Panoramica di Autokey

Autokey di Cloud KMS semplifica la creazione e l'utilizzo delle chiavi di crittografia gestite dal cliente (CMEK) automatizzando il provisioning e l'assegnazione. Con Autokey, le chiavi e le chiavi automatizzate vengono generate on demand. I service account che utilizzano le chiavi per criptare e decriptare le risorse vengono creati e ricevono i ruoli IAM (Identity and Access Management) quando necessario. Gli amministratori di Cloud KMS mantengono il pieno controllo e la visibilità delle chiavi create da Autokey, senza la necessità di pianificare e creare in anticipo ogni risorsa. L'utilizzo di Autokey è più semplice del provisioning manuale delle chiavi ed è la scelta consigliata se le chiavi create da Autokey soddisfano tutti i tuoi requisiti.

L'utilizzo delle chiavi generate da Autokey può aiutarti ad allinearti costantemente agli standard di settore e alle pratiche consigliate per la sicurezza dei dati, tra cui il livello di protezione Multi-tenant Cloud HSM, la separazione dei compiti, rotazione della chiave, la località e la specificità delle chiavi. Autokey crea chiavi che seguono sia le linee guida generali sia quelle specifiche per il tipo di risorsa per Google Cloud i servizi che si integrano con Autokey di Cloud KMS. Una volta create, le chiavi richieste utilizzando Autokey funzionano in modo identico alle altre chiavi Cloud HSM con le stesse impostazioni.

Autokey può anche semplificare l'utilizzo di Terraform per la gestione delle chiavi, eliminando la necessità di eseguire l'infrastruttura come codice con privilegi elevati di creazione delle chiavi.

Puoi utilizzare Autokey con un modello di gestione centralizzata delle chiavi (disponibilità generale) o un modello di gestione delle chiavi delegata (anteprima). Per utilizzare il modello di gestione centralizzata delle chiavi, devi disporre di una risorsa organizzazione che contenga una risorsa cartella. Nel modello centralizzato, Autokey è abilitato per i progetti all'interno di una cartella e le chiavi create da Autokey vengono create in un progetto di gestione centralizzata delle chiavi dedicato per quella cartella. Con il modello di gestione delle chiavi delegata, la gestione delle chiavi viene delegata agli amministratori del progetto, che possono abilitare Autokey in una cartella o in un progetto per consentire ad Autokey di creare chiavi nello stesso progetto delle risorse che proteggono.

Per ulteriori informazioni sulle risorse organizzazione e cartella, consulta Gerarchia delle risorse.

Autokey di Cloud KMS è disponibile in tutte le Google Cloud località in cui Cloud HSM è disponibile. Per ulteriori informazioni sulle località Cloud KMS, consulta Località Cloud KMS. L'utilizzo di Autokey di Cloud KMS non comporta costi aggiuntivi. Le chiavi create utilizzando Autokey hanno lo stesso prezzo di tutte le altre chiavi Cloud HSM. Per ulteriori informazioni sui prezzi, consulta Prezzi di Cloud Key Management Service.

Come funziona Autokey

In questa sezione viene spiegato come funziona Autokey di Cloud KMS. I seguenti ruoli utente partecipano a questo processo:

Amministratore
L'amministratore è un utente responsabile della gestione della sicurezza a livello di cartella o organizzazione.
Sviluppatore Autokey
Lo sviluppatore Autokey è un utente responsabile della creazione di risorse utilizzando Autokey di Cloud KMS.
Amministratore di Cloud KMS
L'amministratore di Cloud KMS è un utente responsabile della gestione delle risorse Cloud KMS. Questo ruolo ha meno responsabilità quando si utilizza Autokey rispetto a quando si utilizzano chiavi create manualmente.

