Abilitare le chiavi di crittografia gestite dal cliente

Questo documento descrive come criptare i dati di Knowledge Catalog (in precedenza Dataplex Universal Catalog) con le chiavi di crittografia gestite dal cliente (CMEK).

Panoramica

Per impostazione predefinita, Knowledge Catalog cripta i contenuti inattivi dei clienti. Knowledge Catalog gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata crittografia predefinita di Google.

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con i servizi integrati con CMEK, incluso Knowledge Catalog. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione , la località, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. Con Cloud KMS puoi inoltre monitorare l'utilizzo delle chiavi, visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece di Google, sei tu ad avere la proprietà e la gestione delle chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.

Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse di Knowledge Catalog è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Knowledge Catalog utilizza una chiave CMEK per località per tutte le risorse di Knowledge Catalog.

Puoi configurare una chiave CMEK a livello di organizzazione in Knowledge Catalog.

Per saperne di più sulle chiavi CMEK in generale, inclusi quando e perché abilitarle, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Vantaggi di CMEK

CMEK ti consente di svolgere le seguenti operazioni:

  • Gestire le operazioni del ciclo di vita delle chiavi e le autorizzazioni di accesso.
  • Monitorare l'utilizzo delle chiavi con l'API Key Inventory e le dashboard di utilizzo delle chiavi in Cloud KMS, che ti consentono di visualizzare elementi come le chiavi che proteggono le risorse. Cloud Logging ti indica quando e da chi è stato eseguito l'accesso alle chiavi.
  • Soddisfare requisiti normativi specifici gestendo le chiavi di crittografia.

Come funziona CMEK con Knowledge Catalog

Gli amministratori della crittografia di Knowledge Catalog nel tuo Google Cloud progetto possono configurare CMEK per Knowledge Catalog fornendo la chiave Cloud KMS. Quindi, Knowledge Catalog utilizza la chiave Cloud KMS specificata per criptare tutti i dati, inclusi i dati esistenti e le nuove risorse create in Knowledge Catalog.

Funzionalità supportate

Considerazioni

  • Per impostazione predefinita, il provisioning di ogni organizzazione viene eseguito utilizzando la crittografia predefinita di Google.
  • L'amministratore dell'organizzazione può passare a CMEK in Knowledge Catalog per qualsiasi località.
  • Knowledge Catalog supporta le chiavi Cloud KMS, le chiavi Cloud HSM e le chiavi Cloud External Key Manager.
  • La rotazione delle chiavi è supportata e, una volta disponibile, la nuova versione della chiave viene utilizzata automaticamente per la crittografia dei dati. Anche i dati esistenti vengono criptati con questa nuova versione.
  • Knowledge Catalog conserva i backup dei dati per un massimo di 15 giorni. Tutti i backup creati dopo l'abilitazione di CMEK vengono criptati utilizzando la chiave KMS specificata. I dati di cui è stato eseguito il backup prima dell'abilitazione di CMEK rimangono criptati con la crittografia predefinita di Google per un massimo di 15 giorni.

Limitazioni

  • Il passaggio a CMEK è un processo irreversibile. Dopo aver scelto CMEK, non puoi tornare alla crittografia predefinita di Google.
  • Dopo aver configurato una chiave Cloud KMS per Knowledge Catalog, non è possibile aggiornarla o modificarla.
  • Knowledge Catalog supporta solo la crittografia a livello di organizzazione. Di conseguenza, la configurazione della crittografia viene impostata a livello di organizzazione per una determinata località e viene utilizzata per criptare i dati di Knowledge Catalog per tutti i progetti all'interno dell'organizzazione e della località. La crittografia CMEK non è supportata per progetti specifici in un'organizzazione o una cartella. L'impostazione delle policy dell'organizzazione relative a CMEK richiede un'attenta valutazione.
  • Knowledge Catalog non supporta CMEK nella regione globale.

