Visão geral do Autokey

O Autokey do Cloud KMS simplifica a criação e o uso de chaves de criptografia gerenciadas pelo cliente (CMEKs) ao automatizar o provisionamento e a atribuição. Com o Autokey, keyrings e chaves são gerados sob demanda. As contas de serviço que usam as chaves para criptografar e descriptografar recursos são criadas e recebem papéis do Identity and Access Management (IAM) quando necessário. Os administradores do Cloud KMS mantêm controle e visibilidade total das chaves criadas pelo Autokey, sem precisar planejar e criar cada recurso.

O uso de chaves geradas pelo Autokey pode ajudar você a se alinhar de maneira consistente aos padrões do setor e às práticas recomendadas de segurança de dados, incluindo o nível de proteção do Cloud HSM multitenant, a separação de tarefas, a rotação de chaves, a localização e a especificidade da chave. O Autokey cria chaves que seguem diretrizes gerais e específicas do tipo de recurso para serviçosGoogle Cloud que se integram ao Autokey do Cloud KMS. Depois de criadas, as chaves solicitadas usando a função Autokey funcionam de maneira idêntica a outras chaves do Cloud HSM com as mesmas configurações.

O Autokey também pode simplificar o uso do Terraform para gerenciamento de chaves, removendo a necessidade de executar infraestrutura como código com privilégios elevados de criação de chaves.

É possível usar a chave automática com um modelo de gerenciamento de chaves centralizado (disponibilidade geral) ou delegado (prévia). Para usar o modelo de gerenciamento de chaves centralizado, você precisa ter um recurso de organização que contenha um recurso de pasta. No modelo centralizado, o Autokey é ativado para projetos em uma pasta, e as chaves criadas pelo Autokey são criadas em um projeto de chave dedicado para essa pasta. Com o modelo de gerenciamento de chaves delegado, o gerenciamento de chaves é delegado aos administradores de projetos, que podem ativar o Autokey em uma pasta ou projeto para permitir que ele crie chaves no mesmo projeto dos recursos que protegem.

Para mais informações sobre recursos de organização e pasta, consulte Hierarquia de recursos.

O KMS Autokey está disponível em todos os locais Google Cloud em que o Cloud HSM está disponível. Para mais informações sobre os locais do Cloud KMS, consulte Locais do Cloud KMS. Não há custo adicional para usar a Autokey do Cloud KMS. As chaves criadas com a chave automática têm o mesmo preço que qualquer outra chave do Cloud HSM. Para mais informações sobre preços, consulte Preços do Cloud Key Management Service.

Como o Autokey funciona

Esta seção explica como o Cloud KMS Autokey funciona. As seguintes funções de usuário participam desse processo:

Administrador

O administrador é um usuário responsável por gerenciar a segurança no nível da pasta ou da organização.

Desenvolvedor do Autokey

O desenvolvedor do Autokey é um usuário responsável por criar recursos usando o Autokey do Cloud KMS.

Administrador do Cloud KMS

O administrador do Cloud KMS é um usuário responsável por gerenciar recursos do Cloud KMS. Essa função tem menos responsabilidades ao usar o Autokey do que ao usar chaves criadas manualmente.

Os seguintes agentes de serviço também participam desse processo:

Agente de serviço do Cloud KMS

O agente de serviço do Cloud KMS em um projeto de chave específico. O Autokey depende de que esse agente de serviço tenha privilégios elevados para criar chaves e keyrings do Cloud KMS e para definir a política do IAM nas chaves, concedendo permissões de criptografia e descriptografia para cada agente de serviço de recurso.

Agente de serviço de recursos

O agente de serviço de um determinado serviço em um determinado projeto de recurso. Esse agente de serviço precisa ter permissões de criptografia e descriptografia em qualquer chave do Cloud KMS antes de poder usar essa chave para proteção de CMEK em um recurso. O Autokey cria o agente de serviço de recursos quando necessário e concede a ele as permissões necessárias para usar a chave do Cloud KMS.

O administrador ativa o Cloud KMS Autokey

Para ativar a Autokey, siga um destes caminhos com base no modelo de gerenciamento de chaves escolhido:

1. Modelo de gerenciamento de chaves centralizado: ative o Autokey em uma pasta. Um projeto de chave centralizado é criado para armazenar as chaves que protegem os recursos criados em outros projetos na pasta.
2. Modelo de gerenciamento de chaves delegado (Prévia): é possível ativar o Autokey em projetos individuais ou em todos os projetos de uma pasta para usar o Autokey no mesmo projeto.

Ativar o gerenciamento de chaves centralizado

Antes de usar o Autokey para gerenciamento centralizado de chaves em uma pasta, um administrador precisa concluir as seguintes tarefas de configuração única:

1. Ative o Cloud KMS Autokey em uma pasta e identifique o projeto do Cloud KMS que vai conter os recursos do Autokey para essa pasta.

