Por padrão, o Data Studio criptografa o conteúdo do cliente em repouso. O Data Studio executa a criptografia, e você não precisa fazer nada. Essa opção é chamada de criptografia padrão do Google.
Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o Data Studio. Ao usar chaves do Cloud KMS, é possível controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. Com o Cloud KMS, também é possível visualizar registros de auditoria e controlar ciclos de vida de chaves. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.
Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos do Data Studio é semelhante à criptografia padrão do Google. Para saber mais sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).
Com o CMEK, você pode usar suas próprias chaves criptográficas para criptografar dados do Data Studio Pro em repouso. O uso do CMEK oferece mais controle sobre seus dados e ajuda você a atender às regulamentações de compliance internas ou externas.
CMEK e armazenamento gerenciado pelo cliente
Se você ativar a CMEK, também precisará ativar a opção de armazenamento gerenciado pelo cliente do Data Studio Pro, que permite usar o Cloud Storage e o BigQuery para armazenar dados no projeto do Data Studio Pro Google Cloud. O Data Studio Pro usa suas chaves do Cloud Key Management Service para proteger recursos como configurações de relatórios e fontes de dados e e-mails programados. Para extrações de dados e uploads de arquivos armazenados no projeto Google Cloud , é possível proteger os dados aplicando a CMEK aos recursos de armazenamento Google Cloud .
Antes de começar
Para ativar e usar a CMEK, você precisa atender aos seguintes pré-requisitos:
- Só é possível ativar a CMEK ao criar uma assinatura do Data Studio Pro.
- Para ativar a CMEK, também é necessário ativar e configurar o armazenamento gerenciado pelo cliente. Para o armazenamento gerenciado pelo cliente, você precisa fornecer um bucket do Cloud Storage e um conjunto de dados do BigQuery no seu projeto Google Cloud para que o Data Studio Pro use no armazenamento de extrações de dados e uploads de arquivos. Para proteger os dados armazenados nesses recursos, aplique configurações de CMEK a eles.
- Para ativar a CMEK, você também precisa habilitar e configurar um local de dados.
- Você precisa ter uma chave de criptografia simétrica no Cloud KMS para usar com a CMEK. Essa chave precisa estar na mesma região selecionada para o local dos dados.
- Você precisa ter os papéis do IAM necessários para criar chaves no Cloud KMS. Para mais informações, consulte Papéis necessários.
Ativar a CMEK para uma assinatura
Só é possível ativar a CMEK ao criar uma assinatura do Data Studio Pro. Não é possível ativar a CMEK para uma assinatura do Pro.
Para ativar a CMEK, siga estas etapas ao criar uma assinatura do Data Studio Pro:
- Quando solicitado, selecione Usar uma chave de criptografia gerenciada pelo cliente.
- Insira ou cole o nome do recurso da chave no campo Nome do recurso da chave.
- Conceda à conta de serviço do Data Studio Pro mostrada na interface do usuário o papel Criptografador/Descriptografador do Cloud KMS CryptoKey no Cloud KMS.
- Clique em Próxima para continuar a configuração da assinatura.
O que é criptografado com a CMEK
Quando você ativa a CMEK para sua assinatura do Data Studio Pro, a criptografia do conteúdo do cliente é processada de duas maneiras:
- Dados criptografados pelo Data Studio Pro usando sua chave do Cloud KMS:o Data Studio Pro usa a chave especificada para criptografar dados como configurações de relatórios e fontes de dados e e-mails programados.
- Dados armazenados no seu projeto Google Cloud :para ativar a CMEK, é necessário usar o armazenamento gerenciado pelo cliente. Os seguintes tipos de dados são armazenados nos recursos do Cloud Storage e do BigQuery que você fornece:
- Extrações de dados
- Uploads de arquivos CSV e do Excel: esses recursos são criptografados usando as configurações de CMEK aplicadas a eles no Cloud Storage e no BigQuery. O Data Studio Pro não aplica automaticamente a CMEK a esses recursos quando você a ativa para sua assinatura.
Gerenciamento de chaves
Como administrador de segurança ou compliance, você pode realizar tarefas de gerenciamento de chaves usando o Cloud KMS. O Data Studio Pro chama o Cloud KMS para todas as operações de criptografia e descriptografia.
Você pode realizar as seguintes tarefas de gerenciamento de chaves:
- Revogação de chave:você pode revogar o acesso do Data Studio Pro a uma chave para tornar seus dados indisponíveis imediatamente.
- Auditoria:é possível inspecionar os registros de acesso a chaves no Cloud KMS para auditar todas as operações em que suas chaves foram usadas para criptografar ou descriptografar dados.
Rotação de chaves
Quando você faz a rotação da chave, o Cloud KMS cria uma nova versão dela que é usada para criptografar novos recursos. Os recursos atuais não são recriptografados e continuam protegidos pela versão da chave com que foram criptografados. O Data Studio Pro não é compatível com a recriptografia de recursos atuais com a nova versão da chave.
Como as versões anteriores da chave ainda são necessárias para acessar os recursos criptografados com elas, não exclua nem desative essas versões, a menos que seu objetivo seja remover permanentemente o acesso a esses recursos. A exclusão ou desativação de uma versão de chave que está protegendo dados vai tornar esses dados inacessíveis.
Se a chave de CMEK ficar indisponível, por exemplo, se você desativar ou excluir a chave, o Data Studio Pro vai retornar mensagens de erro em vez de mostrar relatórios ou fontes de dados que usam os dados criptografados. Todos os dados mantidos na memória são excluídos em até 15 minutos após a detecção de uma chave desativada. A página inicial do Data Studio continua acessível porque não contém conteúdo do cliente.
Cotas do Cloud KMS e Data Studio
Ao usar a CMEK no Data Studio, seus projetos podem consumir cotas de solicitações criptográficas do Cloud KMS. Cada vez que o Data Studio Pro usa uma das suas chaves para criptografar ou descriptografar dados, essa operação é contabilizada na cota do seu projeto.
As operações de criptografia e descriptografia com chaves CMEK afetam as cotas do Cloud KMS destas maneiras:
- Para chaves CMEK de software geradas no Cloud KMS, nenhuma cota do Cloud KMS é consumida.
- Para chaves CMEK de hardware, às vezes chamadas de chaves do Cloud HSM, as operações de criptografia e descriptografia são descontadas das cotas do Cloud HSM no projeto que contém a chave.
- Para chaves CMEK externas, às vezes chamadas de chaves do Cloud EKM, as operações de criptografia e descriptografia são descontadas das cotas do Cloud EKM no projeto que contém a chave.
Para mais informações, consulte Cotas do Cloud KMS.
Limitações de CMEK
A CMEK tem as seguintes limitações:
- Só é possível ativar a CMEK ao criar uma assinatura do Data Studio Pro. Não é possível ativar ou desativar a CMEK para uma assinatura atual.
- Você só pode mover conteúdo de um projeto ativado com CMEK para outro que tenha uma assinatura ativa do Data Studio Pro.
- Se você fizer downgrade do Data Studio Pro para a versão sem custos financeiros do Data Studio ou se sua assinatura for cancelada, os recursos da CMEK vão continuar funcionando por um período de carência de 30 dias. Depois disso, as fontes de dados criadas com a CMEK serão excluídas.
- Se você fizer downgrade do Data Studio Pro para a versão sem custos financeiros do Data Studio ou se a assinatura for cancelada, será necessário aguardar 30 dias para reutilizar o mesmo projeto Google Cloud e criar uma nova assinatura do Data Studio Pro.