Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)

Per impostazione predefinita, Colab Enterprise cripta i contenuti inattivi dei clienti at rest. Colab Enterprise gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata crittografia predefinita di Google.

Se vuoi controllare le chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con i servizi integrati con CMEK, incluso Colab Enterprise. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione , la località, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. Con Cloud KMS puoi anche visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece di Google, sei tu ad avere la proprietà e la gestione delle chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.

Dopo aver configurato le risorse con le CMEK, l'esperienza di accesso alle risorse Colab Enterprise è simile all'utilizzo della crittografia predefinita di Google. Per ulteriori informazioni sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Questa guida descrive come utilizzare CMEK per Colab Enterprise.

Per ulteriori informazioni su come utilizzare CMEK per Gemini Enterprise Agent Platform, consulta la pagina CMEK di Agent Platform.

CMEK per Colab Enterprise

Puoi utilizzare CMEK per criptare i runtime e i file notebook (notebook) di Colab Enterprise.

Runtime

Quando esegui il codice in un notebook Colab Enterprise, un runtime esegue il codice su una o più istanze di macchine virtuali (VM) gestite da Colab Enterprise. Quando abiliti CMEK per i runtime Colab Enterprise, la chiave che hai designato, anziché una chiave gestita da Google, viene utilizzata per criptare i dati su queste VM. La chiave CMEK cripta i seguenti tipi di dati:

  • La copia del codice sulle VM.
  • Tutti i dati caricati dal codice.
  • Tutti i dati temporanei salvati sul disco locale dal codice.

Puoi avviare, arrestare ed eseguire l'upgrade del runtime senza influire sulla crittografia CMEK.

In generale, la chiave CMEK non cripta i metadati associati all'operazione, come il nome del runtime o il nome e la regione del notebook. Questi metadati vengono sempre criptati utilizzando il meccanismo di crittografia predefinito di Google.

Notebooks

I notebook Colab Enterprise sono archiviati nei repository Dataform. Quando crei un notebook, Colab Enterprise crea automaticamente un repository Dataform nascosto in cui viene archiviato il notebook. Poiché il repository è nascosto, non puoi modificarne le impostazioni di crittografia come faresti con altri repository Dataform.

Per utilizzare CMEK per i notebook, devi impostare una chiave CMEK Dataform predefinita per il Google Cloud progetto che conterrà i notebook. Dopo aver impostato una chiave CMEK Dataform predefinita, Dataform applica la chiave a tutti i nuovi repository creati nel Google Cloud progetto per impostazione predefinita, inclusi i repository nascosti creati per l'archiviazione dei notebook.

La chiave CMEK Dataform predefinita non viene applicata ai repository esistenti. Di conseguenza, se hai già notebook in questo progetto, non verranno criptati dalla chiave CMEK Dataform predefinita. Per utilizzare CMEK con un notebook creato prima di impostare la chiave CMEK Dataform predefinita del progetto, puoi salvare il file del notebook come nuovo notebook Colab Enterprise.

Per scoprire di più sulle chiavi CMEK Dataform predefinite, consulta Utilizzare le chiavi CMEK Dataform predefinite.

Per utilizzare CMEK per i notebook, consulta Impostare una chiave CMEK Dataform predefinita.

Chiavi supportate

Colab Enterprise supporta i seguenti tipi di chiavi CMEK:

La disponibilità delle chiavi varia in base al tipo di chiave e alla regione. Per ulteriori informazioni sulla disponibilità geografica delle chiavi CMEK, consulta Località Cloud KMS.

Restrizioni e limitazioni

Colab Enterprise supporta CMEK con le seguenti restrizioni e limitazioni:

  • La quota predefinita in Agent Platform è una chiave di crittografia per progetto e regione. Se devi registrare più di una chiave per una regione nel tuo progetto, contatta il team dell'Account Google per richiedere un aumento della quota per le configurazioni CMEK, fornendo una motivazione per cui hai bisogno di più di una chiave.

Quote Cloud KMS e Colab Enterprise

Quando utilizzi CMEK in Colab Enterprise, i tuoi progetti possono consumare le quote per le richieste di crittografia di Cloud KMS. Le operazioni di crittografia e decrittografia che utilizzano le chiavi CMEK influiscono sulle quote Cloud KMS solo se utilizzi chiavi hardware (Cloud HSM) o esterne (Cloud EKM). Per ulteriori informazioni, consulta Quote Cloud KMS.

Configurare CMEK per i runtime

Le sezioni seguenti descrivono come creare un keyring e una chiave in Cloud Key Management Service, concedere a Colab Enterprise le autorizzazioni di crittografia e decrittografia per la chiave e creare un runtime template configurato per utilizzare CMEK. Qualsiasi runtime generato da Colab Enterprise da questo runtime template utilizza la crittografia CMEK.

Prima di iniziare

Questa guida presuppone che tu utilizzi due Google Cloud progetti per configurare CMEK per i runtime Colab Enterprise:

  • Un progetto per la gestione della chiave di crittografia (denominato "progetto Cloud KMS").
  • Un progetto per accedere alle risorse Colab Enterprise e interagire con altri Google Cloud prodotti di cui hai bisogno (denominato "progetto notebook").

Questa configurazione consigliata supporta una separazione dei compiti.

In alternativa, puoi utilizzare un singolo Google Cloud progetto per l'intera guida. Per farlo, utilizza lo stesso progetto per tutte le attività seguenti che fanno riferimento al progetto Cloud KMS e alle attività che fanno riferimento al progetto notebook.

