Ativar as chaves de criptografia gerenciadas pelo cliente

Este documento descreve como criptografar dados do Knowledge Catalog (antigo Dataplex Universal Catalog) com chaves de criptografia gerenciadas pelo cliente (CMEK).

Visão geral

Por padrão, o Knowledge Catalog criptografa o conteúdo do cliente em repouso. O Knowledge Catalog executa a criptografia, e você não precisa fazer nada. Essa opção é chamada de criptografia padrão do Google.

Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o Knowledge Catalog. Ao usar chaves do Cloud KMS, é possível controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. Ao usar o Cloud KMS, é possível também monitorar o uso de chaves, ver registros de auditoria e controlar ciclos de vida de chaves. Em vez de o Google ser proprietário e responsável pelo gerenciamento das chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.

Depois que você configura os recursos com CMEKs, a experiência de acesso aos seus recursos do Knowledge Catalog é semelhante à criptografia padrão do Google. Para saber mais sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

O Knowledge Catalog usa uma CMEK por local para todos os recursos do Knowledge Catalog.

É possível configurar uma chave CMEK no nível da organização no Knowledge Catalog.

Para mais informações sobre CMEK em geral, como quando e por que ativar, consulte Chaves de criptografia gerenciadas pelo cliente (CMEKs).

Benefícios de CMEK

A CMEK permite que você faça o seguinte:

• Gerenciar operações de ciclo de vida de chaves e permissões de acesso.
• Acompanhe o uso de chaves com a API Key Inventory e os painéis de uso de chaves no Cloud KMS, que permitem ver coisas como quais chaves protegem quais recursos. O Cloud Logging informa quando e quem acessou as chaves.
• Atender a requisitos regulatórios específicos gerenciando suas chaves de criptografia.

Como a CMEK funciona com o Knowledge Catalog

Os administradores de criptografia do Knowledge Catalog no seu Google Cloud projeto podem configurar a CMEK para o Knowledge Catalog fornecendo a chave do Cloud KMS. Em seguida, o Knowledge Catalog usa a chave especificada do Cloud KMS para criptografar todos os dados, incluindo os dados atuais e todos os novos recursos criados no Knowledge Catalog.

Recursos compatíveis

• O Knowledge Catalog oferece suporte à criptografia CMEK para os seguintes recursos:

  • Qualidade automática de dados
  • Criação de perfil de dados
  • Descoberta de dados
  • Insights de dados
  • Knowledge Catalog
  • Glossário empresarial
  • Pesquisa do Knowledge Catalog

• A linhagem de dados não armazena conteúdo principal do cliente ou dados sensíveis e, portanto, não exige criptografia CMEK.

• Os clientes do Assured Workloads não podem usar outros recursos do Knowledge Catalog porque a criptografia CMEK não é compatível com eles.

• Os clientes que não usam o Assured Workloads podem usar outros recursos, mas os dados são criptografados usando a criptografia padrão do Google.

Considerações

• Por padrão, cada organização é provisionada usando a criptografia padrão do Google.
• O administrador da organização pode mudar para a CMEK no Knowledge Catalog em qualquer local.
• O Knowledge Catalog oferece suporte a chaves do Cloud KMS, chaves do Cloud HSM e chaves do Cloud External Key Manager.
• A rotação de chaves é compatível e, depois que estiver disponível, a nova versão da chave será usada automaticamente para criptografia de dados. Os dados atuais também são criptografados com essa nova versão.
• O Knowledge Catalog retém backups de dados por no máximo 15 dias. Todos os backups criados depois que você ativa a CMEK são criptografados usando a chave KMS especificada. Os dados com backup antes de ativar a CMEK permanecem criptografados com a criptografia padrão do Google por no máximo 15 dias.

