Creare una chiave esterna

Questa pagina mostra come creare chiavi Cloud External Key Manager (Cloud EKM) in un keyring esistente in Cloud Key Management Service (Cloud KMS).

Prima di iniziare

Prima di completare le attività descritte in questa pagina, devi disporre di quanto segue:

  • Una risorsa Google Cloud progetto per contenere le risorse Cloud KMS. Ti consigliamo di utilizzare un progetto separato per le tue risorse Cloud KMS che non contenga altre Google Cloud risorse.

    Prendi nota del account di servizio Cloud EKM del tuo progetto. Nell'esempio seguente, sostituisci PROJECT_NUMBER con il numero del progetto. Google Cloud Queste informazioni sono visibili anche ogni volta che utilizzi la Google Cloud console per creare una chiave Cloud EKM.

        service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
  • Il nome e la località del keyring in cui vuoi creare la chiave. Scegli un keyring in una località vicina alle altre risorse e che supporti Cloud EKM. Per visualizzare le località disponibili e i livelli di protezione che supportano, consulta Località Cloud KMS. Per creare un keyring, consulta Crea un keyring.

  • Per creare chiavi esterne gestite manualmente, devi creare la chiave nel sistema del partner esterno per la gestione delle chiavi. I passaggi esatti variano in base al partner esterno per la gestione delle chiavi.

    1. Se necessario, richiedi l'accesso al tuo partner esterno per la gestione delle chiavi per partecipare.

    2. Crea una chiave simmetrica o asimmetrica nel sistema del partner esterno per la gestione delle chiavi o seleziona una chiave esistente.

      Crea la chiave in una regione vicino alla Google Cloud regione che intendi utilizzare per le chiavi Cloud EKM. In questo modo puoi ridurre la latenza di rete tra il tuo progetto e il partner esterno per la gestione delle chiavi. Google Cloud In caso contrario, potresti riscontrare un aumento del numero di operazioni non riuscite. Per saperne di più, consulta Cloud EKM e regioni.

    3. Prendi nota dell'URI o del percorso della chiave esterna. Queste informazioni sono necessarie per creare una chiave Cloud EKM.
  • Nel sistema del partner esterno per la gestione delle chiavi, concedi al Google Cloud account di servizio l'accesso per utilizzare le chiavi esterne. Considera il account di servizio come un indirizzo email. I partner EKM potrebbero utilizzare una terminologia diversa da quella utilizzata in questo documento.
  • Per creare chiavi EKM tramite VPC, devi creare una connessione EKM.
  • (Facoltativo) Per utilizzare gcloud CLI, prepara l'ambiente.

    Nella Google Cloud console, attiva Cloud Shell.

    Attiva Cloud Shell

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare le chiavi, chiedi all'amministratore di concederti il ruolo IAM Amministratore Cloud KMS (roles/cloudkms.admin) nel progetto o in una risorsa padre. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per creare le chiavi. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per creare le chiavi sono necessarie le seguenti autorizzazioni:

  • cloudkms.cryptoKeys.create
  • cloudkms.cryptoKeys.get
  • cloudkms.cryptoKeys.list
  • cloudkms.cryptoKeyVersions.create
  • cloudkms.cryptoKeyVersions.get
  • cloudkms.cryptoKeyVersions.list
  • cloudkms.keyRings.get
  • cloudkms.keyRings.list
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
  • Per recuperare una chiave pubblica: cloudkms.cryptoKeyVersions.viewPublicKey

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Creare una chiave esterna coordinata

Console

  1. Nella Google Cloud console, vai alla pagina Gestione delle chiavi.

    Vai a Gestione delle chiavi

  2. Fai clic sul nome del keyring per il quale creerai una chiave.

  3. Fai clic su Crea chiave.

  4. In Nome chiave, inserisci un nome per la chiave.

  5. In Livello di protezione, seleziona Esterno.

  6. In Tipo di connessione gestore esterno delle chiavi (EKM), seleziona tramite VPC.

  7. In EKM tramite connessione VPC, seleziona una connessione.

    Se non disponi dell'autorizzazione EkmConnection.list, devi inserire manualmente il nome della risorsa di connessione.

  8. Fai clic su Continua.

  9. Nella sezione Materiale della chiave, dovresti visualizzare un messaggio che indica che Cloud KMS ha richiesto un nuovo materiale della chiave e che questo verrà generato nel tuo EKM. Se vedi il campo Percorso chiave, significa che la connessione EKM tramite VPC selezionata non è configurata per le chiavi esterne coordinate.