  • Quando CMEK è abilitato per Knowledge Catalog, le seguenti funzionalità non funzionano:

    • Ricerca di metadati tra organizzazioni

  • Prima di configurare CMEK in Knowledge Catalog, disattiva l'API Data Catalog (deprecata) in tutti i progetti.

  • Quando abiliti CMEK in Knowledge Catalog, non eseguire la migrazione dei progetti all'interno o all'esterno dell'organizzazione CMEK. La modifica del posizionamento organizzativo di un progetto comporterà la perdita permanente dei metadati archiviati in Knowledge Catalog per quel progetto.

Eseguire l'upgrade delle configurazioni CMEK esistenti

Se hai abilitato CMEK in Knowledge Catalog prima del 7 novembre 2025, esegui il seguente comando per estendere la copertura CMEK a Knowledge Catalog e alla ricerca in Knowledge Catalog:

  gcloud dataplex encryption-config update organizations/ORG_ID/locations/LOCATION/encryptionConfigs/default --enable-metastore-encryption
  • Sostituisci ORG_ID con l'ID dell'organizzazione che contiene la chiave.
  • Sostituisci LOCATION con la località dell'organizzazione che contiene la chiave.

Quando i dati vengono criptati, potresti riscontrare un problema di disponibilità di Knowledge Catalog.

Se abiliti CMEK per la prima volta dopo il 7 novembre 2025, Knowledge Catalog Metastore e Search sono inclusi nella copertura CMEK per impostazione predefinita.

Proteggere le chiavi di crittografia

Per garantire la continuità dell'accesso ai dati criptati da CMEK, segui queste best practice:

  • Assicurati che le chiavi CMEK rimangano abilitate e accessibili. Se una chiave viene disabilitata o eliminata, i dati di Knowledge Catalog diventano inaccessibili. Se la chiave non è disponibile per più di 30 giorni, i dati criptati con quella chiave vengono eliminati automaticamente e non possono essere recuperati.
  • Se la chiave Cloud KMS viene eliminata e non è recuperabile, tutti i dati di Knowledge Catalog associati andranno persi definitivamente.
  • Nei casi in cui Cloud KMS non è temporaneamente disponibile, Knowledge Catalog continua a supportare le operazioni complete con il massimo impegno per un massimo di un'ora. Trascorso questo periodo, i dati diventeranno temporaneamente inaccessibili come misura di protezione.
  • Quando utilizzi Cloud EKM, tieni presente che Google non controlla la disponibilità delle chiavi gestite esternamente. La mancata disponibilità delle chiavi a breve termine comporta l'inaccessibilità temporanea dei dati. La mancata disponibilità delle chiavi che continua per 30 giorni comporta la perdita permanente dei dati.

Disponibilità di Knowledge Catalog

Le sezioni seguenti descrivono il processo e l'impatto operativo previsto quando abiliti CMEK per la tua organizzazione Knowledge Catalog.

Provisioning iniziale dell'infrastruttura

Dopo aver salvato la configurazione della crittografia, Knowledge Catalog configura l'infrastruttura necessaria. In genere, questo processo richiede dalle 6 alle 8 ore. Durante questa fase di provisioning, mantieni l'accesso completo a tutte le funzionalità di Knowledge Catalog e i dati rimangono criptati tramite la crittografia gestita da Google. Se è impostata la policy dell'organizzazione constraints/gcp.restrictNonCmekServices, le richieste di creazione delle risorse non vanno a buon fine fino al completamento della fase di provisioning.

Crittografia dei dati e disponibilità delle API

Dopo il provisioning dell'infrastruttura, Knowledge Catalog inizia a criptare i dati esistenti archiviati all'interno dell'organizzazione. Per garantire l'integrità dei dati e prevenire potenziali incoerenze durante questo processo di crittografia, i metodi dell'API Dataplex non sono temporaneamente disponibili. Questa limitazione impedisce le operazioni di aggiornamento dei dati. Quando attivi inizialmente CMEK per Knowledge Catalog, tutti i dati esistenti vengono criptati. Si stima che questa operazione una tantum richieda fino a due ore.