Limitações

• A mudança para a CMEK é um processo irreversível. Depois de optar pela CMEK, não é possível reverter para a criptografia padrão do Google.
• Depois que uma chave do Cloud KMS é configurada para o Knowledge Catalog, ela não pode ser atualizada ou alterada.
• O Knowledge Catalog oferece suporte apenas à criptografia no nível da organização. Como resultado, a configuração de criptografia é definida no nível da organização para um determinado local e é usada para criptografar dados do Knowledge Catalog para todos os projetos dessa organização e local. A criptografia CMEK não é compatível com projetos específicos em uma organização ou pasta. A definição de políticas da organização relacionadas à CMEK exige consideração cuidadosa.
• O Knowledge Catalog não oferece suporte à CMEK na região global.

• Quando a CMEK está ativada para o Knowledge Catalog, os seguintes recursos não funcionam:

  • Pesquisa de metadados entre organizações

• Antes de configurar a CMEK no Knowledge Catalog, desative a API Data Catalog (descontinuada) em todos os projetos.

• Ao ativar a CMEK no Knowledge Catalog, não migre projetos para dentro ou para fora da organização da CMEK. A modificação do posicionamento organizacional de um projeto resultará em uma perda permanente de metadados armazenados no Knowledge Catalog para esse projeto.

Fazer upgrade das configurações de CMEK atuais

Se você ativou a CMEK no Knowledge Catalog antes de 7 de novembro de 2025, execute o comando a seguir para estender a cobertura da CMEK ao Knowledge Catalog e à pesquisa do Knowledge Catalog:

  gcloud dataplex encryption-config update organizations/ORG_ID/locations/LOCATION/encryptionConfigs/default --enable-metastore-encryption

• Substitua ORG_ID pelo ID da organização que contém a chave.
• Substitua LOCATION pelo local da organização que contém a chave.

Quando os dados são criptografados, pode haver um problema de disponibilidade do Knowledge Catalog.

Se você ativar a CMEK pela primeira vez após 7 de novembro de 2025, o metastore e a pesquisa do Knowledge Catalog serão incluídos na cobertura da CMEK por padrão.

Proteger suas chaves de criptografia

Para garantir o acesso contínuo aos dados criptografados pela CMEK, siga estas práticas recomendadas:

• Verifique se as chaves CMEK permanecem ativadas e acessíveis. Se uma chave for desativada ou destruída, os dados do Knowledge Catalog ficarão inacessíveis. Se a chave ficar indisponível por mais de 30 dias, os dados criptografados com ela serão excluídos automaticamente e não poderão ser recuperados.
• Se a chave do Cloud KMS for destruída e irrecuperável, todos os dados associados do Knowledge Catalog serão perdidos permanentemente.
• Nos casos em que o Cloud KMS estiver temporariamente indisponível, o Knowledge Catalog continuará oferecendo suporte a operações completas da melhor maneira possível por até uma hora. Após esse período, os dados ficarão temporariamente inacessíveis como medida de proteção.
• Ao usar o Cloud EKM, lembre-se de que o Google não controla a disponibilidade das chaves gerenciadas externamente. A indisponibilidade de chaves de curto prazo resulta em inacessibilidade temporária de dados. A indisponibilidade de chaves que continua por 30 dias resulta em perda permanente de dados.

Disponibilidade do Knowledge Catalog

As seções a seguir descrevem o processo e o impacto operacional esperado ao ativar a CMEK para sua organização do Knowledge Catalog.

Provisionamento inicial de infraestrutura

Depois de salvar a configuração de criptografia, o Knowledge Catalog configura a infraestrutura necessária. Esse processo normalmente leva de 6 a 8 horas. Durante essa fase de provisionamento, você mantém acesso total a todos os recursos e funcionalidades do Knowledge Catalog, e os dados permanecem criptografados pela criptografia gerenciada pelo Google. Se a política da organização constraints/gcp.restrictNonCmekServices estiver definida, as solicitações de criação de recursos falharão até que a fase de provisionamento seja concluída.