Anche i seguenti agenti di servizio partecipano a questo processo:

Agente di servizio Cloud KMS
L'agente di servizio per Cloud KMS in un determinato progetto di gestione centralizzata delle chiavi. Autokey dipende da questo agente di servizio che dispone di privilegi elevati per creare chiavi e chiavi automatizzate Cloud KMS e per impostare la policy IAM sulle chiavi, concedendo le autorizzazioni di crittografia e decrittografia per ogni agente di servizio delle risorse.
Agente di servizio delle risorse
L'agente di servizio per un determinato servizio in un determinato progetto di risorse. Questo agente di servizio deve disporre delle autorizzazioni di crittografia e decrittografia per qualsiasi chiave Cloud KMS prima di poter utilizzare la chiave per la protezione CMEK su una risorsa. Autokey crea l'agente di servizio delle risorse quando necessario e gli concede le autorizzazioni necessarie per utilizzare la chiave Cloud KMS.

L'amministratore abilita Autokey di Cloud KMS

L'abilitazione di Autokey segue uno dei seguenti percorsi in base al modello di gestione delle chiavi scelto:

  1. Modello di gestione centralizzata delle chiavi: abilita Autokey in una cartella. Viene creato un progetto di gestione centralizzata delle chiavi per contenere le chiavi che proteggono le risorse create in altri progetti all'interno della cartella.
  2. Modello di gestione delle chiavi delegata (anteprima): puoi abilitare Autokey su singoli progetti o su tutti i progetti all'interno di una cartella per utilizzare Autokey nello stesso progetto.

Abilita la gestione centralizzata delle chiavi

Prima di poter utilizzare Autokey per la gestione centralizzata delle chiavi in una cartella, un amministratore deve completare le seguenti attività di configurazione una tantum:

  1. Abilita Autokey di Cloud KMS in una cartella e identifica il progetto Cloud KMS che conterrà le risorse Autokey per quella cartella.

  2. Crea l'agente di servizio Cloud KMS e poi concedi all'agente di servizio i privilegi di creazione e assegnazione delle chiavi.

Una volta completata questa configurazione, gli sviluppatori che possono creare risorse compatibili con Autokey in qualsiasi progetto della cartella possono ora attivare la creazione di chiavi Multi-tenant Cloud HSM on demand. Per visualizzare le istruzioni di configurazione complete per Autokey di Cloud KMS, consulta Abilitare Autokey di Cloud KMS.

Abilita gestione delle chiavi delegata

Prima di poter utilizzare Autokey per la gestione delle chiavi delegata, un amministratore deve completare le seguenti attività di configurazione una tantum:

  1. Abilita Autokey di Cloud KMS in un progetto o in una cartella.
  2. Abilita l'API Cloud KMS nel progetto o nei progetti della cartella.

Quando Autokey di Cloud KMS è abilitato in un progetto per la gestione delle chiavi delegata, l'agente di servizio Cloud KMS viene creato automaticamente quando necessario. Non devi creare manualmente l'agente di servizio. Qualsiasi utente con le autorizzazioni per creare una risorsa compatibile con Autokey può richiedere una nuova chiave on demand. Per visualizzare le istruzioni di configurazione complete per Autokey di Cloud KMS, consulta Abilitare Autokey di Cloud KMS.

Gli sviluppatori Autokey utilizzano Autokey di Cloud KMS

Dopo aver abilitato correttamente Autokey per un progetto, gli sviluppatori Autokey possono creare risorse protette utilizzando le chiavi create per loro on demand. Questo vale per i progetti in una cartella in cui Autokey è abilitato per la gestione centralizzata delle chiavi e per i progetti in cui Autokey è abilitato per la gestione delle chiavi delegata nello stesso progetto. I dettagli della procedura di creazione delle risorse dipendono dalla risorsa che stai creando, ma la procedura segue questo flusso:

  1. Lo sviluppatore Autokey inizia a creare una risorsa in un servizio compatibile Google Cloud . Durante la creazione della risorsa, lo sviluppatore richiede una nuova chiave all'agente di servizio Autokey.

  2. L'agente di servizio Autokey riceve la richiesta dello sviluppatore e completa i seguenti passaggi:

    1. Crea un keyring nel progetto nella località selezionata, a meno che non esista già.
    2. Crea una chiave nel keyring con la granularità appropriata per il tipo di risorsa, a meno che non esista già una chiave di questo tipo.
    3. Crea il account di servizio per progetto e per servizio, a meno che non esista già.
    4. Concedi al account di servizio per progetto e per servizio le autorizzazioni di crittografia e decrittografia per la chiave.
    5. Fornisci i dettagli della chiave allo sviluppatore in modo che possa completare la creazione della risorsa.
  3. Una volta che l'agente di servizio Autokey ha restituito correttamente i dettagli della chiave, lo sviluppatore può completare immediatamente la creazione della risorsa protetta.

