Per impostazione predefinita, Google Cloud cripta automaticamente i dati quando sono inattivi utilizzando chiavi di crittografia gestite da Google. Se hai requisiti normativi o di conformità specifici relativi alle chiavi che proteggono i tuoi dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK).
Con CMEK, puoi proteggere i dati di Backup and RE utilizzando una chiave crittografica che controlli tramite Cloud Key Management Service (Cloud KMS). Quando utilizzi CMEK, gestisci la chiave in Cloud Key Management Service e puoi controllare chi può accedervi gestendo le autorizzazioni Identity and Access Management per la chiave. Se disattivi temporaneamente o distruggi definitivamente la chiave CMEK, i dati protetti da questa chiave diventano inaccessibili. Per saperne di più sulle chiavi CMEK in generale, consulta Chiavi di crittografia gestite dal cliente (CMEK).
Backup and RE utilizza CMEK per proteggere i dati di backup archiviati nei vault di backup.
In che modo Backup e RE utilizza CMEK
A seconda della risorsa di cui viene eseguito il backup, Backup e RE utilizza le chiavi CMEK per proteggere i backup nel seguente modo:
Per i backup delle istanze Compute Engine archiviati in un vault di backup: Se uno o più dischi collegati a un'istanza Compute Engine sono criptati con CMEK, Backup e RE richiede che l'istanza venga sottoposta a backup in un vault di backup abilitato a CMEK. Se tutti i dischi collegati all'istanza utilizzano la crittografia gestita da Google, nella console Google Cloud devi archiviare i backup in un vault di backup non CMEK. Tuttavia, se utilizzi Google Cloud CLI, l'API o Terraform, puoi configurare i backup di questa istanza in modo che vengano archiviati in un vault di backup abilitato a CMEK.
Se un backup dell'istanza Compute Engine è archiviato in un vault di backup abilitato per CMEK, i relativi dati di backup vengono criptati utilizzando la chiave Cloud Key Management Service del vault, indipendentemente dallo stato di crittografia dei dischi dell'istanza.
Per i backup di Persistent Disk: Backup and RE conserva la crittografia del disco di origine facendo affidamento sulla crittografia del workload di origine. Se il Persistent Disk di origine è protetto da CMEK, i relativi backup sono protetti dalla stessa chiave CMEK. Se il Persistent Disk di origine utilizza la crittografia gestita da Google, anche i relativi backup utilizzano la crittografia gestita da Google e devono essere archiviati in un vault di backup non configurato con CMEK.
La seguente tabella riassume la chiave di crittografia utilizzata per i backup di diversi tipi di workload:
| Workload | Chiave di crittografia utilizzata per il backup | Stato del supporto CMEK |
|---|---|---|
| Istanza Compute Engine | Chiave CMEK del vault di backup | Supportato |
| Disco Compute Engine | Chiave di crittografia del disco di origine | Supportato |
| Cloud SQL | - | Non supportata |
| Cluster AlloyDB | - | Non supportata |
| Istanza Filestore | - | Non supportata |
| Google Cloud VMware Engine, database Oracle e database SQL Server | - | Non supportata |
Limitazioni
Il supporto di Backup e RE per CMEK presenta le seguenti limitazioni:
- La protezione CMEK è supportata solo per i backup delle istanze Compute Engine e Persistent Disk archiviati nei vault di backup.
- Puoi configurare CMEK su un vault di backup solo al momento della creazione. Non puoi attivare, disattivare o modificare CMEK in un vault di backup esistente.
- La chiave Cloud Key Management Service deve trovarsi nella stessa posizione del vault di backup. Un vault di backup in una regione deve utilizzare una chiave della stessa regione. Un vault di backup multiregionale deve utilizzare una chiave della stessa multi-regione.
- Backup e RE non supporta le chiavi di crittografia fornite dal cliente (CSEK).
- Il vault di backup predefinito e il piano di backup predefinito utilizzano la crittografia gestita da Google. Per utilizzare CMEK, devi creare un nuovo vault di backup e abilitare esplicitamente CMEK.
Prima di iniziare
Prima di iniziare a utilizzare CMEK, completa i seguenti passaggi:
Abilita l'API Cloud Key Management Service nel progetto in cui verranno archiviate le chiavi CMEK.
