Abilitare le chiavi di crittografia gestite dal cliente

Questo documento descrive come criptare i dati di Knowledge Catalog (in precedenza Dataplex Universal Catalog) con le chiavi di crittografia gestite dal cliente (CMEK).

Panoramica

Per impostazione predefinita, Knowledge Catalog cripta i contenuti inattivi dei clienti. Knowledge Catalog gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata crittografia predefinita di Google.

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con servizi integrati con CMEK, tra cui Knowledge Catalog. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la località, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. Con Cloud KMS puoi inoltre monitorare l'utilizzo delle chiavi, visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece di Google, sei tu ad avere la proprietà e la gestione delle chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.

Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse di Knowledge Catalog è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, vedi Chiavi di crittografia gestite dal cliente (CMEK).

Knowledge Catalog utilizza una chiave CMEK per località per tutte le risorse di Knowledge Catalog.

Puoi configurare una chiave CMEK a livello di organizzazione in Knowledge Catalog.

Per saperne di più sulle chiavi CMEK in generale, incluso quando e perché abilitarle, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Vantaggi di CMEK

CMEK ti consente di:

  • Gestisci le operazioni del ciclo di vita delle chiavi e le autorizzazioni di accesso.
  • Monitora l'utilizzo delle chiavi con l'API Key Inventory e i dashboard Utilizzo delle chiavi in Cloud KMS, che ti consentono di visualizzare informazioni come quali chiavi proteggono quali risorse. Cloud Logging ti indica quando e da chi sono state utilizzate le chiavi.
  • Soddisfa requisiti normativi specifici gestendo le chiavi di crittografia.

Come funziona CMEK con Knowledge Catalog

Gli amministratori della crittografia di Knowledge Catalog nel tuo progetto Google Cloud possono configurare CMEK per Knowledge Catalog fornendo la chiave Cloud KMS. Successivamente, Knowledge Catalog utilizza la chiave Cloud KMS specificata per criptare tutti i dati, inclusi quelli esistenti e le nuove risorse create in Knowledge Catalog.

Funzionalità supportate

Considerazioni

  • Per impostazione predefinita, ogni organizzazione viene sottoposta a provisioning utilizzando la crittografia predefinita di Google.
  • L'amministratore dell'organizzazione può passare a CMEK in Knowledge Catalog per qualsiasi posizione.
  • Knowledge Catalog supporta le chiavi Cloud KMS, le chiavi Cloud HSM e le chiavi Cloud External Key Manager.
  • La rotazione delle chiavi è supportata e, dopo la sua disponibilità, la nuova versione della chiave viene utilizzata automaticamente per la crittografia dei dati. Anche i dati esistenti vengono criptati con questa nuova versione.
  • Knowledge Catalog conserva i backup dei dati per un massimo di 15 giorni. Tutti i backup creati dopo l'attivazione di CMEK vengono criptati utilizzando la chiave KMS specificata. I dati di cui è stato eseguito il backup prima dell'attivazione di CMEK rimangono criptati con la crittografia predefinita di Google per un massimo di 15 giorni.

Limitazioni

  • Il passaggio a CMEK è un processo irreversibile. Dopo aver scelto CMEK, non puoi tornare alla crittografia predefinita di Google.
  • Una volta configurata una chiave Cloud KMS per Knowledge Catalog, non può essere aggiornata o modificata.
  • Knowledge Catalog supporta solo la crittografia a livello di organizzazione. Di conseguenza, la configurazione della crittografia viene impostata a livello di organizzazione per una determinata località e viene utilizzata per criptare i dati del catalogo delle conoscenze per tutti i progetti all'interno di quell'organizzazione e di quella località. La crittografia CMEK non è supportata per progetti specifici in un'organizzazione o una cartella. L'impostazione delle policy dell'organizzazione correlate a CMEK richiede un'attenta valutazione.
  • Knowledge Catalog non supporta CMEK nella regione globale.

