Chaves de criptografia gerenciadas pelo cliente
Por padrão, o Integration Connectors criptografa o conteúdo do cliente em repouso. O Integration Connectors executa a criptografia, e você não precisa fazer nada. Essa opção é chamada de criptografia padrão do Google.
Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o Integration Connectors. Ao usar chaves do Cloud KMS, é possível controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. Com o Cloud KMS, também é possível visualizar registros de auditoria e controlar ciclos de vida de chaves. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.
Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos do Integration Connectors é semelhante à criptografia padrão do Google. Para saber mais sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).
Antes de começar
Verifique se as tarefas a seguir foram concluídas antes de usar a CMEK para o Integration Connectors:
- Ative a API Cloud KMS para o projeto que armazenará as chaves de criptografia.
- Atribua o papel do IAM de administrador do Cloud KMS ou conceda as seguintes permissões do IAM para o projeto que armazenará as chaves de criptografia:
cloudkms.cryptoKeys.setIamPolicycloudkms.keyRings.createcloudkms.cryptoKeys.create
Para informações sobre como conceder papéis ou permissões adicionais, consulte Como conceder, alterar e revogar acesso.
- Crie um keyring e uma chave.
Adicionar conta de serviço à chave CMEK
Para usar uma chave CMEK no Integration Connectors, é necessário garantir que a conta de serviço padrão (com o formato service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com) seja adicionada e atribuída ao papel do IAM de criptografador/descriptografador de CryptoKey para essa chave CMEK.
- No Google Cloud console do, acesse a página Inventário de chaves.
- Marque a caixa de seleção da chave CMEK desejada.
A guia Permissões fica disponível no painel da janela à direita.
- Clique em Adicionar principal e insira o endereço de e-mail da conta de serviço padrão.
- Clique em Selecionar um papel e selecione o papel Criptografador/Descriptografador de CryptoKey do Cloud KMS na lista suspensa disponível.
- Clique em Salvar.
Ativar a criptografia CMEK para uma região do Integration Connectors
É possível usar a CMEK para criptografar e descriptografar os dados compatíveis armazenados em uma região (também chamada de local). Para ativar a criptografia CMEK para uma região do Integration Connectors, siga estas etapas:
- No Google Cloud console do, acesse a página Integration Connectors > Conexões.
- Filtre as conexões para o Local necessário.
Você vai receber uma lista de todas as conexões do local (região) especificado.
- Suspenda todas as conexões na região.
- Acesse a página Integration Connectors > Regiões. Ela lista todas as regiões em que o Integration Connectors está disponível.
- Para a região em que você quer ativar a CMEK, clique em Editar criptografia no menu Ações. Isso mostra o painel Editar criptografia.
- Selecione Chave de criptografia gerenciada pelo cliente (CMEK) e, em seguida, selecione a chave necessária na lista suspensa
Chave gerenciada pelo cliente.
Isso pode solicitar que você conceda o papel
cloudkms.cryptoKeyEncrypterDecrypterà conta de serviço. Clique em Conceder. - Clique em Concluído.
Ativar a criptografia CMEK para uma nova região do Integration Connectors
É possível usar a CMEK para criptografar e descriptografar os dados compatíveis armazenados em uma região (também chamada de local). Para ativar a criptografia CMEK para uma nova região do Integration Connectors, siga estas etapas:
- No Google Cloud console do, acesse a página Integration Connectors > Regiões.
- Clique em Provisionar nova região. Isso mostra a página de criação de região.
- Selecione a região necessária na lista suspensa Região.
- Na seção Configurações avançadas, selecione
Chave de criptografia gerenciada pelo cliente (CMEK) e, em seguida, selecione a chave necessária na lista suspensa
Chave gerenciada pelo cliente.
Isso pode solicitar que você conceda o papel
cloudkms.cryptoKeyEncrypterDecrypterà conta de serviço. Clique em Conceder. - Clique em Concluído.
Rotação e recriptografia de chaves
Quando uma chave CMEK é rotacionada, os dados atuais não são recriptografados automaticamente com a nova versão da chave, e o Integration Connectors não oferece suporte à recriptografia manual. No entanto, os dados permanecem acessíveis enquanto as versões de chave ativas anteriores não forem desativadas ou destruídas.
Cotas do Cloud KMS e Integration Connectors
Quando você usa CMEK no Integration Connectors, seus projetos podem consumir cotas de solicitações criptográficas do Cloud KMS. Por exemplo, as chaves CMEK podem consumir essas cotas para cada chamada de criptografia e descriptografia.
As operações de criptografia e descriptografia com chaves CMEK afetam as cotas do Cloud KMS destas maneiras:
- Para chaves CMEK de software geradas no Cloud KMS, nenhuma cota do Cloud KMS é consumida.
- Para chaves CMEK de hardware, às vezes chamadas de chaves do Cloud HSM, as operações de criptografia e descriptografia são descontadas das cotas do Cloud HSM no projeto que contém a chave.
- Para chaves CMEK externas, às vezes chamadas de chaves do Cloud EKM, as operações de criptografia e descriptografia são descontadas das cotas do Cloud EKM no projeto que contém a chave.
Para mais informações, consulte Cotas do Cloud KMS.