2. Crie o agente de serviço do Cloud KMS e conceda a ele privilégios de criação e atribuição de chaves.

Com essa configuração concluída, os desenvolvedores que podem criar recursos compatíveis com Autokey em qualquer projeto nessa pasta agora podem acionar a criação de chaves do Cloud HSM multitenant sob demanda. Para conferir as instruções completas de configuração do Cloud KMS Autokey, consulte Habilitar o Cloud KMS Autokey.

Ativar o gerenciamento delegado de chaves

Antes de usar o Autokey para gerenciamento delegado de chaves, um administrador precisa concluir as seguintes tarefas de configuração única:

1. Ative o Cloud KMS Autokey em um projeto ou pasta.
2. Ative a API Cloud KMS no projeto ou nos projetos da pasta.

Quando o Cloud KMS Autokey é ativado em um projeto para gerenciamento delegado de chaves, o agente de serviço do Cloud KMS é criado para você quando necessário. Não é necessário criar o agente de serviço manualmente. Qualquer usuário com permissões para criar um recurso compatível com o Autokey pode solicitar uma nova chave sob demanda. Para conferir as instruções completas de configuração do Cloud KMS Autokey, consulte Habilitar o Cloud KMS Autokey.

Os desenvolvedores do Autokey usam o Cloud KMS Autokey

Depois que o Autokey é ativado em um projeto, os desenvolvedores podem criar recursos protegidos usando chaves criadas para eles sob demanda. Isso se aplica a projetos em uma pasta em que o Autokey está ativado para gerenciamento de chaves centralizado e projetos em que o Autokey está ativado para gerenciamento de chaves delegadas no mesmo projeto. Os detalhes do processo de criação de recursos dependem do recurso que você está criando, mas o processo segue este fluxo:

1. O desenvolvedor do Autokey começa a criar um recurso em um serviçoGoogle Cloud compatível. Durante a criação de recursos, o desenvolvedor solicita uma nova chave do agente de serviço do Autokey.

2. O agente de serviço do Autokey recebe a solicitação do desenvolvedor e conclui as seguintes etapas:

   1. Crie um keyring no projeto no local selecionado, a menos que ele já exista.
   2. Crie uma chave no keyring com a granularidade adequada para o tipo de recurso, a menos que ela já exista.
   3. Crie a conta de serviço por projeto e por serviço, a menos que ela já exista.
   4. Conceda as permissões de criptografia e descriptografia por projeto e por serviço à conta de serviço na chave.
   5. Forneça os detalhes principais ao desenvolvedor para que ele possa concluir a criação do recurso.

3. Com os detalhes da chave retornados pelo agente do serviço Autokey, o desenvolvedor pode concluir imediatamente a criação do recurso protegido.

O Autokey do Cloud KMS cria chaves com os atributos descritos na próxima seção. Esse fluxo de criação de chaves preserva a separação de responsabilidades. O administrador do Cloud KMS continua tendo visibilidade e controle total sobre as chaves criadas pelo Autokey.

Para começar a usar o Autokey depois de ativá-lo, consulte Criar recursos protegidos usando o Autokey do Cloud KMS.

Sobre as chaves criadas pelo Autokey

As chaves criadas pelo Autokey do Cloud KMS têm os seguintes atributos:

• Nível de proteção:HSM.
• Algoritmo:AES-256 GCM.

• Período de rotação:um ano.

  Depois que uma chave é criada pelo Autokey, um administrador do Cloud KMS pode editar o período de rotação do padrão.

• Separação de tarefas:
  • A conta de serviço do serviço recebe automaticamente permissões de criptografia e descriptografia na chave.
  • As permissões de administrador do Cloud KMS se aplicam normalmente às chaves criadas pelo Autokey. Os administradores do Cloud KMS podem visualizar, atualizar, ativar ou desativar e destruir chaves criadas pelo Autokey. Os administradores do Cloud KMS não recebem permissões de criptografia e descriptografia.
  • Os desenvolvedores da Autokey só podem solicitar a criação e atribuição de chaves. Não é possível ver nem gerenciar chaves.
• Especificidade ou granularidade da chave:as chaves criadas pelo Autokey têm uma granularidade que varia de acordo com o tipo de recurso. Para detalhes específicos do serviço sobre a granularidade da chave, consulte Serviços compatíveis nesta página.

• Local:o Autokey cria chaves no mesmo local que o recurso a ser protegido.

  Se você precisar criar recursos protegidos por CMEK em locais onde o Cloud HSM não está disponível, crie a CMEK manualmente.

