Le chiavi di crittografia gestite dal cliente (CMEK) ti consentono di proteggere i dati del servizio Backup and DR utilizzando una chiave crittografica che controlli tramite Cloud Key Management Service (Cloud KMS). Quando utilizzi CMEK, gestisci la chiave in Cloud Key Management Service e puoi controllare chi può accedervi gestendo le autorizzazioni Identity and Access Management sulla chiave. Se disattivi temporaneamente o distruggi definitivamente la chiave CMEK, i dati protetti da questa chiave diventano inaccessibili.
Il servizio di backup e DR utilizza CMEK per proteggere i dati di backup archiviati nei vault di backup.
Puoi configurare CMEK su un vault di backup solo al momento della creazione. Non puoi abilitare o disabilitare CMEK su un vault di backup esistente.
Per saperne di più sulle chiavi CMEK in generale, consulta Chiavi di crittografia gestite dal cliente (CMEK).
Autorizzazioni richieste per l'utilizzo di CMEK
Prima di iniziare a utilizzare CMEK, devi:
Abilita l'API Cloud Key Management Service nel progetto in cui verranno archiviate le chiavi CMEK.
Crea un keyring e una chiave Cloud Key Management Service. Quando crei la chiave, assicurati di selezionare una località che corrisponda a quella del vault di backup. Un vault di backup in una regione deve utilizzare una chiave della stessa regione. Un vault di backup multiregionale deve utilizzare una chiave della stessa multiregione.
Se non è già stata creata, crea l'identità dell'agente di servizio di Backup e DR. L'agente di servizio viene creato automaticamente dopo la creazione del primo vault di backup in un progetto. Se devi concedere le autorizzazioni all'agente di servizio prima di creare un backup vault, puoi attivare la sua creazione con il seguente comando:
gcloud beta services identity create --service=backupdr.googleapis.com --project=PROJECT_ID
PROJECT_IDcon l'ID del tuo progetto.
Quando abiliti CMEK per un vault di backup, il servizio di Backup e DR ha bisogno dell'autorizzazione per utilizzare la chiave CMEK per criptare e decriptare i dati. Questa autorizzazione deve essere concessa al service agent del servizio di Backup e DR.
È importante distinguere tra due service account diversi utilizzati dal servizio Backup e DR:
- Agente di servizio di Backup e DR Service: si tratta di un account di servizio a livello di progetto utilizzato per gestire le risorse di Backup e DR Service e per accedere alle chiavi di Cloud Key Management Service quando CMEK è abilitata in un vault di backup. Questo
è il service agent che richiede il ruolo
roles/cloudkms.cryptoKeyEncrypterDecrypterper la chiave CMEK. - Service account del vault di backup: si tratta di un service account univoco per ogni vault a cui concedi le autorizzazioni per accedere ai workload di origine ed eseguirne il backup (ad esempio le istanze di Compute Engine). Questo account di servizio non viene utilizzato per la crittografia CMEK dei dati all'interno del vault di backup.
Per utilizzare CMEK con il servizio di backup e DR, devi concedere il ruolo
Autore crittografia/decrittografia CryptoKey Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter) all'agente di servizio
del servizio di backup e DR. Questo service agent è un account di servizio utilizzato da Backup and DR Service
per accedere alle risorse per tuo conto, incluso l'accesso alla chiave
di Cloud Key Management Service durante le operazioni di crittografia e decrittografia.
L'agente di servizio del servizio di Backup e DR ha il nome nel seguente formato:
service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com
Sostituisci VAULT_PROJECT_NUMBER con il numero di progetto del progetto contenente il vault di backup.
Puoi concedere questo ruolo al momento della creazione del vault di backup utilizzando la console Google Cloud se disponi delle autorizzazioni per concedere ruoli IAM oppure puoi concederlo in anticipo utilizzando il comando gcloud kms keys add-iam-policy-binding:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--location=KMS_LOCATION \
--keyring=KEY_RING \
--member=serviceAccount:service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Autorizzazioni per il backup delle risorse protette da CMEK
Se esegui il backup di una risorsa criptata con una chiave
CMEK diversa, ad esempio un'istanza Compute Engine con dischi criptati con CMEK,
sono necessarie autorizzazioni aggiuntive. Il service agent del servizio della risorsa di origine deve disporre dell'autorizzazione per utilizzare le chiavi che proteggono la risorsa di origine. Ad esempio, per eseguire il backup di un'istanza Compute Engine criptata con CMEK, l'agente di servizio Compute Engine del progetto dell'istanza di origine deve disporre del ruolo roles/cloudkms.cryptoKeyEncrypterDecrypter per le chiavi Cloud Key Management Service utilizzate per criptare i dischi dell'istanza. Nella maggior parte dei casi, questa autorizzazione
è già in vigore per il funzionamento del workload di origine.
Rotazione della chiave e ripristinabilità del backup di Cloud Key Management Service
I backup del servizio di Backup e DR si basano sulla disponibilità della chiave Cloud Key Management Service Il servizio di Backup e DR potrebbe non essere in grado di accedere alle risorse protette da questa chiave.
Se il servizio di Backup e DR non riesce ad accedere alla tua chiave CMEK:
- I nuovi backup nel vault di backup abilitato per CMEK non vanno a buon fine.
- I ripristini dal vault di backup abilitato per CMEK non vanno a buon fine.
- Non puoi creare nuovi vault di backup che utilizzano la chiave non disponibile.
Se hai disattivato una chiave utilizzata per i backup, la riattivazione ripristina l'accesso ai dati di backup. Se hai eliminato una versione della chiave, tutti i backup criptati con quella versione della chiave vengono persi definitivamente.
Prezzi
Il servizio di backup e DR non addebita costi aggiuntivi per l'utilizzo di CMEK. Tuttavia, ti vengono addebitati i costi per l'utilizzo delle chiavi in Cloud Key Management Service. Per ulteriori informazioni, consulta Prezzi di Cloud Key Management Service.