Ativar as chaves de criptografia gerenciadas pelo cliente

Este documento descreve como criptografar dados do Knowledge Catalog (antigo Dataplex Universal Catalog) com chaves de criptografia gerenciadas pelo cliente (CMEK).

Visão geral

Por padrão, o Knowledge Catalog criptografa o conteúdo do cliente em repouso. O Knowledge Catalog executa a criptografia, e você não precisa fazer nada. Essa opção é chamada de criptografia padrão do Google.

Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, como o Knowledge Catalog. Ao usar chaves do Cloud KMS, é possível controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. Ao usar o Cloud KMS, é possível também monitorar o uso de chaves, ver registros de auditoria e controlar ciclos de vida de chaves. Em vez de o Google ser proprietário e responsável pelo gerenciamento das chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.

Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos do Knowledge Catalog é semelhante à criptografia padrão do Google. Para saber mais sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

O Knowledge Catalog usa uma CMEK por local para todos os recursos dele.

É possível configurar uma chave da CMEK no nível da organização no Catálogo de dados.

Para mais informações sobre CMEK em geral, como quando e por que ativar, consulte Chaves de criptografia gerenciadas pelo cliente (CMEKs).

Benefícios de CMEK

Com a CMEK, é possível:

• Gerenciar operações de ciclo de vida de chaves e permissões de acesso.
• Monitore o uso de chaves com a API Inventory de chaves e os painéis de uso de chaves no Cloud KMS, que permitem ver quais chaves protegem quais recursos. O Cloud Logging informa quando e por quem as chaves foram acessadas.
• Atenda a requisitos regulamentares específicos gerenciando suas chaves de criptografia.

Como a CMEK funciona com o Catálogo de Conhecimento

Os administradores de criptografia do Knowledge Catalog no projeto Google Cloud podem configurar a CMEK para o Knowledge Catalog fornecendo a chave do Cloud KMS. Em seguida, o catálogo de dados usa a chave especificada do Cloud KMS para criptografar todos os dados, incluindo os atuais e os novos recursos criados no catálogo de dados.

Recursos compatíveis

• O Knowledge Catalog oferece suporte à criptografia CMEK para os seguintes recursos:

  • Qualidade de dados automática
  • Criação de perfil de dados
  • Descoberta de dados
  • Insights de dados
  • Knowledge Catalog
  • Glossário empresarial
  • Pesquisa no catálogo de conhecimento

• O Data Lineage não armazena conteúdo principal do cliente nem dados sensíveis. Portanto, não exige criptografia CMEK.

• Os clientes do Assured Workloads não podem usar outros recursos do Knowledge Catalog porque a criptografia CMEK não é compatível com eles.

• Os clientes que não usam o Assured Workloads podem usar outros recursos, mas os dados são criptografados com a criptografia padrão do Google.

Considerações

• Por padrão, cada organização é provisionada usando a criptografia padrão do Google.
• O administrador da organização pode mudar para a CMEK no catálogo de conhecimento em qualquer local.
• O catálogo de dados do Knowledge Catalog é compatível com chaves do Cloud KMS, do Cloud HSM e do Cloud External Key Manager.
• A rotação de chaves é compatível e, depois que ela estiver disponível, a nova versão da chave será usada automaticamente para criptografia de dados. Os dados atuais também são criptografados com essa nova versão.
• O Catálogo de dados mantém backups de dados por no máximo 15 dias. Todos os backups criados depois que você ativa a CMEK são criptografados usando a chave do KMS especificada. Os dados armazenados em backup antes da ativação da CMEK permanecem criptografados com a criptografia padrão do Google por no máximo 15 dias.

