Ativar as chaves de criptografia gerenciadas pelo cliente

Este documento descreve como criptografar dados do Dataplex Universal Catalog com chaves de criptografia gerenciadas pelo cliente (CMEK).

Visão geral

Por padrão, o Dataplex Universal Catalog criptografa o conteúdo do cliente em repouso. O Dataplex Universal Catalog executa a criptografia, e você não precisa fazer nada. Essa opção é chamada de criptografia padrão do Google.

Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o Dataplex Universal Catalog. Ao usar chaves do Cloud KMS, é possível controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. Ao usar o Cloud KMS, é possível também monitorar o uso de chaves, ver registros de auditoria e controlar ciclos de vida de chaves. Em vez de o Google ser proprietário e responsável pelo gerenciamento das chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.

Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos do Dataplex Universal Catalog é semelhante à criptografia padrão do Google. Para saber mais sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

O Dataplex Universal Catalog usa uma CMEK por local para todos os recursos do Dataplex Universal Catalog.

É possível configurar uma chave CMEK no nível da organização no Dataplex Universal Catalog.

Para mais informações sobre a CMEK em geral, incluindo quando e por que ativá-la, consulte Chaves de criptografia gerenciadas pelo cliente (CMEKs).

Benefícios de CMEK

A CMEK permite que você faça o seguinte:

  • Gerenciar operações de ciclo de vida de chaves e permissões de acesso.
  • Monitorar o uso de chaves com a API Key Inventory e os painéis de uso de chaves no Cloud KMS, que permitem ver coisas como quais chaves protegem quais recursos. O Cloud Logging informa quando e quem acessou as chaves.
  • Atender a requisitos regulatórios específicos gerenciando suas chaves de criptografia.

Como a CMEK funciona com o Dataplex Universal Catalog

Os administradores de criptografia do Dataplex Universal Catalog no seu Google Cloud projeto podem configurar a CMEK para o Dataplex Universal Catalog fornecendo a chave do Cloud KMS. Em seguida, o Dataplex Universal Catalog usa a chave especificada do Cloud KMS para criptografar todos os dados, incluindo os dados atuais e todos os novos recursos criados no Dataplex Universal Catalog.

Recursos compatíveis

Considerações

  • Por padrão, cada organização é provisionada usando a criptografia padrão do Google.
  • O administrador da organização pode mudar para a CMEK no Dataplex Universal Catalog para qualquer local.
  • O Dataplex Universal Catalog oferece suporte a chaves do Cloud KMS, chaves do Cloud HSM e chaves do Cloud External Key Manager.
  • A rotação de chaves é compatível e, depois que estiver disponível, a nova versão da chave será usada automaticamente para criptografia de dados. Os dados atuais também são criptografados com essa nova versão.
  • O Dataplex Universal Catalog retém backups de dados por no máximo 15 dias. Todos os backups criados depois que você ativa a CMEK são criptografados usando a chave do KMS especificada. Os dados com backup antes da ativação da CMEK permanecem criptografados com a criptografia padrão do Google por no máximo 15 dias.

Limitações

  • A mudança para a CMEK é um processo irreversível. Depois de optar pela CMEK, não é possível reverter para a criptografia padrão do Google.
  • Depois que uma chave do Cloud KMS é configurada para o Dataplex Universal Catalog, ela não pode ser atualizada ou alterada.
  • O Dataplex Universal Catalog oferece suporte apenas à criptografia no nível da organização. Como resultado, a configuração de criptografia é definida no nível da organização para um determinado local e é usada para criptografar dados do Dataplex Universal Catalog para todos os projetos dessa organização e local. A criptografia CMEK não é compatível com projetos específicos em uma organização ou pasta. A definição de políticas da organização relacionadas à CMEK exige consideração cuidadosa.
  • O Dataplex Universal Catalog não oferece suporte à CMEK na região global.

  • Quando a CMEK está ativada para o Dataplex Universal Catalog, os seguintes recursos não funcionam:

    • Pesquisa de metadados entre organizações

  • Antes de configurar a CMEK no Dataplex Universal Catalog, desative a API Data Catalog (descontinuada) em todos os projetos.

  • Ao ativar a CMEK no Dataplex Universal Catalog, não migre projetos para dentro ou para fora da organização da CMEK. A modificação do posicionamento organizacional de um projeto resultará em uma perda permanente de metadados armazenados no Dataplex Universal Catalog para esse projeto.

Fazer upgrade das configurações de CMEK atuais

Se você ativou a CMEK no Dataplex Universal Catalog antes de 7 de novembro de 2025, execute o comando a seguir para estender a cobertura da CMEK ao Dataplex Universal Catalog e à pesquisa do Dataplex Universal Catalog:

  gcloud dataplex encryption-config update organizations/ORG_ID/locations/LOCATION/encryptionConfigs/default --enable-metastore-encryption
  • Substitua ORG_ID pelo ID da organização que contém a chave.
  • Substitua LOCATION pelo local da organização que contém a chave.