Operazioni post-crittografia

Una volta completata la crittografia dei dati esistenti, i metodi dell'API Dataplex sono completamente disponibili. La creazione o la modifica dei dati in Knowledge Catalog viene criptata automaticamente utilizzando la chiave CMEK configurata, senza interruzioni operative o limitazioni dell'API.

Creare una chiave e abilitare CMEK

Le istruzioni riportate di seguito spiegano come creare una chiave e abilitare CMEK per Knowledge Catalog. Puoi utilizzare una chiave creata direttamente in Cloud KMS o una chiave gestita esternamente che rendi disponibile con Cloud EKM.

  1. Nel progetto in cui vuoi gestire le chiavi, procedi nel seguente modo: Google Cloud

    1. Abilita l'API Cloud Key Management Service.

    2. Crea un keyring Cloud KMS nella località in cui vuoi utilizzarlo.

    3. Crea una chiave utilizzando una delle seguenti opzioni:

  2. Crea e visualizza il account di servizio gestito da Google:

    gcloud beta services identity create \
    --service=dataplex.googleapis.com \
    --organization=ORG_ID

    Sostituisci ORG_ID con l'ID dell'organizzazione che contiene la chiave.

    Se ti viene chiesto di installare il componente dei comandi beta di Google Cloud CLI, inserisci Y.

    Il comando services identity di gcloud CLI crea o recupera il account di servizio gestito da Google specifico che Knowledge Catalog può utilizzare per accedere alla chiave Cloud KMS.

    L'ID del account di servizio ha il formato service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com. Viene creato anche un account di servizio specifico per CMEK, con il formato service-org-ORG_ID@gcp-sa-dataplex-cmek.iam.gserviceaccount.com. Il account di servizio specifico per CMEK viene utilizzato per criptare e decriptare i dati archiviati in Knowledge Catalog. Se utilizzi i Controlli di servizio VPC per la chiave Cloud KMS, devi concedere l'accesso al account di servizio specifico per CMEK utilizzando una regola di traffico in entrata.

  3. Concedi il ruolo IAM Autore crittografia/decrittografia CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) al account di servizio di Knowledge Catalog. Concedi questa autorizzazione sulla chiave che hai creato.

    Console

    1. Vai alla pagina Gestione delle chiavi.

      Vai a Gestione delle chiavi

    2. Fai clic sul keyring.

    3. Nell'elenco delle chiavi disponibili, fai clic sulla chiave che hai creato.

    4. Fai clic sulla scheda Autorizzazioni.

    5. Fai clic su Concedi l'accesso.

    6. Nel riquadro Concedi l'accesso che si apre, segui questi passaggi per concedere l'accesso al account di servizio di Knowledge Catalog:

      1. In Aggiungi entità, inserisci il account di servizio service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.
      2. In Assegna ruoli, seleziona il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS.
      3. Fai clic su Salva.

    gcloud

    Concedi al account di servizio il ruolo cloudkms.cryptoKeyEncrypterDecrypter:

    gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location=LOCATION \
    --keyring KEY_RING \
    --project=KEY_PROJECT_ID \
    --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter

    Sostituisci quanto segue:

    • KEY_NAME: il nome della chiave
    • LOCATION: la località
    • KEY_RING: il keyring
    • KEY_PROJECT_ID: l'ID progetto

  4. Assegna a te stesso il ruolo Amministratore della crittografia Dataplex.

    Console

    Segui le istruzioni per concedere un ruolo IAM.

    gcloud 

    gcloud organizations add-iam-policy-binding ORG_ID \
    --member='user:USER_EMAIL' \
    --role='roles/dataplex.encryptionAdmin'

    Sostituisci quanto segue:

    • ORG_ID: l'ID dell'organizzazione che contiene la chiave.
    • USER_EMAIL: l'indirizzo email dell'utente.