Limitações

• A migração para a CMEK é um processo irreversível. Depois de optar pela CMEK, não é possível reverter para a criptografia padrão do Google.
• Depois que uma chave do Cloud KMS é configurada para o catálogo de dados, ela não pode ser atualizada nem alterada.
• O Catálogo de dados é compatível apenas com criptografia no nível da organização. Como resultado, a configuração de criptografia é definida no nível da organização para um determinado local e é usada para criptografar dados do catálogo de dados do Knowledge Catalog para todos os projetos nessa organização e local. A criptografia CMEK não é compatível com projetos específicos em uma organização ou pasta. A definição de políticas da organização relacionadas à CMEK exige consideração cuidadosa.
• O Knowledge Catalog não é compatível com CMEK na região global.

• Quando a CMEK está ativada para o Knowledge Catalog, os seguintes recursos não funcionam:

  • Pesquisa de metadados interorganizacional

• Antes de configurar a CMEK no Knowledge Catalog, desative a API Data Catalog (descontinuada) em todos os projetos.

• Ao ativar a CMEK no Knowledge Catalog, não migre projetos para dentro ou para fora da organização da CMEK. A modificação do posicionamento organizacional de um projeto resulta na perda permanente dos metadados armazenados no catálogo de dados do projeto.

Fazer upgrade das configurações de CMEK

Se você ativou a CMEK no Catálogo de Conhecimento antes de 7 de novembro de 2025, execute o seguinte comando para estender a cobertura da CMEK à pesquisa do Catálogo de Conhecimento e do Catálogo de Conhecimento:

  gcloud dataplex encryption-config update organizations/ORG_ID/locations/LOCATION/encryptionConfigs/default --enable-metastore-encryption

• Substitua ORG_ID pelo ID da organização que contém a chave.
• Substitua LOCATION pelo local da organização que contém a chave.

Quando os dados são criptografados, você pode receber um problema de disponibilidade do Knowledge Catalog.

Se você ativar a CMEK pela primeira vez após 7 de novembro de 2025, o metastore e a pesquisa do Knowledge Catalog serão incluídos na cobertura da CMEK por padrão.

Proteger suas chaves de criptografia

Para garantir o acesso contínuo aos dados criptografados pela CMEK, siga estas práticas recomendadas:

• Verifique se as chaves da CMEK permanecem ativadas e acessíveis. Se uma chave for desativada ou destruída, os dados do Knowledge Catalog ficarão inacessíveis. Se a chave ficar indisponível por mais de 30 dias, os dados criptografados com ela serão excluídos automaticamente e não poderão ser recuperados.
• Se a chave do Cloud KMS for destruída e não puder ser recuperada, todos os dados associados do Knowledge Catalog serão perdidos permanentemente.
• Nos casos em que o Cloud KMS está temporariamente indisponível, o Knowledge Catalog continua oferecendo suporte a operações completas da melhor forma possível por até uma hora. Após esse período, os dados ficarão temporariamente inacessíveis como medida de proteção.
• Ao usar o Cloud EKM, saiba que o Google não controla a disponibilidade das suas chaves gerenciadas externamente. A indisponibilidade de chaves de curto prazo resulta em inacessibilidade temporária dos dados. A indisponibilidade da chave por 30 dias resulta em perda permanente de dados.

Disponibilidade do Catálogo de Conhecimento

As seções a seguir descrevem o processo e o impacto operacional esperado ao ativar a CMEK para sua organização do catálogo de dados.

Provisionamento inicial de infraestrutura

Depois de salvar a configuração de criptografia, o Knowledge Catalog configura a infraestrutura necessária. Esse processo costuma levar de 6 a 8 horas. Durante essa fase de provisionamento, você mantém acesso total a todos os recursos e funcionalidades do Catálogo de dados, e os dados permanecem criptografados com a criptografia gerenciada pelo Google. Se a política da organização constraints/gcp.restrictNonCmekServices estiver definida, as solicitações de criação de recursos vão falhar até que a fase de provisionamento seja concluída.