  • Quando CMEK è abilitata per Knowledge Catalog, le seguenti funzionalità non funzionano:

    • Ricerca metadati tra organizzazioni

  • Prima di configurare CMEK in Knowledge Catalog, disattiva l'API Data Catalog (deprecata) in tutti i progetti.

  • Quando abiliti CMEK in Knowledge Catalog, non eseguire la migrazione dei progetti all'interno o all'esterno dell'organizzazione CMEK. La modifica del posizionamento organizzativo di un progetto comporterà la perdita permanente dei metadati archiviati in Knowledge Catalog per quel progetto.

Esegui l'upgrade delle configurazioni CMEK esistenti

Se hai abilitato CMEK in Knowledge Catalog prima del 7 novembre 2025, esegui il seguente comando per estendere la copertura CMEK a Knowledge Catalog e alla ricerca di Knowledge Catalog:

  gcloud dataplex encryption-config update organizations/ORG_ID/locations/LOCATION/encryptionConfigs/default --enable-metastore-encryption
  • Sostituisci ORG_ID con l'ID dell'organizzazione che contiene la chiave.
  • Sostituisci LOCATION con la posizione dell'organizzazione che contiene la chiave.

Quando i dati sono criptati, potresti riscontrare un problema di disponibilità del catalogo delle conoscenze.

Se abiliti CMEK per la prima volta dopo il 7 novembre 2025, Knowledge Catalog Metastore e Search sono inclusi nella copertura CMEK per impostazione predefinita.

Proteggere le chiavi di crittografia

Per garantire l'accesso continuo ai dati criptati da CMEK, segui queste best practice:

  • Assicurati che le chiavi CMEK rimangano abilitate e accessibili. Se una chiave viene disattivata o distrutta, i dati di Knowledge Catalog diventano inaccessibili. Se la chiave non è disponibile per più di 30 giorni, i dati criptati con quella chiave vengono eliminati automaticamente e non possono essere recuperati.
  • Se la chiave Cloud KMS viene eliminata e non è recuperabile, tutti i dati di Knowledge Catalog associati verranno persi definitivamente.
  • Nei casi in cui Cloud KMS non è temporaneamente disponibile, Knowledge Catalog continua a supportare le operazioni complete nel miglior modo possibile per un massimo di un'ora. Trascorso questo periodo, i dati diventeranno temporaneamente inaccessibili come misura protettiva.
  • Quando utilizzi Cloud EKM, tieni presente che Google non controlla la disponibilità delle chiavi gestite esternamente. La mancata disponibilità della chiave a breve termine comporta l'inaccessibilità temporanea dei dati. L'indisponibilità della chiave che continua per 30 giorni comporta la perdita permanente dei dati.

Disponibilità di Knowledge Catalog

Le sezioni seguenti descrivono la procedura e l'impatto operativo previsto quando abiliti CMEK per l'organizzazione Knowledge Catalog.

Provisioning iniziale dell'infrastruttura

Dopo aver salvato la configurazione della crittografia, Knowledge Catalog configura l'infrastruttura necessaria. In genere, questa procedura richiede dalle 6 alle 8 ore. Durante questa fase di provisioning, mantieni l'accesso completo a tutte le funzionalità di Knowledge Catalog e i dati rimangono criptati tramite la crittografia gestita da Google. Se il criterio dell'organizzazione constraints/gcp.restrictNonCmekServices è impostato, le richieste di creazione delle risorse non vanno a buon fine finché la fase di provisioning non è completata.

Crittografia dei dati e disponibilità dell'API

Dopo il provisioning dell'infrastruttura, Knowledge Catalog inizia a criptare i dati esistenti archiviati all'interno dell'organizzazione. Per garantire l'integrità dei dati e prevenire potenziali incoerenze durante questo processo di crittografia, i metodi dell'API Dataplex non sono temporaneamente disponibili. Questa limitazione impedisce le operazioni di aggiornamento dei dati. Quando attivi inizialmente CMEK per Knowledge Catalog, tutti i dati esistenti vengono criptati. Questa operazione una tantum richiede fino a due ore.