  10. Configura le altre impostazioni della chiave in base alle esigenze, quindi fai clic su Crea.

Cloud EKM invia una richiesta al tuo EKM per creare una nuova chiave. La chiave viene visualizzata come Generazione in attesa finché il percorso della chiave non viene restituito dal tuo EKM e la chiave Cloud EKM non è disponibile.

gcloud

Per utilizzare Cloud KMS dalla riga di comando, prima installa o esegui l'upgrade all'ultima versione di Google Cloud CLI.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Sostituisci quanto segue:

  • KEY_NAME: il nome della chiave.
  • KEY_RING: il nome del keyring che contiene la chiave.
  • LOCATION: la località Cloud KMS del keyring.
  • PURPOSE: lo scopo della chiave.
  • ALGORITHM: l'algoritmo da utilizzare per la chiave, ad esempio google-symmetric-encryption. Per un elenco degli algoritmi supportati, consulta Algoritmi.
  • VPC_CONNECTION_RESOURCE_ID: l'ID risorsa della connessione EKM.

Per informazioni su tutti i flag e i valori possibili, esegui il comando con il flag --help.

Creare una chiave Cloud EKM tramite VPC gestita manualmente

Console

  1. Nella Google Cloud console, vai alla pagina Gestione delle chiavi.

    Vai a Gestione delle chiavi

  2. Fai clic sul nome del keyring per il quale creerai una chiave.

  3. Fai clic su Crea chiave.

  4. In Nome chiave, inserisci un nome per la chiave.

  5. In Livello di protezione, seleziona Esterno.

  6. In Tipo di connessione gestore esterno delle chiavi (EKM), seleziona tramite VPC.

  7. In EKM tramite connessione VPC, seleziona una connessione.

    Tieni presente che, se non disponi dell'autorizzazione EkmConnection.list, devi inserire manualmente il nome della risorsa di connessione.

  8. Fai clic su Continua.

  9. Nel campo Percorso chiave, inserisci il percorso della chiave esterna.

  10. Configura le altre impostazioni della chiave in base alle esigenze, quindi fai clic su Crea.

gcloud

Per utilizzare Cloud KMS dalla riga di comando, prima installa o esegui l'upgrade all'ultima versione di Google Cloud CLI.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --skip-initial-version-creation \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Sostituisci quanto segue:

  • KEY_NAME: il nome della chiave.
  • KEY_RING
  • LOCATION: la località Cloud KMS del keyring.
  • PURPOSE: lo scopo della chiave.
  • ALGORITHM: l'algoritmo da utilizzare per la chiave, ad esempio google-symmetric-encryption. Per un elenco degli algoritmi supportati, consulta Algoritmi.
  • VPC_CONNECTION_RESOURCE_ID: l'ID risorsa della connessione EKM.

Per informazioni su tutti i flag e i valori possibili, esegui il comando con il flag --help.

Creare una chiave Cloud EKM tramite internet gestita manualmente

Console

  1. Nella Google Cloud console, vai alla pagina Gestione delle chiavi.

    Vai a Gestione delle chiavi

  2. Fai clic sul nome del keyring per il quale creerai una chiave.

  3. Fai clic su Crea chiave.

  4. In Nome chiave, inserisci un nome per la chiave.

  5. In Livello di protezione, seleziona Esterno.

  6. In Tipo di connessione gestore esterno delle chiavi (EKM), seleziona tramite internet.

  7. Fai clic su Continua.

  8. Nel campo URI chiave, inserisci il percorso della chiave esterna.

  9. Configura le altre impostazioni della chiave in base alle esigenze, quindi fai clic su Crea.

gcloud

Per utilizzare Cloud KMS dalla riga di comando, prima installa o esegui l'upgrade all'ultima versione di Google Cloud CLI.

  1. Crea una chiave esterna vuota:

    gcloud kms keys create KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --purpose PURPOSE \
  --protection-level external \
  --skip-initial-version-creation \
  --default-algorithm ALGORITHM

    Sostituisci quanto segue:

    • KEY_NAME: il nome della chiave.
    • KEY_RING: il nome del keyring che contiene la chiave.
    • LOCATION: la località Cloud KMS del keyring.
    • PURPOSE: lo scopo della chiave.
    • ALGORITHM: l'algoritmo da utilizzare per la chiave, ad esempio google-symmetric-encryption. Per un elenco degli algoritmi supportati, consulta Algoritmi.

    Per informazioni su tutti i flag e i valori possibili, esegui il comando con il flag --help.

  2. Crea una nuova versione della chiave per la chiave appena creata:

    gcloud kms keys versions create \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --external-key-uri EXTERNAL_KEY_URI

    Sostituisci EXTERNAL_KEY_URI con l'URI della chiave esterna.

    Per le versioni delle chiavi simmetriche, aggiungi il flag --primary per impostare la nuova versione della chiave come versione primaria.

Passaggi successivi