Criptografia de dados e disponibilidade da API

Após o provisionamento da infraestrutura, o Knowledge Catalog começa a criptografar os dados armazenados na organização. Para garantir a integridade de dados e evitar possíveis inconsistências durante esse processo de criptografia, os métodos da API Dataplex ficam temporariamente indisponíveis. Essa restrição impede operações de atualização de dados. Quando você ativa a CMEK para o Knowledge Catalog, todos os dados atuais são criptografados. Essa operação única deve levar até duas horas.

Operações pós-criptografia

Depois da conclusão da criptografia de dados atual, os métodos da API Dataplex ficam totalmente disponíveis. A criação ou modificação de dados no Knowledge Catalog é criptografada automaticamente usando a CMEK configurada, sem interrupções operacionais ou restrições de API.

Criar uma chave e ativar a CMEK

As instruções a seguir explicam como criar uma chave e ativar a CMEK para o Knowledge Catalog. É possível usar uma chave criada diretamente no Cloud KMS ou uma chave gerenciada externamente que você disponibiliza com o Cloud EKM.

1. No projeto Google Cloud em que você quer gerenciar as chaves, faça o seguinte:

   1. Ative a API Cloud Key Management Service.

   2. Crie um keyring do Cloud KMS no local em que você quer usá-lo.

   3. Crie uma chave usando uma das seguintes opções:

      • Criar uma chave do Cloud KMS.
      • Crie uma chave externa.

2. Crie e mostre a conta de serviço gerenciado pelo Google:

   gcloud beta services identity create \
       --service=dataplex.googleapis.com \
       --organization=ORG_ID
   

   Substitua ORG_ID pelo ID da organização que contém a chave.

   Se aparecer uma solicitação para instalar o componente de comandos Beta da Google Cloud CLI, insira Y.

   O comando services identity da CLI gcloud cria ou recebe a conta de serviço específica gerenciada pelo Google que o catálogo de dados de conhecimento pode usar para acessar a chave do Cloud KMS.

   O ID da conta de serviço é formatado como service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com. Uma conta de serviço específica da CMEK também é criada, formatada como service-org-ORG_ID@gcp-sa-dataplex-cmek.iam.gserviceaccount.com. A conta de serviço específica da CMEK é usada para criptografar e descriptografar dados armazenados no Knowledge Catalog. Se você usa o VPC Service Controls para a chave do Cloud KMS, é necessário conceder acesso à conta de serviço específica da CMEK usando uma regra de entrada.

3. Conceda o papel do IAM de Criptografador/Descriptografador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) à conta de serviço do Knowledge Catalog. Conceda essa permissão na chave que você criou.

   Console

   1. Acesse a página Gerenciamento de chaves.

      Acessar "Gerenciamento de chaves"

   2. Clique no keyring.

   3. Na lista de chaves disponíveis, clique na chave que você criou.

   4. Clique na guia Permissões.

   5. Clique em Conceder acesso.

   6. No painel Conceder acesso que é aberto, siga estas etapas para conceder acesso à conta de serviço do Catálogo de dados:

      1. Em Adicionar principais, insira a conta de serviço service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.
      2. Em Atribuir papéis, selecione o papel Criptografador/descriptografador de CryptoKey do Cloud KMS.
      3. Clique em Salvar.

   gcloud

   Conceda à conta de serviço o papel cloudkms.cryptoKeyEncrypterDecrypter:

   gcloud kms keys add-iam-policy-binding KEY_NAME \
       --location=LOCATION \
       --keyring KEY_RING \
       --project=KEY_PROJECT_ID \
       --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \
       --role roles/cloudkms.cryptoKeyEncrypterDecrypter
   

   Substitua:

   • KEY_NAME: o nome da chave
   • LOCATION: o local
   • KEY_RING: o keyring
   • KEY_PROJECT_ID: o ID do projeto da chave

4. Atribua a função de administrador da criptografia do Dataplex a você mesmo.

   Console

   Siga as instruções para conceder um papel do IAM.

   gcloud

   gcloud organizations add-iam-policy-binding ORG_ID \
       --member='user:USER_EMAIL' \
       --role='roles/dataplex.encryptionAdmin'
   

   Substitua:

   • ORG_ID: o ID da organização que contém a chave.
   • USER_EMAIL: o endereço de e-mail do usuário.