Autokey di Cloud KMS crea chiavi con gli attributi descritti nella sezione successiva. Questo flusso di creazione delle chiavi preserva la separazione dei compiti. L'amministratore di Cloud KMS continua ad avere visibilità e controllo completi sulle chiavi create da Autokey.

Per iniziare a utilizzare Autokey dopo averlo abilitato, consulta Creare risorse protette utilizzando Autokey di Cloud KMS.

Informazioni sulle chiavi create da Autokey

Le chiavi create da Autokey di Cloud KMS hanno i seguenti attributi:

  • Livello di protezione: HSM.
  • Algoritmo: AES-256 GCM.
  • Periodo di rotazione: un anno.

    Dopo che una chiave è stata creata da Autokey, un amministratore di Cloud KMS può modificare il periodo di rotazione rispetto al valore predefinito.

  • Separazione dei compiti:
    • Al account di servizio del servizio vengono concesse automaticamente le autorizzazioni di crittografia e decrittografia per la chiave.
    • Le autorizzazioni di amministratore di Cloud KMS si applicano come di consueto alle chiavi create da Autokey. Gli amministratori di Cloud KMS possono visualizzare, aggiornare, abilitare o disabilitare ed eliminare le chiavi create da Autokey. Gli amministratori di Cloud KMS non ricevono le autorizzazioni di crittografia e decrittografia.
    • Gli sviluppatori Autokey possono solo richiedere la creazione e l'assegnazione delle chiavi. Non possono visualizzare o gestire le chiavi.
  • Specificità o granularità della chiave: le chiavi create da Autokey hanno una granularità che varia in base al tipo di risorsa. Per dettagli specifici del servizio sulla granularità delle chiavi, consulta Servizi compatibili in questa pagina.
  • Località: Autokey crea le chiavi nella stessa località della risorsa da proteggere.

    Se devi creare risorse protette da CMEK in località in cui Cloud HSM non è disponibile, devi creare la CMEK manualmente.

  • Stato della versione della chiave: le chiavi appena create richieste utilizzando Autokey vengono create come versione della chiave primaria nello stato abilitato.
  • Denominazione del keyring: tutte le chiavi create da Autokey vengono create in un keyring denominato autokey nel progetto Autokey nella località selezionata. I keyring nel progetto Autokey vengono creati quando uno sviluppatore Autokey richiede la prima chiave in una determinata località.
  • Denominazione delle chiavi: le chiavi create da Autokey seguono questa convenzione di denominazione: PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
  • Esportazione delle chiavi: come tutte le chiavi Cloud KMS, le chiavi create da Autokey non possono essere esportate.
  • Monitoraggio delle chiavi: come tutte le chiavi Cloud KMS utilizzate nei servizi integrati CMEK compatibili con il monitoraggio delle chiavi, le chiavi create da Autokey vengono monitorate nella dashboard di Cloud KMS.

Applicazione di Autokey

Se vuoi applicare l'utilizzo di Autokey all'interno di una cartella o di un progetto, puoi farlo combinando i controlli di accesso IAM con le policy dell'organizzazione CMEK. Questa operazione consiste nel rimuovere le autorizzazioni di creazione delle chiavi dalle entità diverse dall'agente di servizio Autokey e quindi richiedere che tutte le risorse siano protette da CMEK utilizzando il progetto di gestione centralizzata delle chiavi Autokey. Per istruzioni dettagliate sull'applicazione dell'utilizzo di Autokey, consulta Applicare l'utilizzo di Autokey.

Servizi compatibili

La tabella seguente elenca i servizi compatibili con Autokey di Cloud KMS:

Servizio Risorse protette Granularità della chiave
Artifact Registry
  • artifactregistry.googleapis.com/Repository

Autokey crea le chiavi durante la creazione del repository, utilizzate per tutti gli artefatti archiviati.