Crea un keyring e una chiave Cloud Key Management Service. Quando crei la chiave, assicurati di selezionare una località che corrisponda a quella del vault di backup. Un vault di backup in una regione deve utilizzare una chiave della stessa regione. Un vault di backup multiregionale deve utilizzare una chiave della stessa multi-regione.
Se non è già stato creato, crea l'agente di servizio Backup e RE. L'agente di servizio viene creato automaticamente dopo la creazione della prima risorsa di Backup e RE (vault di backup, console Google Cloud ecc.) in un progetto. Se devi concedere le autorizzazioni all'agente di servizio prima di creare un backup vault, puoi attivare la sua creazione con il seguente comando:
gcloud beta services identity create --service=backupdr.googleapis.com --project=PROJECT_ID
PROJECT_IDcon l'ID del tuo progetto.
Concedi le autorizzazioni per CMEK
Affinché Backup e RE protegga i backup utilizzando CMEK o esegua il backup di risorse protette da CMEK, devi concedere ruoli IAM ad agenti di servizio specifici.
Concedi l'autorizzazione per utilizzare la chiave CMEK del vault
Quando configuri CMEK per un vault di backup, Backup and RE ha bisogno dell'autorizzazione per utilizzare la chiave CMEK per criptare e decriptare i dati. Questa autorizzazione deve essere concessa all'agente di servizio di RE e DR.
È importante distinguere tra due diversi service account utilizzati da Backup e RE:
- Agente del servizio di RE e DR: si tratta di un account di servizio a livello di progetto utilizzato per gestire le risorse di Backup e RE e per accedere alle chiavi di Cloud Key Management Service quando un vault di backup è configurato con CMEK. Questo
è il service agent che richiede il ruolo
roles/cloudkms.cryptoKeyEncrypterDecrypterper la chiave CMEK. - Service account del vault di backup: si tratta di un service account univoco per ogni vault a cui concedi le autorizzazioni per accedere ai workload di origine ed eseguirne il backup (ad esempio le istanze di Compute Engine). Questo account di servizio non viene utilizzato per la crittografia CMEK dei dati all'interno del vault di backup.
Per utilizzare CMEK con Backup and RE, devi concedere il ruolo
Autore crittografia/decrittografia CryptoKey Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter) all'agente di servizio
Backup and RE. Questo service agent è un account di servizio utilizzato da Backup and RE
per accedere alle risorse per tuo conto, incluso l'accesso alla chiave
di Cloud Key Management Service durante le operazioni di crittografia e decrittografia.
L'agente di servizio Backup e RE ha il seguente formato:
service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com
Sostituisci VAULT_PROJECT_NUMBER con il numero di progetto del progetto contenente il vault di backup.
Puoi concedere questo ruolo al momento della creazione del vault di backup utilizzando
la console Google Cloud se disponi delle autorizzazioni per concedere ruoli IAM oppure puoi
concederlo in anticipo utilizzando il comando gcloud kms keys add-iam-policy-binding:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--location=KMS_LOCATION \
--keyring=KEY_RING \
--member=serviceAccount:service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Puoi concedere questo ruolo per una chiave specifica, come mostrato nell'esempio, oppure a livello di portachiavi o progetto. La concessione delle autorizzazioni a livello di chiave fornisce il controllo più granulare ed è consigliata per il principio del privilegio minimo. La concessione delle autorizzazioni a livello di progetto o portachiavi è più comoda se intendi che Backup e RE utilizzi più chiavi all'interno di questo ambito, ma concede autorizzazioni più ampie.
Concedere l'autorizzazione per eseguire il backup delle risorse protette da CMEK
Se esegui il backup di una risorsa criptata con una chiave
CMEK diversa, ad esempio un'istanza Compute Engine con dischi criptati con CMEK,
sono necessarie autorizzazioni aggiuntive. Il service agent del servizio della risorsa di origine deve disporre dell'autorizzazione per utilizzare le chiavi che proteggono la risorsa di origine. Ad esempio, per eseguire il backup di un'istanza Compute Engine criptata con CMEK, il service agent Compute Engine del progetto dell'istanza di origine deve disporre del ruolo roles/cloudkms.cryptoKeyEncrypterDecrypter per le chiavi Cloud Key Management Service utilizzate per criptare i dischi dell'istanza. Nella maggior parte dei casi, questa autorizzazione
è già in vigore per il funzionamento del workload di origine.