Operazioni post-crittografia

Una volta completata la crittografia dei dati esistenti, i metodi dell'API Dataplex sono completamente disponibili. La creazione o la modifica dei dati all'interno di Knowledge Catalog viene criptata automaticamente utilizzando la CMEK configurata, senza interruzioni operative o limitazioni dell'API.

Crea una chiave e abilita CMEK

Le istruzioni riportate di seguito spiegano come creare una chiave e abilitare CMEK per Knowledge Catalog. Puoi utilizzare una chiave creata direttamente in Cloud KMS o una chiave con gestione esterna che rendi disponibile con Cloud EKM.

  1. Nel progetto Google Cloud in cui vuoi gestire le chiavi, procedi come segue:

    1. Abilita l'API Cloud Key Management Service.

    2. Crea un keyring Cloud KMS nella località in cui vuoi utilizzarlo.

    3. Crea una chiave utilizzando una delle seguenti opzioni:

  2. Crea e visualizza il account di servizio gestito da Google:

    gcloud beta services identity create \
    --service=dataplex.googleapis.com \
    --organization=ORG_ID

    Sostituisci ORG_ID con l'ID dell'organizzazione che contiene la chiave.

    Se ti viene chiesto di installare il componente dei comandi beta di Google Cloud CLI, inserisci Y.

    Il comando services identity di gcloud CLI crea o recupera il account di servizio gestito da Google specifico che Knowledge Catalog può utilizzare per accedere alla chiave Cloud KMS.

    L'ID del account di servizio è formattato come service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com. Viene creato anche un account di servizio specifico per CMEK, formattato come service-org-ORG_ID@gcp-sa-dataplex-cmek.iam.gserviceaccount.com. Il account di servizio specifico per CMEK viene utilizzato per criptare e decriptare i dati archiviati in Knowledge Catalog. Se utilizzi i Controlli di servizio VPC per la chiave Cloud KMS, devi concedere l'accesso al account di servizio specifico per CMEK utilizzando una regola in entrata.

  3. Concedi il ruolo IAM Autore crittografia/decrittografia CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) al account di servizio Knowledge Catalog. Concedi questa autorizzazione per la chiave che hai creato.

    Console

    1. Vai alla pagina Gestione chiavi.

      Vai a Gestione delle chiavi

    2. Fai clic sul keyring.

    3. Nell'elenco delle chiavi disponibili, fai clic su quella che hai creato.

    4. Fai clic sulla scheda Autorizzazioni.

    5. Fai clic su Concedi l'accesso.

    6. Nel riquadro Concedi accesso visualizzato, segui questi passaggi per concedere l'accesso all'account di servizio Knowledge Catalog:

      1. In Aggiungi entità, inserisci il account di servizio service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.
      2. In Assegna i ruoli, seleziona il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS.
      3. Fai clic su Salva.

    gcloud

    Concedi all'account di servizio il ruolo cloudkms.cryptoKeyEncrypterDecrypter:

    gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location=LOCATION \
    --keyring KEY_RING \
    --project=KEY_PROJECT_ID \
    --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter

    Sostituisci quanto segue:

    • KEY_NAME: il nome della chiave
    • LOCATION: la posizione
    • KEY_RING: le chiavi automatizzate
    • KEY_PROJECT_ID: l'ID progetto della chiave

  4. Assegna a te stesso il ruolo Amministratore di Dataplex Encryption.

    Console

    Segui le istruzioni per concedere un ruolo IAM.

    gcloud 

    gcloud organizations add-iam-policy-binding ORG_ID \
    --member='user:USER_EMAIL' \
    --role='roles/dataplex.encryptionAdmin'

    Sostituisci quanto segue:

    • ORG_ID: l'ID dell'organizzazione che contiene la chiave.
    • USER_EMAIL: l'indirizzo email dell'utente.