Quando os dados são criptografados, pode ocorrer um problema de disponibilidade do Dataplex Universal Catalog.

Se você ativar a CMEK pela primeira vez após 7 de novembro de 2025, o Dataplex Universal Catalog Metastore e a pesquisa serão incluídos na cobertura da CMEK por padrão.

Proteger suas chaves de criptografia

Para garantir o acesso contínuo aos dados criptografados pela CMEK, siga estas práticas recomendadas:

  • Verifique se as chaves CMEK permanecem ativadas e acessíveis. Se uma chave for desativada ou destruída, os dados do Dataplex Universal Catalog ficarão inacessíveis. Se a chave ficar indisponível por mais de 30 dias, os dados criptografados com ela serão excluídos automaticamente e não poderão ser recuperados.
  • Se a chave do Cloud KMS for destruída e não puder ser recuperada, todos os dados associados do Dataplex Universal Catalog serão perdidos permanentemente.
  • Nos casos em que o Cloud KMS estiver temporariamente indisponível, o Dataplex Universal Catalog continuará oferecendo suporte a operações completas da melhor maneira possível por até uma hora. Após esse período, os dados ficarão temporariamente inacessíveis como medida de proteção.
  • Ao usar o Cloud EKM, esteja ciente de que o Google não controla a disponibilidade das suas chaves gerenciadas externamente. A indisponibilidade de chaves de curto prazo resulta em inacessibilidade temporária de dados. A indisponibilidade de chaves que continua por 30 dias resulta em perda permanente de dados.

Disponibilidade do Dataplex Universal Catalog

As seções a seguir descrevem o processo e o impacto operacional esperado ao ativar a CMEK para sua organização do Dataplex Universal Catalog.

Provisionamento inicial de infraestrutura

Depois de salvar a configuração de criptografia, o Dataplex Universal Catalog configura a infraestrutura necessária. Esse processo geralmente leva de 6 a 8 horas. Durante essa fase de provisionamento, você mantém acesso total a todos os recursos e funcionalidades do Dataplex Universal Catalog, e os dados permanecem criptografados pela criptografia gerenciada pelo Google. Se a política da organização constraints/gcp.restrictNonCmekServices estiver definida, as solicitações de criação de recursos falharão até que a fase de provisionamento seja concluída.

Criptografia de dados e disponibilidade da API

Após o provisionamento da infraestrutura, o Dataplex Universal Catalog começa a criptografar os dados atuais armazenados na organização. Para garantir a integridade de dados e evitar possíveis inconsistências durante esse processo de criptografia, os métodos da API Dataplex ficam temporariamente indisponíveis. Essa restrição impede operações de atualização de dados. Quando você ativa a CMEK inicialmente para o Dataplex Universal Catalog, todos os dados atuais são criptografados. Essa operação única tem uma estimativa de até duas horas.

Operações pós-criptografia

Após a conclusão da criptografia de dados atual, os métodos da API Dataplex ficam totalmente disponíveis. A criação ou modificação de dados no Dataplex Universal Catalog é criptografada automaticamente usando a CMEK configurada, sem interrupções operacionais ou restrições de API.

Criar uma chave e ativar a CMEK

As instruções a seguir explicam como criar uma chave e ativar a CMEK para o Dataplex Universal Catalog. É possível usar uma chave criada diretamente no Cloud KMS ou uma chave gerenciada externamente que você disponibiliza com o Cloud EKM.

  1. No Google Cloud projeto em que você quer gerenciar as chaves, faça o seguinte:

    1. Ative a API Cloud Key Management Service.

    2. Crie um keyring do Cloud KMS no local em que você quer usá-lo.

    3. Crie uma chave usando uma das seguintes opções:

  2. Crie e mostre a conta de serviço gerenciado pelo Google:

    gcloud beta services identity create \
    --service=dataplex.googleapis.com \
    --organization=ORG_ID

    Substitua ORG_ID pelo ID da organização que contém a chave.

    Se você receber uma solicitação para instalar o componente de comandos Beta da Google Cloud CLI, insira Y.

    O comando services identity da CLI gcloud cria ou recebe a conta de serviço específica gerenciada pelo Google que o Dataplex Universal Catalog pode usar para acessar a chave do Cloud KMS.

    O ID da conta de serviço é formatado como service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com. Uma conta de serviço específica da CMEK também é criada, formatada como service-org-ORG_ID@gcp-sa-dataplex-cmek.iam.gserviceaccount.com. A conta de serviço específica da CMEK é usada para criptografar e descriptografar dados armazenados no Dataplex Universal Catalog. Se você usar o VPC Service Controls para a chave do Cloud KMS, conceda acesso à conta de serviço específica da CMEK usando uma regra de entrada.

  3. Conceda o papel do IAM de Criptografador/Descriptografador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) à conta de serviço do Dataplex Universal Catalog. Conceda essa permissão na chave que você criou.