Criptografia de dados e disponibilidade da API

Após o provisionamento da infraestrutura, o Knowledge Catalog começa a criptografar os dados atuais armazenados na organização. Para garantir a integridade de dados e evitar possíveis inconsistências durante esse processo de criptografia, os métodos da API Dataplex ficam temporariamente indisponíveis. Essa restrição impede operações de atualização de dados. Quando você ativa a CMEK para o Knowledge Catalog, todos os dados atuais são criptografados. Essa operação única tem uma estimativa de até duas horas.

Operações pós-criptografia

Após a conclusão da criptografia de dados atual, os métodos da API Dataplex ficam totalmente disponíveis. A criação ou modificação de dados no Knowledge Catalog é criptografada automaticamente usando a CMEK configurada, sem interrupções operacionais ou restrições de API.

Criar uma chave e ativar a CMEK

As instruções a seguir explicam como criar uma chave e ativar a CMEK para o Knowledge Catalog. É possível usar uma chave criada diretamente no Cloud KMS ou uma chave gerenciada externamente que você disponibiliza com o Cloud EKM.

1. No Google Cloud projeto em que você quer gerenciar as chaves, faça o seguinte:

   1. Ative a API Cloud Key Management Service.

   2. Crie um keyring do Cloud KMS no local em que você quer usá-lo.

   3. Crie uma chave usando uma das seguintes opções:

      • Criar uma chave do Cloud KMS.
      • Criar uma chave externa.

2. Crie e mostre a conta de serviço gerenciado pelo Google:

   gcloud beta services identity create \
       --service=dataplex.googleapis.com \
       --organization=ORG_ID
   

   Substitua ORG_ID pelo ID da organização que contém a chave.

   Se você receber uma solicitação para instalar o componente de comandos Beta da Google Cloud CLI, insira Y.

   O comando services identity da CLI gcloud cria ou recebe a conta de serviço específica gerenciada pelo Google que o Knowledge Catalog pode usar para acessar a chave do Cloud KMS.

   O ID da conta de serviço é formatado como service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com. Uma conta de serviço específica da CMEK também é criada, formatada como service-org-ORG_ID@gcp-sa-dataplex-cmek.iam.gserviceaccount.com. A conta de serviço específica da CMEK é usada para criptografar e descriptografar dados armazenados no Knowledge Catalog. Se você usar o VPC Service Controls para a chave do Cloud KMS, conceda acesso à conta de serviço específica da CMEK usando uma regra de entrada.

3. Conceda o papel do IAM de Criptografador/Descriptografador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) à conta de serviço do Knowledge Catalog. Conceda essa permissão na chave que você criou.

   Console

   1. Acesse a página Gerenciamento de chaves.

      Acessar "Gerenciamento de chaves"

   2. Clique no keyring.

   3. Na lista de chaves disponíveis, clique na chave que você criou.

   4. Clique na guia Permissões.

   5. Clique em Conceder acesso.

   6. No painel Conceder acesso que é aberto, siga estas etapas para conceder acesso à conta de serviço do Knowledge Catalog:

      1. Em Adicionar principais, insira a conta de serviço service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.
      2. Em Atribuir papéis, selecione o papel Criptografador/descriptografador do Cloud KMS CryptoKey.
      3. Clique em Salvar.

   gcloud

   Conceda à conta de serviço o papel cloudkms.cryptoKeyEncrypterDecrypter:

   gcloud kms keys add-iam-policy-binding KEY_NAME \
       --location=LOCATION \
       --keyring KEY_RING \
       --project=KEY_PROJECT_ID \
       --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \
       --role roles/cloudkms.cryptoKeyEncrypterDecrypter
   

   Substitua:

   • KEY_NAME: o nome da chave
   • LOCATION: o local
   • KEY_RING: o keyring
   • KEY_PROJECT_ID: o ID do projeto da chave

4. Atribua a função de administrador de criptografia do Dataplex a você mesmo.

   Console

   Siga as instruções para conceder um papel do IAM.

