Cloud KMS Autokey semplifica la creazione e l'utilizzo delle chiavi di crittografia gestite dal cliente (CMEK) automatizzando il provisioning e l'assegnazione. Con Autokey, le chiavi e le chiavi automatizzate vengono generate on demand. I service account che utilizzano le chiavi per criptare e decriptare le risorse vengono creati e ricevono i ruoli IAM (Identity and Access Management) quando necessario. Gli amministratori di Cloud KMS mantengono il pieno controllo e la visibilità delle chiavi create da Autokey, senza la necessità di pianificare e creare in anticipo ogni risorsa.
L'utilizzo di chiavi generate da Autokey può aiutarti ad allinearti in modo coerente agli standard di settore e alle pratiche consigliate per la sicurezza dei dati, tra cui il livello di protezione HSM multitenant, la separazione delle responsabilità, rotazione della chiave, la località e la specificità delle chiavi. Autokey crea chiavi che seguono sia le linee guida generali sia quelle specifiche per il tipo di risorsa per i serviziGoogle Cloud che si integrano con Cloud KMS Autokey. Una volta create, le chiavi richieste utilizzando la funzione Autokey si comportano in modo identico alle altre chiavi Cloud HSM con le stesse impostazioni.
Autokey può anche semplificare l'utilizzo di Terraform per la gestione delle chiavi, eliminando la necessità di eseguire Infrastructure as Code con privilegi elevati di creazione delle chiavi.
Puoi utilizzare Autokey con un modello di gestione delle chiavi centralizzato (disponibilità generale) o un modello di gestione delle chiavi delegato (anteprima). Per utilizzare il modello di gestione centralizzata delle chiavi, devi disporre di una risorsa organizzazione che contenga una risorsa cartella. Nel modello centralizzato, Autokey è abilitato per i progetti all'interno di una cartella e le chiavi create da Autokey vengono create in un progetto chiave dedicato per quella cartella. Con il modello di gestione delle chiavi delegata, la gestione delle chiavi viene delegata agli amministratori del progetto, che possono abilitare Autokey in una cartella o in un progetto per consentire ad Autokey di creare chiavi nello stesso progetto delle risorse che proteggono.
Per saperne di più sulle risorse di organizzazione e cartella, consulta Gerarchia delle risorse.
Cloud KMS Autokey è disponibile in tutte le Google Cloud località in cui è disponibile Cloud HSM. Per ulteriori informazioni sulle località Cloud KMS, consulta Località di Cloud KMS. Non è previsto alcun costo aggiuntivo per l'utilizzo di Autokey di Cloud KMS. Le chiavi create utilizzando Autokey hanno lo stesso prezzo di qualsiasi altra chiave Cloud HSM. Per ulteriori informazioni sui prezzi, consulta Prezzi di Cloud Key Management Service.
Come funziona Autokey
Questa sezione spiega come funziona Autokey di Cloud KMS. I seguenti ruoli utente partecipano a questo processo:
- Amministratore
- L'amministratore è un utente responsabile della gestione della sicurezza a livello di cartella o organizzazione.
- Autokey developer
- Lo sviluppatore di Autokey è un utente responsabile della creazione di risorse utilizzando Autokey di Cloud KMS.
- Amministratore Cloud KMS
- L'amministratore Cloud KMS è un utente responsabile della gestione delle risorse Cloud KMS. Questo ruolo ha meno responsabilità quando si utilizzano chiavi Autokey rispetto a quando si utilizzano chiavi create manualmente.
A questo processo partecipano anche i seguenti agenti di servizio:
- Agente di servizio Cloud KMS
- Il service agent per Cloud KMS in un determinato progetto di chiavi. Autokey dipende da questo service agent che dispone di privilegi elevati per creare chiavi e chiavi automatizzate Cloud KMS e per impostare i criteri IAM sulle chiavi, concedendo le autorizzazioni di crittografia e decrittografia per ogni service agent delle risorse.
- Resource service agent
- L'agente di servizio per un determinato servizio in un determinato progetto di risorse. Questo service agent deve disporre delle autorizzazioni di crittografia e decrittografia per qualsiasi chiave Cloud KMS prima di poterla utilizzare per la protezione CMEK di una risorsa. Autokey crea l'agente di servizio della risorsa quando necessario e gli concede le autorizzazioni necessarie per utilizzare la chiave Cloud KMS.
L'amministratore abilita Cloud KMS Autokey
L'attivazione di Autokey segue uno dei seguenti percorsi in base al modello di gestione delle chiavi scelto:
- Modello di gestione centralizzata delle chiavi: attiva Autokey in una cartella. Viene creato un progetto chiave centralizzato per contenere le chiavi che proteggono le risorse create in altri progetti all'interno della cartella.
- Modello di gestione delle chiavi delegata (anteprima): puoi attivare Autokey per singoli progetti o per tutti i progetti all'interno di una cartella per utilizzare Autokey nello stesso progetto.