5. Configure o Knowledge Catalog para usar sua chave CMEK.

   Console

   1. No Google Cloud console, acesse a página "Knowledge Catalog".

      Acessar o Knowledge Catalog

   2. Clique em Configurações.

   3. Em Selecionar região para a CMEK, escolha uma região. A região selecionada precisa corresponder ao local da chave do Cloud KMS.

   4. Em Selecionar chave de criptografia, escolha a chave que você criou.

   5. Clique em Salvar.

      O processo de criptografia de dados leva algum tempo para ser concluído. Quando o processo for concluído, a seguinte mensagem vai aparecer: Data Encryption is complete. Your selected CMEK key is now protecting your data.

   gcloud

   1. Defina a configuração de criptografia no catálogo do Knowledge:

      gcloud dataplex encryption-config create default \
          --location=LOCATION \
          --organization=ORG_ID \
          --key=KEY_RESOURCE_ID
      

      Substitua:

      • ORG_ID: o ID da organização que contém a chave.
      • KEY_RESOURCE_ID: o ID do recurso de chave. Por exemplo, projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. Substitua PROJECT_ID pelo ID do projeto da chave.

   2. Verifique se o processo de criptografia foi concluído:

      gcloud dataplex encryption-config describe default \
          --location=LOCATION \
          --organization=ORG_ID
      

   O processo de criptografia de dados leva algum tempo para ser concluído. Quando o processo for concluído, a seguinte mensagem vai aparecer: encryptionState: COMPLETED.

Geração de registros e monitoramento

Audite as solicitações do Knowledge Catalog para o Cloud KMS ativando a geração de registros de auditoria para a API Cloud KMS.

Políticas da organização de CMEK

OGoogle Cloud fornece restrições da política da organização para aplicar o uso da CMEK e controlar as chaves permitidas do Cloud KMS na sua organização. Essas restrições ajudam a garantir que os dados no Knowledge Catalog sejam protegidos de forma consistente pela CMEK.

• O constraints/gcp.restrictNonCmekServices exige o uso obrigatório da CMEK para recursos do Knowledge Catalog.

  • Adicionar dataplex.googleapis.com à lista de nomes de serviços Google Cloud e definir a restrição como Deny proíbe a criação de recursos do Catálogo de dados que não têm proteção CMEK.

  • Se uma chave do Cloud KMS não for especificada para o local solicitado nas configurações de criptografia de CMEK, as solicitações para criar recursos no catálogo de dados falharão.

  • Essa política é validada no nível do projeto de recurso individual.

• constraints/gcp.restrictCmekCryptoKeyProjects restringe a seleção de chaves do Cloud KMS para CMEK às hierarquias de recursos designadas.

  • Ao configurar uma lista de indicadores de hierarquia de recursos (projetos, pastas ou organizações) e definir a restrição como Allow, o catálogo do Knowledge Catalog fica restrito ao uso de chaves da CMEK apenas dos locais especificados.

  • Se uma chave do Cloud KMS de um projeto não permitido for fornecida, as solicitações para criar recursos protegidos por CMEK no catálogo de dados do Knowledge Catalog vão falhar.

  • Essa política é validada no nível do projeto de recurso durante a criação do recurso.

  • Essa política é validada no nível da organização ao configurar as opções de criptografia da CMEK.

  • Para evitar inconsistências, verifique se as configurações para envolvidos no projeto estão alinhadas com as políticas de toda a organização.

Para mais informações sobre como configurar políticas da organização, consulte Políticas da organização de CMEK.

A seguir

• Saiba mais sobre o CMEK.