    Console

    1. Acesse a página Gerenciamento de chaves.

      Acessar "Gerenciamento de chaves"

    2. Clique no keyring.

    3. Na lista de chaves disponíveis, clique na chave que você criou.

    4. Clique na guia Permissões.

    5. Clique em Conceder acesso.

    6. No painel Conceder acesso que é aberto, siga estas etapas para conceder acesso à conta de serviço do Dataplex Universal Catalog:

      1. Em Adicionar principais, insira a conta de serviço service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.
      2. Em Atribuir papéis, selecione o papel de Criptografador/descriptografador do Cloud KMS CryptoKey.
      3. Clique em Salvar.

    gcloud

    Conceda à conta de serviço o papel cloudkms.cryptoKeyEncrypterDecrypter:

    gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location=LOCATION \
    --keyring KEY_RING \
    --project=KEY_PROJECT_ID \
    --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter

    Substitua:

    • KEY_NAME: o nome da chave
    • LOCATION: o local
    • KEY_RING: o keyring
    • KEY_PROJECT_ID: o ID do projeto da chave

  4. Atribua a si mesmo o papel de administrador de criptografia do Dataplex.

    Console

    Siga as instruções para conceder um papel do IAM.

    gcloud 

    gcloud organizations add-iam-policy-binding ORG_ID \
    --member='user:USER_EMAIL' \
    --role='roles/dataplex.encryptionAdmin'

    Substitua:

    • ORG_ID: o ID da organização que contém a chave.
    • USER_EMAIL: o endereço de e-mail do usuário.

  5. Configure o Dataplex Universal Catalog para usar sua chave CMEK.

    Console

    1. No Google Cloud console, acesse a página Dataplex.

      Acesse o Dataplex.

    2. Clique em Configurações.

    3. Em Selecionar região para a CMEK, selecione uma região. A região selecionada precisa corresponder ao local da chave do Cloud KMS.

    4. Em Selecionar chave de criptografia, selecione a chave que você criou.

    5. Clique em Salvar.

      O processo de criptografia de dados leva um tempo para ser concluído. Quando o processo for concluído, a seguinte mensagem será exibida: Data Encryption is complete. Your selected CMEK key is now protecting your data.

    gcloud

    1. Defina a configuração de criptografia no Dataplex Universal Catalog:

      gcloud dataplex encryption-config create default \
    --location=LOCATION \
    --organization=ORG_ID \
    --key=KEY_RESOURCE_ID

      Substitua:

      • ORG_ID: o ID da organização que contém a chave.
      • KEY_RESOURCE_ID: o ID do recurso de chave - por exemplo, projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. Substitua PROJECT_ID pelo ID do projeto da chave.

    2. Verifique se o processo de criptografia foi concluído:

      gcloud dataplex encryption-config describe default \
    --location=LOCATION \
    --organization=ORG_ID

    O processo de criptografia de dados leva um tempo para ser concluído. Quando o processo for concluído, a seguinte mensagem será exibida: encryptionState: COMPLETED.

Geração de registros e monitoramento

Audite as solicitações do Dataplex Universal Catalog para o Cloud KMS ativando a geração de registros de auditoria para a API Cloud KMS.

Políticas da organização de CMEK

Google Cloud fornece restrições de política da organização para aplicar o uso da CMEK e controlar as chaves do Cloud KMS permitidas na sua organização. Essas restrições ajudam a garantir que os dados no Dataplex Universal Catalog sejam protegidos de forma consistente pela CMEK.

  • constraints/gcp.restrictNonCmekServices aplica o uso obrigatório da CMEK para recursos do Dataplex Universal Catalog.

    • Adicionar dataplex.googleapis.com à lista de Google Cloud nomes de serviço e definir a restrição como Deny impede a criação de recursos do Dataplex Universal Catalog que não têm proteção CMEK.

    • Se uma chave do Cloud KMS não for especificada para o local solicitado nas configurações de criptografia CMEK, as solicitações para criar recursos no Dataplex Universal Catalog falharão.

    • Essa política é validada no nível do projeto de recurso individual.

  • constraints/gcp.restrictCmekCryptoKeyProjects restringe a seleção de chaves do Cloud KMS para CMEK a hierarquias de recursos designadas.

    • Ao configurar uma lista de indicadores de hierarquia de recursos (projetos, pastas ou organizações) e definir a restrição como Allow, o Dataplex Universal Catalog fica restrito ao uso de chaves CMEK apenas dos locais especificados.

    • Se uma chave do Cloud KMS de um projeto não permitido for fornecida, as solicitações para criar recursos protegidos por CMEK no Dataplex Universal Catalog falharão.

    • Essa política é validada no nível do projeto de recurso durante a criação do recurso.

    • Essa política é validada no nível da organização ao configurar as configurações de criptografia CMEK.

    • Para evitar inconsistências, verifique se as configurações para envolvidos no projeto estão alinhadas com as políticas de toda a organização.

Para mais informações sobre como configurar políticas da organização, consulte Políticas da organização de CMEK.

A seguir

  • Saiba mais sobre CMEK.