  5. Configura Knowledge Catalog in modo che utilizzi la chiave CMEK.

    Console

    1. Nella console Google Cloud , vai alla pagina Knowledge Catalog.

      Vai al catalogo della conoscenza

    2. Fai clic su Impostazioni.

    3. In Seleziona la regione per CMEK, seleziona una regione. La regione che selezioni deve corrispondere alla posizione della chiave Cloud KMS.

    4. In Seleziona chiave di crittografia, seleziona la chiave che hai creato.

    5. Fai clic su Salva.

      Il processo di crittografia dei dati richiede del tempo. Al termine della procedura, viene visualizzato il seguente messaggio: Data Encryption is complete. Your selected CMEK key is now protecting your data.

    gcloud

    1. Imposta la configurazione della crittografia in Knowledge Catalog:

      gcloud dataplex encryption-config create default \
    --location=LOCATION \
    --organization=ORG_ID \
    --key=KEY_RESOURCE_ID

      Sostituisci quanto segue:

      • ORG_ID: l'ID dell'organizzazione che contiene la chiave.
      • KEY_RESOURCE_ID: l'ID risorsa chiave, ad esempio projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. Sostituisci PROJECT_ID con l'ID progetto chiave.

    2. Controlla che la procedura di crittografia sia completata:

      gcloud dataplex encryption-config describe default \
    --location=LOCATION \
    --organization=ORG_ID

    Il processo di crittografia dei dati richiede del tempo. Al termine della procedura, viene visualizzato il seguente messaggio: encryptionState: COMPLETED.

Logging e monitoraggio

Esegui l'audit delle richieste del catalogo delle conoscenze a Cloud KMS attivando la registrazione degli audit per l'API Cloud KMS.

Policy dell'organizzazione CMEK

Google Cloud fornisce vincoli per le policy dell'organizzazione per applicare l'utilizzo di CMEK e controllare le chiavi Cloud KMS consentite all'interno della tua organizzazione. Questi vincoli contribuiscono a garantire che i dati all'interno di Knowledge Catalog siano protetti in modo coerente da CMEK.

  • constraints/gcp.restrictNonCmekServices impone l'utilizzo obbligatorio di CMEK per le risorse di Knowledge Catalog.

    • L'aggiunta di dataplex.googleapis.com all'elenco dei nomi dei servizi Google Cloud e l'impostazione del vincolo su Deny impedisce la creazione di risorse Knowledge Catalog che non dispongono della protezione CMEK.

    • Se non viene specificata una chiave Cloud KMS per la località richiesta nelle impostazioni di crittografia CMEK, le richieste di creazione di risorse all'interno di Knowledge Catalog non andranno a buon fine.

    • Questa policy viene convalidata a livello di progetto di singola risorsa.

  • constraints/gcp.restrictCmekCryptoKeyProjects limita la selezione delle chiavi Cloud KMS per CMEK alle gerarchie di risorse designate.

    • Se configuri un elenco di indicatori della gerarchia delle risorse (progetti, cartelle o organizzazioni) e imposti il vincolo su Allow, Knowledge Catalog è limitato all'utilizzo delle chiavi CMEK solo dalle posizioni specificate.

    • Se viene fornita una chiave Cloud KMS da un progetto non consentito, le richieste per creare risorse protette da CMEK in Knowledge Catalog non andranno a buon fine.

    • Questa policy viene convalidata a livello di progetto della risorsa durante la creazione della risorsa.

    • Questa policy viene convalidata a livello di organizzazione durante la configurazione delle impostazioni di crittografia CMEK.

    • Per evitare incoerenze, assicurati che le configurazioni a livello di progetto siano in linea con le norme a livello di organizzazione.

Per saperne di più sulla configurazione delle policy dell'organizzazione, consulta la pagina Policy dell'organizzazione per le chiavi CMEK.

Passaggi successivi

  • Scopri di più su CMEK.