Abilitare la gestione centralizzata delle chiavi
Prima di poter utilizzare Autokey per la gestione centralizzata delle chiavi in una cartella, un amministratore deve completare le seguenti attività di configurazione una tantum:
Abilita Cloud KMS Autokey in una cartella e identifica il progetto Cloud KMS che conterrà le risorse Autokey per quella cartella.
Crea l'agente di servizio Cloud KMS e poi concedi i privilegi di creazione e assegnazione delle chiavi all'agente di servizio.
Una volta completata questa configurazione, gli sviluppatori che possono creare risorse compatibili con Autokey in qualsiasi progetto della cartella possono ora attivare la creazione di chiavi Multi-tenant Cloud HSM on demand. Per visualizzare le istruzioni di configurazione complete per Cloud KMS Autokey, consulta Abilitare Cloud KMS Autokey.
Abilitare la gestione delegata delle chiavi
Prima di poter utilizzare Autokey per la gestione delegata delle chiavi, un amministratore deve completare le seguenti attività di configurazione una tantum:
- Abilita Cloud KMS Autokey in un progetto o una cartella.
- Abilita l'API Cloud KMS in questo progetto o nei progetti della cartella.
Quando Cloud KMS Autokey è abilitato in un progetto per la gestione delegata delle chiavi, il service agent Cloud KMS viene creato per te quando necessario. Non devi creare manualmente l'agente di servizio. Qualsiasi utente con autorizzazioni per creare una risorsa compatibile con Autokey può richiedere una nuova chiave on demand. Per visualizzare le istruzioni di configurazione complete per Cloud KMS Autokey, consulta Abilitare Cloud KMS Autokey.
Gli sviluppatori di Autokey utilizzano Autokey di Cloud KMS
Una volta attivato correttamente Autokey per un progetto, gli sviluppatori di Autokey possono creare risorse protette utilizzando le chiavi create per loro su richiesta. Ciò vale per i progetti in una cartella in cui Autokey è abilitato per la gestione centralizzata delle chiavi e per i progetti in cui Autokey è abilitato per la gestione delle chiavi delegata nello stesso progetto. I dettagli della procedura di creazione delle risorse dipendono dalla risorsa che stai creando, ma la procedura segue questo flusso:
Lo sviluppatore di Autokey inizia a creare una risorsa in un servizioGoogle Cloud compatibile. Durante la creazione delle risorse, lo sviluppatore richiede una nuova chiave all'agente di servizio Autokey.
L'agente di servizio Autokey riceve la richiesta dello sviluppatore e completa i seguenti passaggi:
- Crea una chiave automatizzata nel progetto nella posizione selezionata, a meno che non esista già.
- Crea una chiave nel keyring con la granularità appropriata per il tipo di risorsa, a meno che non esista già una chiave di questo tipo.
- Crea il account di servizio per progetto e per servizio, a meno che non esista già.
- Concedi le autorizzazioni di criptaggio e decriptaggio per progetto e per servizio all'account di servizio sulla chiave.
- Fornisci i dettagli chiave allo sviluppatore in modo che possa completare la creazione della risorsa.
Con i dettagli della chiave restituiti correttamente dall'agente del servizio Autokey, lo sviluppatore può completare immediatamente la creazione della risorsa protetta.
Cloud KMS Autokey crea chiavi con gli attributi descritti nella sezione successiva. Questo flusso di creazione delle chiavi preserva la separazione dei compiti. L'amministratore di Cloud KMS continua ad avere piena visibilità e controllo sulle chiavi create da Autokey.
Per iniziare a utilizzare Autokey dopo averlo attivato, consulta Crea risorse protette utilizzando Autokey di Cloud KMS.
Informazioni sulle chiavi create da Autokey
Le chiavi create da Cloud KMS Autokey hanno i seguenti attributi:
- Livello di protezione:HSM.
- Algoritmo:AES-256 GCM.
Periodo di rotazione:un anno.
Dopo la creazione di una chiave da parte di Autokey, un amministratore Cloud KMS può modificare il periodo di rotazione rispetto a quello predefinito.
- Separazione dei compiti:
- All'account di servizio per il servizio vengono concesse automaticamente le autorizzazioni di crittografia e decrittografia sulla chiave.
- Le autorizzazioni di amministratore Cloud KMS si applicano come di consueto alle chiavi create da Autokey. Gli amministratori di Cloud KMS possono visualizzare, aggiornare, abilitare o disabilitare ed eliminare le chiavi create da Autokey. Gli amministratori Cloud KMS non dispongono delle autorizzazioni di crittografia e decrittografia.
- Gli sviluppatori di Autokey possono richiedere solo la creazione e l'assegnazione di chiavi. Non possono visualizzare o gestire le chiavi.
- Specificità o granularità della chiave:le chiavi create da Autokey hanno una granularità che varia in base al tipo di risorsa. Per dettagli specifici del servizio sulla granularità delle chiavi, vedi Servizi compatibili in questa pagina.