• Estado da versão da chave:as chaves recém-criadas solicitadas usando o Autokey são criadas como a versão da chave primária no estado ativado.
• Nomeação do keyring:todas as chaves criadas pelo Autokey são criadas em um keyring chamado autokey no projeto do Autokey no local selecionado. Os keyrings no seu projeto do Autokey são criados quando um desenvolvedor do Autokey solicita a primeira chave em um determinado local.
• Nomenclatura de chaves:as chaves criadas pelo Autokey seguem esta convenção de nomenclatura: PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
• Exportação de chaves:assim como todas as chaves do Cloud KMS, as chaves criadas pelo Autokey não podem ser exportadas.
• Rastreamento de chaves:como todas as chaves do Cloud KMS usadas em serviços integrados à CMEK compatíveis com o rastreamento de chaves, as chaves criadas pela chave automática são rastreadas no painel do Cloud KMS.

Aplicando o Autokey

Se você quiser aplicar o uso do Autokey em uma pasta ou projeto, combine os controles de acesso do IAM com as políticas da organização da CMEK. Isso funciona removendo as permissões de criação de chaves de principais diferentes do agente de serviço do Autokey e exigindo que todos os recursos sejam protegidos por CMEK usando o projeto de chave do Autokey. Para instruções detalhadas sobre como exigir o uso da Autokey, consulte Exigir o uso da Autokey.

Serviços compatíveis

A tabela a seguir lista os serviços compatíveis com a chave automática do Cloud KMS:

Serviço	Recursos protegidos	Granularidade da chave
Artifact Registry	artifactregistry.googleapis.com/Repository O Autokey cria chaves durante a criação do repositório, que são usadas para todos os artefatos armazenados.	Uma chave por recurso
BigQuery	bigquery.googleapis.com/Dataset O Autokey cria chaves padrão para conjuntos de dados. Tabelas, modelos, consultas e tabelas temporárias em um conjunto de dados usam a chave padrão do conjunto de dados. O Autokey não cria chaves para recursos do BigQuery que não sejam conjuntos de dados. Para proteger recursos que não fazem parte de um conjunto de dados, crie suas próprias chaves padrão no nível do projeto ou da organização.	Uma chave por recurso
Bigtable	bigtableadmin.googleapis.com/Cluster O Autokey cria chaves para clusters. O Autokey não cria chaves para recursos do Bigtable que não sejam clusters. O Bigtable é compatível apenas com a chave automática do Cloud KMS ao criar recursos usando o Terraform ou o SDK Google Cloud.	Uma chave por cluster
AlloyDB para PostgreSQL	alloydb.googleapis.com/Cluster alloydb.googleapis.com/Backup O AlloyDB para PostgreSQL só é compatível com o Autokey do Cloud KMS ao criar recursos usando o Terraform ou a API REST.	Uma chave por recurso
Cloud Run	run.googleapis.com/Service run.googleapis.com/Job	Uma chave por local em um projeto
Cloud SQL	sqladmin.googleapis.com/Instance O Autokey não cria chaves para recursos do Cloud SQL BackupRun. Quando você cria um backup de uma instância do Cloud SQL, ele é criptografado com a chave gerenciada pelo cliente da instância principal. O Cloud SQL só é compatível com o Autokey do Cloud KMS ao criar recursos usando o Terraform ou a API REST.	Uma chave por recurso
Cloud Storage	storage.googleapis.com/Bucket Os objetos em um bucket de armazenamento usam a chave padrão do bucket. O Autokey não cria chaves para recursos storage.object.	Uma chave por bucket
Compute Engine	compute.googleapis.com/Disk compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/MachineImage Os snapshots usam a chave do disco de que você está criando um snapshot. O Autokey não cria chaves para recursos do compute.snapshot.	Uma chave por recurso
Pub/Sub	pubsub.googleapis.com/Topic	Uma chave por recurso
Secret Manager	secretmanager.googleapis.com/Secret O Secret Manager só é compatível com a chave automática do Cloud KMS ao criar recursos usando o Terraform ou a API REST.	Uma chave por local em um projeto
Secure Source Manager	securesourcemanager.googleapis.com/Instance	Uma chave por recurso
Spanner	spanner.googleapis.com/Database O Spanner só é compatível com a chave automática do Cloud KMS ao criar recursos usando o Terraform ou a API REST.	Uma chave por recurso
Dataflow	dataflow.googleapis.com/Job	Uma chave por recurso
Dataproc	dataproc.googleapis.com/Cluster dataproc.googleapis.com/SessionTemplate dataproc.googleapis.com/WorkflowTemplate dataproc.googleapis.com/Batch dataproc.googleapis.com/Session	Para recursos Cluster, SessionTemplate e WorkflowTemplate:uma chave por recurso Para recursos de lote e sessão:uma chave por local em um projeto

Limitações

• A CLI gcloud não está disponível para recursos do Autokey.
• Os identificadores de chaves não estão no Inventário de recursos do Cloud.

A seguir

• Para começar a usar o Cloud KMS Autokey, um administrador precisa ativar o Cloud KMS Autokey.
• Para usar a chave automática do Cloud KMS depois que ela for ativada, um desenvolvedor pode criar recursos protegidos por CMEK usando a chave automática.
• Saiba mais sobre as práticas recomendadas da CMEK.