Looker Studio è diventato Data Studio. Scopri di più su questa modifica.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Chiavi di crittografia gestite dal cliente (CMEK)

Per impostazione predefinita, Data Studio cripta i contenuti inattivi dei clienti. Data Studio gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata crittografia predefinita di Google.

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con servizi integrati con CMEK, tra cui Data Studio. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la località, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. Con Cloud KMS puoi inoltre visualizzare i log di controllo e controllare i cicli di vita delle chiavi. Invece di Google, sei tu ad avere la proprietà e la gestione delle chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.

Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse di Data Studio è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Con CMEK, puoi utilizzare le tue chiavi crittografiche per criptare i dati inattivi di Data Studio Pro. L'utilizzo di CMEK ti offre un controllo aggiuntivo sui tuoi dati e ti aiuta a rispettare le normative di conformità interne o esterne.

CMEK e spazio di archiviazione gestito dal cliente

Se abiliti CMEK, devi abilitare anche l'opzione di archiviazione gestita dal cliente di Data Studio Pro, che ti consente di utilizzare Cloud Storage e BigQuery per archiviare i dati nel progetto Data Studio Pro Google Cloud. Data Studio Pro utilizza le chiavi di Cloud Key Management Service per proteggere risorse come le configurazioni di report e origini dati e le email pianificate. Per le estrazioni di dati e i caricamenti di file archiviati nel tuo progetto Google Cloud , puoi proteggere i tuoi dati applicando CMEK alle risorse di archiviazione Google Cloud .

Prima di iniziare

Per attivare e utilizzare CMEK, devi soddisfare i seguenti prerequisiti:

Puoi attivare CMEK solo quando crei un nuovo abbonamento a Data Studio Pro.
Per abilitare CMEK, devi anche abilitare e configurare lo spazio di archiviazione gestito dal cliente. Per lo spazio di archiviazione gestito dal cliente, devi fornire un bucket Cloud Storage e un set di dati BigQuery all'interno del tuo progetto Google Cloud da utilizzare per archiviare estrazioni di dati e caricamenti di file. Per proteggere i dati archiviati all'interno di queste risorse, puoi applicare le configurazioni CMEK.
Per abilitare CMEK, devi anche attivare e configurare una posizione dei dati.
Per utilizzare CMEK, devi disporre di una chiave di crittografia simmetrica in Cloud KMS. Questa chiave deve trovarsi nella stessa regione selezionata per la posizione dei dati.
Devi disporre dei ruoli IAM necessari per creare chiavi in Cloud KMS. Per saperne di più, consulta Ruoli richiesti.

Abilitare CMEK per un abbonamento

Puoi attivare CMEK solo quando crei un nuovo abbonamento a Data Studio Pro. Non puoi abilitare CMEK per un abbonamento Pro esistente.

Per abilitare CMEK, segui questi passaggi quando crei un nuovo abbonamento a Data Studio Pro:

Quando richiesto, seleziona Utilizza una chiave di crittografia gestita dal cliente.
Inserisci o incolla il nome risorsa della chiave nel campo Nome risorsa della chiave.
Concedi al account di servizio Data Studio Pro visualizzato nell'interfaccia utente il ruolo Cloud KMS CryptoKey Encrypter/Decrypter in Cloud KMS.
Fai clic su Avanti per continuare con la configurazione dell'abbonamento.

Cosa viene criptato con CMEK

Quando abiliti CMEK per l'abbonamento a Data Studio Pro, la crittografia dei contenuti dei clienti viene gestita in due modi:

Dati criptati da Data Studio Pro utilizzando la tua chiave Cloud KMS:Data Studio Pro utilizza la chiave specificata per criptare dati come le configurazioni di report e origini dati e le email pianificate.
Dati archiviati nel tuo progetto Google Cloud : l'attivazione di CMEK richiede l'utilizzo di spazio di archiviazione gestito dal cliente. I seguenti tipi di dati vengono archiviati nelle risorse Cloud Storage e BigQuery che fornisci:
- Estratti di dati
- Caricamenti di file CSV ed Excel Queste risorse vengono criptate utilizzando le configurazioni CMEK che applichi in Cloud Storage e BigQuery. Data Studio Pro non applica automaticamente CMEK a queste risorse quando abiliti CMEK per il tuo abbonamento.