Una chiave per risorsa
BigQuery
  • bigquery.googleapis.com/Dataset

Autokey crea le chiavi predefinite per i set di dati. Le tabelle, i modelli, query e tabelle temporanee all'interno di un set di dati utilizzano la chiave predefinita del set di dati.

Autokey non crea chiavi per le risorse BigQuery diverse dai set di dati. Per proteggere le risorse che non fanno parte di un set di dati, devi creare le tue chiavi predefinite a livello di progetto o organizzazione.

Una chiave per risorsa
Bigtable
  • bigtableadmin.googleapis.com/Cluster

Autokey crea le chiavi per i cluster.

Autokey non crea chiavi per le risorse Bigtable diverse dai cluster.

Bigtable è compatibile con Autokey di Cloud KMS solo quando si creano risorse utilizzando Terraform o Google Cloud SDK.

Una chiave per cluster
AlloyDB per PostgreSQL
  • alloydb.googleapis.com/Cluster
  • alloydb.googleapis.com/Backup

AlloyDB per PostgreSQL è compatibile con Autokey di Cloud KMS solo quando si creano risorse utilizzando Terraform o l'API REST.

Una chiave per risorsa
Cloud Run
  • run.googleapis.com/Service
  • run.googleapis.com/Job
Una chiave per località all'interno di un progetto
Cloud SQL
  • sqladmin.googleapis.com/Instance

Autokey non crea chiavi per le risorse BackupRun di Cloud SQL. Quando crei un backup di un 'istanza Cloud SQL, il backup viene criptato con la chiave gestita dal cliente dell'istanza primaria.

Cloud SQL è compatibile con Autokey di Cloud KMS solo quando si creano risorse utilizzando Terraform o l'API REST.

Una chiave per risorsa
Cloud Storage
  • storage.googleapis.com/Bucket

Gli oggetti all'interno di un bucket di archiviazione utilizzano la chiave predefinita del bucket. Autokey non crea chiavi per le risorse storage.object.

Una chiave per bucket
Compute Engine
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Instance
  • compute.googleapis.com/MachineImage

Gli snapshot utilizzano la chiave del disco di cui stai creando uno snapshot. Autokey non crea chiavi per le risorse compute.snapshot.

Una chiave per risorsa
Memorystore for Redis
  • redis.googleapis.com/Instance

Memorystore for Redis è compatibile con Autokey di Cloud KMS solo quando si creano risorse utilizzando Terraform o l'API REST.

Una chiave per risorsa
Pub/Sub
  • pubsub.googleapis.com/Topic
Una chiave per risorsa
Secret Manager
  • secretmanager.googleapis.com/Secret

Secret Manager è compatibile con Autokey di Cloud KMS solo quando si creano risorse utilizzando Terraform o l'API REST.

Una chiave per località all'interno di un progetto
Secure Source Manager
  • securesourcemanager.googleapis.com/Instance
Una chiave per risorsa
Spanner
  • spanner.googleapis.com/Database

Spanner è compatibile con Autokey di Cloud KMS solo quando si creano risorse utilizzando Terraform o l'API REST.

Una chiave per risorsa
Dataflow
  • dataflow.googleapis.com/Job
Una chiave per risorsa
Managed Service for Apache Spark
  • dataproc.googleapis.com/Cluster
  • dataproc.googleapis.com/SessionTemplate
  • dataproc.googleapis.com/WorkflowTemplate
  • dataproc.googleapis.com/Batch
  • dataproc.googleapis.com/Session

Per le risorse Cluster, SessionTemplate e WorkflowTemplate risorse: una chiave per risorsa

Per le risorse Batch e Session: una chiave per località all'interno di un progetto

Managed Service for Apache Airflow
  • composer.googleapis.com/Environment

Managed Service for Apache Airflow è compatibile con Autokey di Cloud KMS solo quando si creano risorse utilizzando Terraform o l'API REST.

Una chiave per risorsa

Limitazioni

  • L'gcloud CLI non è disponibile per le risorse Autokey.
  • Gli handle delle chiavi non sono presenti in Cloud Asset Inventory.

Passaggi successivi