Configurare il progetto Cloud KMS

  1. Accedi al tuo Google Cloud account. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei carichi di lavoro.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Cloud KMS API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Cloud KMS API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

Configurare il progetto notebook

  1. Accedi al tuo Google Cloud account. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei carichi di lavoro.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Gemini Enterprise Agent Platform API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Gemini Enterprise Agent Platform API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

Configurare Google Cloud CLI

gcloud CLI è obbligatorio per alcuni passaggi di questa guida e facoltativo per altri.

Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente: 

gcloud init

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Creare un keyring e una chiave

Segui la guida di Cloud KMS per la creazione di chiavi simmetriche per creare un keyring e una chiave. Quando crei il keyring, specifica una regione che supporta le operazioni di Colab Enterprise come località del keyring. Colab Enterprise supporta CMEK solo quando il runtime e la chiave utilizzano la stessa regione. Non devi specificare una località a doppia regione, multiregionale o globale per il keyring.

Assicurati di creare il keyring e la chiave nel progetto Cloud KMS.

Concedere le autorizzazioni a Colab Enterprise

Per utilizzare CMEK per le risorse, devi concedere a Colab Enterprise l'autorizzazione a criptare e decriptare i dati utilizzando la chiave. Colab Enterprise utilizza un agente di servizio gestito da Google per eseguire le operazioni utilizzando le tue risorse. Questo account di servizio è identificato da un indirizzo email nel seguente formato: service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com.

Per trovare il account di servizio appropriato per il tuo progetto notebook, vai alla pagina IAM nella Google Cloud console e individua il membro che corrisponde a questo formato di indirizzo email, con il numero di progetto per il tuo progetto notebook che sostituisce la NOTEBOOK_PROJECT_NUMBER variabile. Il account di servizio ha anche il nome Vertex AI Service Agent.

Vai alla pagina IAM

Prendi nota dell'indirizzo email di questo account di servizio e utilizzalo nei passaggi seguenti per concedergli l'autorizzazione a criptare e decriptare i dati utilizzando la chiave. Puoi concedere l'autorizzazione utilizzando la Google Cloud console o utilizzando Google Cloud CLI:

Google Cloud Console

  1. Nella Google Cloud console, fai clic su Sicurezza e seleziona Gestione chiavi. Verrà visualizzata la pagina Chiavi di crittografia e verrà selezionato il progetto Cloud KMS.

    Vai alla pagina Chiavi di crittografia

  2. Fai clic sul nome del keyring che hai creato in una sezione precedente di questa guida per andare alla pagina Dettagli keyring.

  3. Seleziona la casella di controllo per la chiave che hai creato in una precedente sezione di questa guida. Se un riquadro informazioni etichettato con il nome della chiave non è già aperto, fai clic su Mostra riquadro informazioni.

  4. Nel riquadro informazioni, fai clic su Aggiungi membro per aprire la Aggiungi membri a "KEY_NAME" finestra di dialogo. In questa finestra di dialogo, procedi nel seguente modo:

    1. Nella casella Nuovi membri, inserisci l'indirizzo email del account di servizio di cui hai preso nota nella sezione precedente: service-NOTEBOOK_PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com

    2. Nell'elenco a discesa Seleziona un ruolo, fai clic su Cloud KMS e poi seleziona il ruolo Cloud KMS CryptoKey Encrypter/Decrypter.

    3. Fai clic su Salva.

gcloud

Esegui questo comando:

gcloud kms keys add-iam-policy-binding KEY_NAME \
  --keyring=KEY_RING_NAME \
  --location=REGION \
  --project=KMS_PROJECT_ID \
  --member=serviceAccount:service-NOTEBOOK_PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com \
  --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

In questo comando, sostituisci i seguenti segnaposto:

  • KEY_NAME: il nome della chiave che hai creato in una precedente sezione di questa guida.
  • KEY_RING_NAME: il keyring che hai creato in una precedente sezione di questa guida.
  • REGION: la regione in cui hai creato il keyring.
  • KMS_PROJECT_ID: l'ID del progetto Cloud KMS.
  • NOTEBOOK_PROJECT_NUMBER: il numero di progetto del progetto notebook, che hai annotato nella sezione precedente come parte di un indirizzo email del account di servizio.

Configurare un runtime template con la chiave KMS

Quando crei una nuova risorsa supportata da CMEK, puoi specificare la chiave come uno dei parametri di creazione. Per creare un runtime Colab Enterprise, crea un runtime template con la chiave CMEK specificata come parametro. Qualsiasi runtime generato da Colab Enterprise da questo runtime template utilizza la crittografia CMEK.

Per creare un runtime template utilizzando la Google Cloud console, specifica la chiave nella finestra di dialogo Crea nuovo runtime template. Segui questi passaggi:

  1. Nella Google Cloud console, vai a la pagina Runtime template di Colab Enterprise.

    Vai a Runtime template

  2. Fai clic su  Nuovo modello.

    Viene visualizzata la finestra di dialogo Crea nuovo runtime template.

  3. Nella sezione Configura calcolo, in Crittografia, seleziona Chiave Cloud KMS.

  4. Per Tipo di chiave, seleziona Cloud KMS, e quindi, nel campo successivo, seleziona la chiave di crittografia gestita dal cliente.

  5. Completa il resto della finestra di dialogo di creazione dell'istanza, quindi fai clic su Crea.

    Il runtime template viene visualizzato nell'elenco nella scheda Runtime template.

Passaggi successivi