Gestione delle chiavi

In qualità di amministratore della sicurezza o della conformità, puoi eseguire attività di gestione delle chiavi utilizzando Cloud KMS. Data Studio Pro chiama Cloud KMS per tutte le operazioni di crittografia e decrittografia.

Puoi eseguire le seguenti attività di gestione delle chiavi:

Revoca della chiave: puoi revocare l'accesso di Data Studio Pro a una chiave per rendere immediatamente non disponibili i tuoi dati.
Audit:puoi esaminare i log di accesso alle chiavi in Cloud KMS per controllare ogni operazione in cui le tue chiavi sono state utilizzate per criptare o decriptare i dati.

Rotazione chiave

Quando ruoti la chiave, Cloud KMS crea una nuova versione della chiave che viene utilizzata per criptare i nuovi asset. Gli asset esistenti non vengono ricriptati e continuano a essere protetti dalla versione della chiave con cui sono stati criptati. Data Studio Pro non supporta la nuova crittografia degli asset esistenti con la nuova versione della chiave.

Poiché le versioni precedenti delle chiavi sono ancora necessarie per accedere alle risorse esistenti criptate con queste chiavi, non devi eliminare o disattivare le versioni precedenti delle chiavi, a meno che il tuo obiettivo non sia quello di rimuovere definitivamente l'accesso a queste risorse. L'eliminazione o la disattivazione di una versione della chiave che protegge i dati renderà questi dati inaccessibili.

Se la chiave CMEK non è più disponibile, ad esempio se la disattivi o la elimini, Data Studio Pro restituirà messaggi di errore anziché visualizzare report o origini dati che utilizzano i dati criptati. Tutti i dati conservati in memoria vengono eliminati entro 15 minuti dal rilevamento di una chiave disattivata. La home page di Data Studio rimane accessibile perché non contiene contenuti dei clienti.

Quote Cloud KMS e Data Studio

Quando utilizzi CMEK in Data Studio, i tuoi progetti possono consumare le quote per le richieste crittografiche di Cloud KMS. Ogni volta che Data Studio Pro utilizza una delle tue chiavi per criptare o decriptare i dati, l'operazione viene conteggiata ai fini della quota del progetto.

Le operazioni di crittografia e decrittazione che utilizzano le chiavi CMEK influiscono sulle quote di Cloud KMS nei seguenti modi:

Per le chiavi CMEK software generate in Cloud KMS, non viene consumata alcuna quota Cloud KMS.
Per le chiavi CMEK hardware, a volte chiamate chiavi Cloud HSM, le operazioni di crittografia e decrittografia vengono conteggiate in base alle quote Cloud HSM nel progetto che contiene la chiave.
Per le chiavi CMEK esterne, a volte chiamate chiavi Cloud EKM, le operazioni di crittografia e decrittografia vengono conteggiate in base alle quote Cloud EKM nel progetto che contiene la chiave.

Per maggiori informazioni, consulta Quote di Cloud KMS.

Limitazioni di CMEK

Le chiavi CMEK presentano le seguenti limitazioni:

Puoi attivare CMEK solo quando crei un nuovo abbonamento a Data Studio Pro. Non puoi attivare o disattivare CMEK per un abbonamento esistente.
Puoi spostare i contenuti da un progetto abilitato a CMEK solo in un altro progetto con un abbonamento a Data Studio Pro attivo.
Se esegui il downgrade da Data Studio Pro alla versione senza costi di Data Studio o se il tuo abbonamento viene annullato, le funzionalità CMEK continueranno a funzionare per un periodo di tolleranza di 30 giorni. Dopodiché, le origini dati create utilizzando CMEK verranno eliminate.
Se esegui il downgrade da Data Studio Pro alla versione senza costi di Data Studio o se il tuo abbonamento viene annullato, devi attendere 30 giorni prima di poter riutilizzare lo stesso progetto Google Cloud per creare un nuovo abbonamento a Data Studio Pro.

Passaggi successivi

Scopri di più su CMEK.
Scopri di più su Cloud KMS.