As chaves de encriptação geridas pelo cliente (CMEK) permitem proteger os dados do Backup and DR Service através de uma chave criptográfica que controla através do Cloud Key Management Service (Cloud KMS). Quando usa CMEK, gere a chave no Cloud Key Management Service e pode controlar quem pode aceder à mesma gerindo as autorizações de gestão de identidade e de acesso na chave. Se desativar temporariamente ou destruir permanentemente a chave CMEK, os dados protegidos por essa chave tornam-se inacessíveis.
O serviço de cópia de segurança e recuperação de desastres usa CMEK para proteger os dados de cópia de segurança armazenados em cofres de cópias de segurança.
Só pode configurar a CMEK num cofre de cópias de segurança quando o cria. Não pode ativar nem desativar as CMEK num cofre de cópias de segurança existente.
Para mais informações sobre as CMEK em geral, consulte o artigo Chaves de encriptação geridas pelo cliente (CMEK).
Autorizações necessárias para usar as CMEK
Antes de começar a usar as CMEK, tem de:
Ative a API Cloud Key Management Service no projeto que vai armazenar as suas chaves CMEK.
Crie um conjunto de chaves e uma chave do Cloud Key Management Service. Quando criar a chave, certifique-se de que seleciona uma localização que corresponda à localização do cofre de segurança suplementar. Um cofre suplementar numa região tem de usar uma chave da mesma região. Um cofre de cópias de segurança multirregional tem de usar uma chave da mesma multirregião.
Se ainda não tiver sido criada, crie a identidade do agente do serviço do Backup and DR Service. O agente de serviço é criado automaticamente após a criação do primeiro cofre de cópias de segurança num projeto. Se precisar de conceder autorizações ao agente de serviço antes de criar um cofre de cópias de segurança, pode acionar a respetiva criação com o seguinte comando:
gcloud beta services identity create --service=backupdr.googleapis.com --project=PROJECT_ID
PROJECT_IDpelo ID do seu projeto.
Quando ativa a CMEK para um cofre de cópias de segurança, o serviço Backup and DR precisa de autorização para usar a sua chave CMEK para encriptar e desencriptar dados. Esta autorização tem de ser concedida ao agente do serviço de cópias de segurança e RD.
É importante distinguir entre duas contas de serviço diferentes usadas pelo serviço de cópia de segurança e recuperação de desastres:
- Agente de serviço do serviço de cópias de segurança e RD: esta é uma conta de serviço ao nível do projeto usada para gerir recursos do serviço de cópias de segurança e RD e para aceder a chaves do Cloud Key Management Service quando a CMEK está ativada num cofre de cópias de segurança. Este é o agente do serviço que requer a função
roles/cloudkms.cryptoKeyEncrypterDecrypterna chave CMEK. - Conta de serviço do cofre de cópias de segurança: esta é uma conta de serviço única por cofre à qual concede autorizações para aceder e fazer cópias de segurança de cargas de trabalho de origem (como instâncias do Compute Engine). Esta conta de serviço não é usada para a encriptação CMEK de dados no cofre de cópias de segurança.
Para usar a CMEK com o serviço de cópias de segurança e RD, tem de conceder a função
Encriptador/desencriptador de CryptoKey do Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter) ao agente de serviço
do serviço de cópias de segurança e RD. Este agente de serviço é uma conta de serviço que o serviço de backup e recuperação de desastres usa para aceder a recursos em seu nome, incluindo o acesso à sua chave do Serviço de gestão de chaves na nuvem durante as operações de encriptação e desencriptação.
O nome do agente do serviço de cópias de segurança e RD tem o seguinte formato:
service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com
Substitua VAULT_PROJECT_NUMBER pelo número do projeto do projeto que contém o seu arquivo de cópias de segurança.
Pode conceder esta função no momento da criação do cofre de cópias de segurança através da
consola se tiver autorizações para conceder funções de IAM ou pode
concedê-la antecipadamente através do comando gcloud kms keys add-iam-policy-binding
: Google Cloud
gcloud kms keys add-iam-policy-binding KEY_NAME \
--location=KMS_LOCATION \
--keyring=KEY_RING \
--member=serviceAccount:service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Autorizações para fazer cópias de segurança de recursos protegidos por CMEK
Se estiver a fazer uma cópia de segurança de um recurso que esteja encriptado com uma chave CMEK diferente, como uma instância do Compute Engine com discos encriptados com CMEK, são necessárias autorizações adicionais. O agente do serviço do serviço do recurso de origem precisa de autorização para usar as chaves que protegem o recurso de origem. Por exemplo, para fazer uma cópia de segurança de uma instância do Compute Engine encriptada com CMEK,
o agente de serviço do Compute Engine do projeto da instância de origem tem de ter
a função roles/cloudkms.cryptoKeyEncrypterDecrypter nas chaves do Cloud Key Management Service
usadas para encriptar os discos da instância. Na maioria dos casos, esta autorização já está em vigor para que a carga de trabalho de origem esteja operacional.
Rotação de chaves e capacidade de restauro de cópias de segurança do Cloud Key Management Service
As cópias de segurança do serviço de cópias de segurança e RD dependem da disponibilidade da chave do Cloud Key Management Service O serviço de cópias de segurança e RD pode não conseguir aceder aos recursos protegidos por essa chave.
Se o serviço de cópias de segurança e RD não conseguir aceder à sua chave CMEK:
- As novas cópias de segurança para o cofre de cópias de segurança com CMEK falham.
- O restauro a partir do cofre de cópias de segurança com a CMEK ativada falha.
- Não pode criar novos cofres de cópias de segurança que usem a chave indisponível.
Se tiver desativado uma chave que foi usada para cópias de segurança, a reativação restaura o acesso aos dados de cópia de segurança. Se tiver destruído uma versão de chave, todas as cópias de segurança encriptadas com essa versão de chave são perdidas permanentemente.
Preços
O serviço de cópia de segurança e recuperação de desastres não cobra taxas adicionais pela utilização da CMEK. No entanto, é-lhe cobrado o uso das suas chaves no Cloud Key Management Service. Para mais informações, consulte os preços do Serviço de gestão de chaves na nuvem.