exatas para ativar o CMEK, consulte a documentação doCloud de Confiance serviço relevante. Você encontra um link para a documentação da CMEK de cada serviço em Ativar a CMEK para serviços compatíveis nesta página. Para cada serviço, você vai seguir etapas semelhantes a estas:

Crie um keyring ou selecione um keyring existente. O keyring precisa estar o mais próximo possível dos recursos que você quer proteger.
No keyring selecionado, crie uma chave ou selecione uma chave atual. Verifique se o nível de proteção, a finalidade e o algoritmo da chave são adequados para os recursos que você quer proteger. Essa chave é a chave CMEK.
Encontre o ID do recurso da chave CMEK. Você vai precisar desse ID de recurso mais tarde.
Conceda o papel do IAM de Criptografador/Descriptografador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) na chave CMEK à conta de serviço.

Observação: é possível conceder o papel de criptografador/descriptografador de CryptoKey do Cloud KMS no nível da chave, do keyring, do projeto, da pasta ou da organização. Para seguir o princípio de privilégio mínimo, recomendamos conceder esse papel no nível mais baixo que atenda às suas necessidades.
Atenção :enquanto sua conta de serviço tiver o papel de criptografador/descriptografador do CryptoKey do Cloud KMS, o serviço poderá criptografar e descriptografar os dados. Se você revogar a função ou desativar ou destruir a chave da CMEK, os dados não poderão mais ser acessados. Deixar a chave CMEK inacessível pode afetar seus serviços.

Depois de criar a chave e atribuir as permissões necessárias, você pode criar ou configurar um serviço para usar sua chave de CMEK.

Usar chaves do Cloud KMS com serviços integrados à CMEK

As etapas a seguir usam o Secret Manager como exemplo. Para conferir as etapas exatas de uso de uma chave CMEK do Cloud KMS em um determinado serviço, localize esse serviço na lista de serviços integrados à CMEK.

No Secret Manager, é possível usar uma CMEK para proteger dados em repouso.

No console do Cloud de Confiance , acesse a página Secret Manager.

Acessar o Secret Manager
Para criar um secret, clique em Criar secret.
Na seção Criptografia, selecione Usar uma chave de criptografia gerenciada pelo cliente (CMEK).
Na caixa Chave de criptografia, faça o seguinte:
1. Opcional: para usar uma chave em outro projeto, faça o seguinte:
  1. Clique em Mudar de projeto.
  2. Digite todo ou parte do nome do projeto na barra de pesquisa e selecione-o.
  3. Para conferir as chaves disponíveis para o projeto selecionado, clique em Selecionar.
2. Opcional: para filtrar as chaves disponíveis por local, keyring, nome ou nível de proteção, insira os termos de pesquisa na barra de filtro .
3. Selecione uma chave na lista de chaves disponíveis no projeto selecionado. Use os detalhes de local, keyring e nível de proteção exibidos para escolher a chave correta.
4. Se a chave que você quer usar não estiver na lista, clique em Inserir chave manualmente e digite o ID do recurso da chave.
Conclua a configuração do secret e clique em Criar secret. O Secret Manager cria e criptografa o secret usando a chave CMEK especificada.

Ativar a CMEK para serviços compatíveis

Para ativar a CMEK, primeiro localize o serviço desejado na tabela a seguir. Você pode inserir termos de pesquisa no campo para filtrar a tabela. Os produtos que se integram ao Cloud KMS ao usar chaves externas do Cloud EKM são indicados na coluna Compatível com EKM.

Siga as instruções de cada serviço em que você quer ativar as chaves da CMEK.

Serviço	Protegido com CMEK	Compatível com EKM	Tópico
Artifact Registry	Dados em repositórios	Sim	Como ativar chaves de criptografia gerenciadas pelo cliente
BigQuery	Dados no BigQuery	Sim	Como proteger dados com chaves do Cloud KMS
Cloud Logging	Dados no armazenamento do Logging	Sim	Gerenciar as chaves que protegem os dados de armazenamento do Logging
Cloud SQL	Dados gravados em bancos de dados	Sim	Como usar chaves de criptografia gerenciadas pelo cliente
Cloud Storage	Dados em buckets de armazenamento	Sim	Como usar chaves de criptografia gerenciadas pelo cliente
Compute Engine	Snapshots	Sim	Como proteger recursos com chaves do Cloud KMS
Compute Engine	Imagens personalizadas	Sim	Como proteger recursos com chaves do Cloud KMS
Compute Engine	Imagens de máquina	Sim	Como proteger recursos com chaves do Cloud KMS
Pub/Sub	Dados associados a temas	Sim	Como configurar a criptografia de mensagens