  5. Configura Knowledge Catalog in modo che utilizzi la chiave CMEK.

    Console

    1. Nella Google Cloud console, vai alla pagina Knowledge Catalog.

      Vai a Knowledge Catalog

    2. Fai clic su Impostazioni.

    3. In Seleziona la regione per CMEK, seleziona una regione. La regione selezionata deve corrispondere alla località della chiave Cloud KMS.

    4. In Seleziona la chiave di crittografia, seleziona la chiave che hai creato.

    5. Fai clic su Salva.

      Il processo di crittografia dei dati richiede un po' di tempo. Al termine del processo, viene visualizzato il seguente messaggio: Data Encryption is complete. Your selected CMEK key is now protecting your data.

    gcloud

    1. Imposta la configurazione della crittografia in Knowledge Catalog:

      gcloud dataplex encryption-config create default \
    --location=LOCATION \
    --organization=ORG_ID \
    --key=KEY_RESOURCE_ID

      Sostituisci quanto segue:

      • ORG_ID: l'ID dell'organizzazione che contiene la chiave.
      • KEY_RESOURCE_ID: l' ID risorsa della chiave - ad esempio projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. Sostituisci PROJECT_ID con l'ID progetto.

    2. Verifica che il processo di crittografia sia completato:

      gcloud dataplex encryption-config describe default \
    --location=LOCATION \
    --organization=ORG_ID

    Il processo di crittografia dei dati richiede un po' di tempo. Al termine del processo, viene visualizzato il seguente messaggio: encryptionState: COMPLETED.

Logging e monitoraggio

Esegui l'audit delle richieste di Knowledge Catalog a Cloud KMS abilitando gli audit log per l'API Cloud KMS.

Policy dell'organizzazione CMEK

Google Cloud fornisce vincoli delle policy dell'organizzazione per applicare l'utilizzo di CMEK e controllare le chiavi Cloud KMS consentite all'interno dell'organizzazione. Questi vincoli contribuiscono a garantire che i dati in Knowledge Catalog siano protetti in modo coerente da CMEK.

  • constraints/gcp.restrictNonCmekServices applica l'utilizzo obbligatorio di CMEK per le risorse di Knowledge Catalog.

    • L'aggiunta di dataplex.googleapis.com all'elenco dei Google Cloud nomi dei servizi e l'impostazione del vincolo su Deny impedisce la creazione di risorse di Knowledge Catalog che non dispongono della protezione CMEK.

    • Se non viene specificata una chiave Cloud KMS per la località richiesta nelle impostazioni di crittografia CMEK, le richieste di creazione di risorse in Knowledge Catalog non andranno a buon fine.

    • Questa policy viene convalidata a livello di progetto di singola risorsa.

  • constraints/gcp.restrictCmekCryptoKeyProjects limita la selezione delle chiavi Cloud KMS per CMEK alle gerarchie di risorse designate.

    • Configurando un elenco di indicatori della gerarchia delle risorse (progetti, cartelle o organizzazioni) e impostando il vincolo su Allow, Knowledge Catalog è limitato all'utilizzo delle chiavi CMEK solo dalle località specificate.

    • Se viene fornita una chiave Cloud KMS da un progetto non consentito, le richieste di creazione di risorse protette da CMEK in Knowledge Catalog non andranno a buon fine.

    • Questa policy viene convalidata a livello di progetto di risorse durante la creazione delle risorse.

    • Questa policy viene convalidata a livello di organizzazione durante la configurazione delle impostazioni di crittografia CMEK.

    • Per evitare incoerenze, assicurati che le configurazioni a livello di progetto siano allineate alle policy a livello di organizzazione.

Per saperne di più sulla configurazione delle policy dell'organizzazione, consulta Policy dell'organizzazione CMEK.

Passaggi successivi

  • Scopri di più su CMEK.