Località:Autokey crea chiavi nella stessa località della risorsa da proteggere.
Se devi creare risorse protette da CMEK in località in cui Cloud HSM non è disponibile, devi creare manualmente la chiave CMEK.
- Stato della versione della chiave:le chiavi appena create richieste utilizzando Autokey vengono create come versione della chiave primaria nello stato abilitato.
- Denominazione del keyring:tutte le chiavi create da Autokey vengono create in un keyring chiamato
autokeynel progetto Autokey nella località selezionata. I keyring nel progetto Autokey vengono creati quando uno sviluppatore Autokey richiede la prima chiave in una determinata località. - Denominazione delle chiavi:le chiavi create da Autokey seguono questa convenzione di denominazione:
PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX - Esportazione delle chiavi:come tutte le chiavi Cloud KMS, le chiavi create da Autokey non possono essere esportate.
- Monitoraggio delle chiavi:come tutte le chiavi Cloud KMS utilizzate nei servizi integrati CMEK compatibili con il monitoraggio delle chiavi, le chiavi create da Autokey vengono monitorate nella dashboard Cloud KMS.
Applicazione di Autokey
Se vuoi applicare l'utilizzo di Autokey all'interno di una cartella o di un progetto, puoi farlo combinando i controlli dell'accesso IAM con le policy dell'organizzazione CMEK. Ciò avviene rimuovendo le autorizzazioni di creazione delle chiavi dai principal diversi dall'agente di servizio Autokey e richiedendo che tutte le risorse siano protette da CMEK utilizzando il progetto chiave Autokey. Per istruzioni dettagliate sull'applicazione dell'utilizzo di Autokey, consulta Applicare l'utilizzo di Autokey.
Servizi compatibili
La tabella seguente elenca i servizi compatibili con Cloud KMS Autokey:
| Servizio | Risorse protette | Granularità della chiave |
|---|---|---|
| Artifact Registry |
Autokey crea chiavi durante la creazione del repository, utilizzate per tutti gli artefatti archiviati. |
Una chiave per risorsa |
| BigQuery |
Autokey crea chiavi predefinite per i set di dati. Tabelle, modelli, query e tabelle temporanee all'interno di un set di dati utilizzano la chiave predefinita del set di dati. Autokey non crea chiavi per le risorse BigQuery diverse dai set di dati. Per proteggere le risorse che non fanno parte di un set di dati, devi creare chiavi predefinite personalizzate a livello di progetto o organizzazione. |
Una chiave per risorsa |
| Bigtable |
Autokey crea chiavi per i cluster. Autokey non crea chiavi per le risorse Bigtable diverse dai cluster. Bigtable è compatibile solo con Autokey di Cloud KMS quando crei risorse utilizzando Terraform o Google Cloud SDK. |
Una chiave per cluster |
| AlloyDB per PostgreSQL |
AlloyDB per PostgreSQL è compatibile solo con Autokey di Cloud KMS quando crei risorse utilizzando Terraform o l'API REST. |
Una chiave per risorsa |
| Cloud Run |
|
Una chiave per località all'interno di un progetto |
| Cloud SQL |
Autokey non crea chiavi per le risorse Cloud SQL
Cloud SQL è compatibile solo con Autokey di Cloud KMS quando crei risorse utilizzando Terraform o l'API REST. |
Una chiave per risorsa |
| Cloud Storage |
Gli oggetti all'interno di un bucket di archiviazione utilizzano la chiave predefinita del bucket. Autokey non crea
chiavi per le risorse |
Una chiave per bucket |
| Compute Engine |
Gli snapshot utilizzano la chiave del disco di cui stai creando uno snapshot.
Autokey non crea chiavi per le risorse |
Una chiave per risorsa |
| Pub/Sub |
|
Una chiave per risorsa |
| Secret Manager |
Secret Manager è compatibile solo con Autokey di Cloud KMS quando crei risorse utilizzando Terraform o l'API REST. |
Una chiave per località all'interno di un progetto |
| Secure Source Manager |
|
Una chiave per risorsa |
| Spanner |
Spanner è compatibile solo con Autokey di Cloud KMS quando crei risorse utilizzando Terraform o l'API REST. |
Una chiave per risorsa |
| Dataflow |
|
Una chiave per risorsa |
| Dataproc |
|
Per le risorse Cluster, SessionTemplate e WorkflowTemplate: una chiave per risorsa Per le risorse Batch e Sessione: Una chiave per località all'interno di un progetto |
Limitazioni
- gcloud CLI non è disponibile per le risorse Autokey.
- Gli handle delle chiavi non sono in Cloud Asset Inventory.
Passaggi successivi
- Per iniziare a utilizzare Cloud KMS Autokey, un amministratore deve abilitare Cloud KMS Autokey.
- Per utilizzare Cloud KMS Autokey dopo l'attivazione, uno sviluppatore può creare risorse protette da CMEK utilizzando Autokey.
- Scopri di più sulle best practice per CMEK.