   gcloud

   gcloud organizations add-iam-policy-binding ORG_ID \
       --member='user:USER_EMAIL' \
       --role='roles/dataplex.encryptionAdmin'
   

   Substitua:

   • ORG_ID: o ID da organização que contém a chave
   • USER_EMAIL: o endereço de e-mail do usuário

5. Configure o Knowledge Catalog para usar sua chave CMEK.

   Console

   1. No Google Cloud console, acesse a página do Knowledge Catalog.

      Acessar o Knowledge Catalog

   2. Clique em Configurações.

   3. Em Selecionar região para a CMEK, selecione uma região. A região selecionada precisa corresponder ao local da chave do Cloud KMS.

   4. Em Selecionar chave de criptografia, selecione a chave que você criou.

   5. Clique em Salvar.

      O processo de criptografia de dados leva um tempo para ser concluído. Quando o processo for concluído, a seguinte mensagem será exibida: Data Encryption is complete. Your selected CMEK key is now protecting your data.

   gcloud

   1. Defina a configuração de criptografia no Knowledge Catalog:

      gcloud dataplex encryption-config create default \
          --location=LOCATION \
          --organization=ORG_ID \
          --key=KEY_RESOURCE_ID
      

      Substitua:

      • ORG_ID: o ID da organização que contém a chave
      • KEY_RESOURCE_ID: o ID do recurso da chave. Por exemplo, projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. Substitua PROJECT_ID pelo ID do projeto da chave.

   2. Verifique se o processo de criptografia foi concluído:

      gcloud dataplex encryption-config describe default \
          --location=LOCATION \
          --organization=ORG_ID
      

   O processo de criptografia de dados leva um tempo para ser concluído. Quando o processo for concluído, a seguinte mensagem será exibida: encryptionState: COMPLETED.

Geração de registros e monitoramento

Audite as solicitações do Knowledge Catalog para o Cloud KMS ativando a geração de registros de auditoria para a API Cloud KMS.

Políticas da organização de CMEK

Google Cloud fornece restrições de política da organização para aplicar o uso da CMEK e controlar as chaves permitidas do Cloud KMS na sua organização. Essas restrições ajudam a garantir que os dados no Knowledge Catalog sejam protegidos de forma consistente pela CMEK.

• constraints/gcp.restrictNonCmekServices aplica o uso obrigatório da CMEK para recursos do Knowledge Catalog.

  • Adicionar dataplex.googleapis.com à lista de Google Cloud nomes de serviço e definir a restrição como Deny proíbe a criação de recursos do Knowledge Catalog que não têm proteção CMEK.

  • Se uma chave do Cloud KMS não for especificada para o local solicitado nas configurações de criptografia CMEK, as solicitações para criar recursos no Knowledge Catalog falharão.

  • Essa política é validada no nível do projeto de recurso individual.

• constraints/gcp.restrictCmekCryptoKeyProjects restringe a seleção de chaves do Cloud KMS para CMEK a hierarquias de recursos designadas.

  • Ao configurar uma lista de indicadores de hierarquia de recursos (projetos, pastas ou organizações) e definir a restrição como Allow, o Knowledge Catalog fica restrito ao uso de chaves CMEK apenas dos locais especificados.

  • Se uma chave do Cloud KMS de um projeto não permitido for fornecida, as solicitações para criar recursos protegidos por CMEK no Knowledge Catalog falharão.

  • Essa política é validada no nível do projeto de recurso durante a criação do recurso.

  • Essa política é validada no nível da organização ao configurar as configurações de criptografia CMEK.

  • Para evitar inconsistências, verifique se as configurações para envolvidos no projeto estão alinhadas com as políticas de toda a organização.

Para mais informações sobre como configurar políticas da organização, consulte Políticas da organização de CMEK.

A seguir

• Saiba mais sobre CMEK.