Utilizzare CMEK con Backup e RE
Questa sezione descrive il flusso di lavoro per proteggere i backup utilizzando CMEK.
1. Crea un vault di backup abilitato a CMEK
Quando crei un vault di backup, seleziona l'opzione Chiave di crittografia gestita dal cliente (CMEK) nella sezione Crittografia e scegli la chiave Cloud Key Management Service che hai creato. Puoi attivare CMEK solo durante la creazione del vault. Non può essere attivata, disattivata o modificata in un vault esistente.
2. Crea un piano di backup
Quando crei un piano di backup, seleziona il vault di backup abilitato a CMEK che hai creato nel passaggio precedente come vault di backup di destinazione per i backup.
3. Applica il piano di backup alle risorse
Quando applichi un piano di backup a una risorsa, devi assicurarti che il piano di backup abbia come target un vault di backup compatibile con la configurazione di crittografia della risorsa:
- Se esegui il backup di un'istanza Compute Engine a cui sono collegati uno o più dischi criptati con CMEK, devi utilizzare un piano di backup che abbia come target un vault di backup abilitato a CMEK.
- Se esegui il backup di un'istanza Compute Engine in cui tutti i dischi collegati
utilizzano la crittografia gestita da Google:
- Se assegni il piano di backup utilizzando la console Google Cloud , devi utilizzare un piano di backup che abbia come target un vault di backup non CMEK.
- Se assegni il piano di backup utilizzando gcloud CLI, l'API o Terraform, puoi scegliere un piano di backup che ha come target un vault di backup abilitato a CMEK. In questo caso, i backup dell'istanza verranno criptati con la chiave CMEK del vault di backup.
- Se esegui il backup di un Persistent Disk che utilizza la crittografia gestita da Google, devi utilizzare un piano di backup che abbia come target un vault di backup non CMEK.
Per eseguire correttamente i backup, assicurati di aver concesso le autorizzazioni KMS richieste come descritto in Concedere le autorizzazioni per CMEK.
Rotazione della chiave e ripristinabilità del backup di Cloud Key Management Service
Backup e RE supporta rotazione della chiave di Cloud Key Management Service. Quando ruoti una chiave, Cloud Key Management Service crea una nuova versione della chiave, che diventa la versione principale. Backup e RE utilizza la versione della chiave primaria per criptare tutti i nuovi backup per i vault di backup configurati con quella chiave.
I backup esistenti non vengono ricriptati e rimangono criptati con la versione della chiave con cui sono stati creati. Per ripristinare un backup, la versione della chiave utilizzata per criptarlo deve essere disponibile in Cloud Key Management Service. Se disabiliti o elimini una versione della chiave, tutti i backup criptati con quella versione diventano inaccessibili. Per garantire il ripristino dei backup, non disattivare o eliminare le versioni delle chiavi ancora in uso dai backup che potresti dover ripristinare.
Se Backup and RE non riesce ad accedere alla tua chiave CMEK per qualsiasi motivo (ad esempio, se la versione della chiave richiesta per la crittografia o la decrittografia è disabilitata o distrutta o se le autorizzazioni IAM sulla chiave vengono revocate all'agente di servizio Backup anREDR), potresti riscontrare i seguenti problemi:
- I nuovi backup nei backup vault abilitati per CMEK non andranno a buon fine se la versione della chiave primaria non è accessibile.
- I ripristini dai backup vault non andranno a buon fine se la versione specifica della chiave utilizzata per criptare il backup non è accessibile.
- Non potrai creare nuovi vault di backup che utilizzano una chiave inaccessibile.
Se hai disattivato una versione della chiave utilizzata per i backup, la riattivazione ripristina l'accesso ai backup criptati con quella versione. Se distruggi una versione della chiave, tutti i backup criptati con quella versione della chiave vengono persi definitivamente e non possono essere ripristinati.
Prezzi
Backup and RE non addebita costi aggiuntivi per l'utilizzo di CMEK. Tuttavia, ti vengono addebitati i costi per l'utilizzo delle chiavi in Cloud Key Management Service. Per ulteriori informazioni, consulta Prezzi di Cloud Key Management Service.
Passaggi successivi
- Scopri come creare e gestire i vault di backup.