Chaves de encriptação geridas do cliente

Por predefinição, a integração de aplicações encripta o conteúdo do cliente em repouso. A integração de aplicações processa a encriptação por si sem ações adicionais da sua parte. Esta opção chama-se Encriptação predefinida da Google.

Se quiser controlar as suas chaves de encriptação, pode usar chaves de encriptação geridas pelo cliente (CMEKs) no Cloud KMS com serviços integrados com CMEK, incluindo a Application Integration. A utilização de chaves do Cloud KMS dá-lhe controlo sobre o respetivo nível de proteção, localização, programação de rotação, utilização, autorizações de acesso e limites criptográficos. A utilização do Cloud KMS também permite ver registos de auditoria e controlar os ciclos de vida das chaves. Em vez de a Google possuir e gerir as chaves de encriptação de chaves (KEKs) simétricas que protegem os seus dados, controla e gere estas chaves no Cloud KMS.

Depois de configurar os seus recursos com CMEKs, a experiência de acesso aos recursos do Application Integration é semelhante à utilização da encriptação predefinida da Google. Para mais informações acerca das suas opções de encriptação, consulte o artigo Chaves de encriptação geridas pelo cliente (CMEK).

Antes de começar

Certifique-se de que as seguintes tarefas estão concluídas antes de usar as CMEK para a integração de aplicações:

Ative a API Cloud KMS para o projeto que vai armazenar as suas chaves de encriptação.
Ative a API Cloud KMS
Sugestão: pode executar o Application Integration e o Cloud Key Management Service no mesmo projeto do Google Cloud ou em projetos diferentes.
- Se usar as CMEK num projeto diferente (projeto partilhado ou de alojamento de chaves) daquele em que configurou a integração de aplicações:
Atribua a função da IAM Administrador do Cloud KMS aos indivíduos que gerem as chaves CMEK. Além disso, conceda as seguintes autorizações de IAM para o projeto que armazena as suas chaves de encriptação:
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
- cloudkms.cryptoKeyVersions.useToEncrypt
Aviso: a função de administrador do Cloud KMS contém autorizações para a manutenção de chaves e a destruição de versões de chaves. Para proteger os seus recursos do Cloud KMS, esta função só deve ser atribuída a indivíduos responsáveis pela administração de chaves.

Para ver informações sobre a concessão de funções ou autorizações adicionais, consulte o artigo Conceder, alterar e revogar o acesso.
Crie um conjunto de chaves e uma chave.
Nota: o conjunto de chaves e a chave CMEK têm de ser criados na mesma região onde configurou a integração de aplicações.

Adicione uma conta de serviço à chave CMEK

Para usar uma chave CMEK na integração de aplicações, tem de se certificar de que a sua conta de serviço predefinida é adicionada e atribuída com a função da IAM Encriptador/desencriptador de CryptoKey para essa chave CMEK.

Na Google Cloud consola, aceda à página Inventário principal.
Aceda à página Inventário principal
Selecione a caixa de verificação da chave CMEK pretendida.
O separador Autorizações no painel da janela do lado direito fica disponível.
Clique em Adicionar principal e introduza o endereço de email da conta de serviço predefinida.
Clique em Selecionar uma função e selecione a função Encriptador/desencriptador de CryptoKey do Cloud KMS na lista pendente disponível.
Clique em Guardar.

Ative a encriptação CMEK para uma região de integração de aplicações

As CMEK podem ser usadas para encriptar e desencriptar dados armazenados em PDs no âmbito da região aprovisionada.

Para ativar a encriptação CMEK para uma região de integração de aplicações no seu projeto do Google Cloud, siga estes passos:

Na Google Cloud consola, aceda à página Application Integration.
Aceda à solução Application Integration
No menu de navegação, clique em Regiões.
É apresentada a página Regiões, que lista as regiões aprovisionadas para a integração de aplicações.
Para a integração existente que quer usar a CMEK, clique em Ações e selecione Editar encriptação.
No painel Editar encriptação, expanda a secção Definições avançadas.
Selecione Usar uma chave de encriptação gerida pelo cliente (CMEK) e faça o seguinte:
1. Selecione uma chave CMEK na lista pendente disponível. As chaves CMEK apresentadas no menu pendente baseiam-se na região aprovisionada. Para criar uma nova chave, consulte o artigo Crie uma nova chave CMEK.
2. Clique em Validar para verificar se a conta de serviço predefinida tem acesso à chave criptográfica à chave CMEK selecionada.
3. Se a validação da chave de CMEK selecionada falhar, clique em Conceder para atribuir a função da IAM Encriptador/desencriptador de CryptoKey à conta de serviço predefinida.
Clique em Concluído.

Crie uma nova CMEK

Pode criar uma nova chave CMEK se não quiser usar a chave existente ou se não tiver uma chave na região especificada.

Para criar uma nova chave de encriptação simétrica, execute os seguintes passos na caixa de diálogo Criar uma nova chave:

Selecione Conjunto de chaves:
1. Clique em Conjunto de chaves e escolha um conjunto de chaves existente na região especificada.
2. Se quiser criar um novo conjunto de chaves para a sua chave, clique no botão Criar conjunto de chaves e siga os passos abaixo:
  1. Clique em Nome do conjunto de chaves e introduza um nome para o conjunto de chaves.
  2. Clique em Localização do porta-chaves e escolha a localização regional do seu porta-chaves.
    Nota: para a encriptação CMEK, o seu conjunto de chaves tem de ser criado na mesma região onde configurou a integração de aplicações.
3. Clique em Continuar.
Crie uma chave:
1. Clique em Nome da chave e introduza um nome para a nova chave.
2. Clique em Nível de proteção e selecione Software ou HSM.
  Para ver informações sobre os níveis de proteção, consulte o artigo Níveis de proteção do Cloud KMS.
Reveja os detalhes da chave e do porta-chaves e clique em Continuar.
Clique em Criar.

Dados encriptados

A tabela seguinte apresenta os dados encriptados na integração de aplicações:

Recurso	Dados encriptados
Detalhes da integração	Parâmetros de configuração da tarefa Descrições da configuração de tarefas
Informações de execução da integração	Parâmetros do pedido Parâmetros de resposta Detalhes da execução da tarefa
Credenciais do perfil de autenticação	Nomes de utilizador e palavras-passe Chaves da API Código de autorização do OAuth 2.0 Credenciais de cliente OAuth 2.0 Credenciais de palavra-passe do proprietário do recurso OAuth 2.0 Tokens de autorização Tokens JWT Contas de serviço Certificados de cliente SSL/TLS Tokens de ID OIDC da Google
Detalhes da tarefa de aprovação/suspensão	Configurações de aprovação ou suspensão

Quotas do Cloud KMS e Application Integration

Quando usa CMEK na integração de aplicações, os seus projetos podem consumir quotas de pedidos criptográficos do Cloud KMS. Por exemplo, as chaves CMEK podem consumir estas quotas para cada chamada de encriptação e desencriptação.

As operações de encriptação e desencriptação com chaves CMEK afetam as quotas do Cloud KMS das seguintes formas:

Para chaves CMEK de software geradas no Cloud KMS, não é consumida nenhuma quota do Cloud KMS.
Para chaves CMEK de hardware, por vezes denominadas chaves do Cloud HSM, as operações de encriptação e desencriptação são contabilizadas para as quotas do Cloud HSM no projeto que contém a chave.
Para chaves CMEK externas, por vezes denominadas chaves do Cloud EKM, as operações de encriptação e desencriptação são contabilizadas em função das quotas do Cloud EKM no projeto que contém a chave.

Para mais informações, consulte as cotas do Cloud KMS.