Criar uma chave externa

Nesta página, mostramos como criar chaves do Cloud External Key Manager (Cloud EKM) em um keyring atual no Cloud Key Management Service (Cloud KMS).

Antes de começar

Antes de concluir as tarefas nesta página, você precisa do seguinte:

  • Um recurso de projeto para conter os recursos do Cloud KMS. Google Cloud Recomendamos usar um projeto separado para os recursos do Cloud KMS que não contenha outros Google Cloud recursos.

    Anote a conta de serviço do Cloud EKM do seu projeto. No exemplo a seguir, substitua PROJECT_NUMBER pelo Google Cloud número do projeto. Essas informações também ficam visíveis sempre que você usa o Google Cloud console para criar uma chave do Cloud EKM.

        service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
  • O nome e o local do keyring em que você quer criar a chave. Escolha um keyring em um local próximo aos outros recursos e que seja compatível com o Cloud EKM. Para conferir os locais disponíveis e os níveis de proteção que eles oferecem, consulte Locais do Cloud KMS. Para criar um keyring, consulte Criar um keyring.

  • Para criar chaves externas gerenciadas manualmente, é necessário criar a chave no sistema de parceiros de gerenciamento de chaves externas. As etapas exatas variam de acordo com o parceiro externo de gerenciamento de chaves.

    1. Se necessário, solicite acesso ao seu parceiro externo de gerenciamento de chaves para participar.

    2. Crie uma chave simétrica ou assimétrica no sistema de parceiros de gerenciamento de chaves externas ou selecione uma chave atual.

      Crie a chave em uma região próxima à Google Cloud região que você planeja usar para as chaves do Cloud EKM. Isso ajuda a reduzir a latência de rede entre seuprojeto e o parceiro de gerenciamento de chaves externas. Google Cloud Caso contrário, talvez ocorra um aumento no número de operações com falha. Para mais informações, consulte Cloud EKM e regiões.

    3. Anote o URI ou o caminho da chave externa. Você precisa dessas informações para criar uma chave do Cloud EKM.
  • No sistema de parceiros de gerenciamento de chaves externas, conceda à Google Cloud conta de serviço acesso para usar suas chaves externas. Trate a conta de serviço como um endereço de e-mail. Os parceiros do EKM podem usar uma terminologia diferente da que é usada neste documento.
  • Para criar chaves EKM por VPC, é necessário criar uma conexão EKM.
  • Opcional: para usar a CLI gcloud, prepare seu ambiente.

    No Google Cloud console do, ative o Cloud Shell.

    Ativar o Cloud Shell

Funções exigidas

Para ter as permissões necessárias para criar chaves, peça ao administrador para conceder a você o papel do IAM de administrador do Cloud KMS (roles/cloudkms.admin) no projeto ou em um recurso pai. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém as permissões necessárias para criar chaves. Para acessar as permissões exatas que são necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As permissões a seguir são necessárias para criar chaves:

  • cloudkms.cryptoKeys.create
  • cloudkms.cryptoKeys.get
  • cloudkms.cryptoKeys.list
  • cloudkms.cryptoKeyVersions.create
  • cloudkms.cryptoKeyVersions.get
  • cloudkms.cryptoKeyVersions.list
  • cloudkms.keyRings.get
  • cloudkms.keyRings.list
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
  • Para recuperar uma chave pública: cloudkms.cryptoKeyVersions.viewPublicKey

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Criar uma chave externa coordenada

Console

  1. No Google Cloud console do, acesse a a página Gerenciamento de chaves.

    Vá para Gerenciamento de chaves

  2. Clique no nome do keyring em que a chave será criada.

  3. Clique em Criar chave.

  4. Em Nome da chave, insira um nome para a chave.

  5. Em Nível de proteção, selecione Externo.

  6. Em Tipo de conexão do gerenciador de chaves externo (EKM, na sigla em inglês), selecione via VPC.

  7. Em EKM via conexão VPC, selecione uma conexão.

    Se você não tiver a permissão EkmConnection.list, insira o nome do recurso de conexão manualmente.

  8. Clique em Continuar.

  9. Na seção Material da chave, você verá uma mensagem sobre o novo material da chave sendo solicitado pelo Cloud KMS e gerado no seu EKM. Se o campo Caminho da chave aparecer, significa que o EKM via conexão VPC selecionado não está configurado para chaves externas coordenadas.

  10. Configure o restante das configurações de chave conforme necessário e clique em Criar.

O Cloud EKM envia uma solicitação ao seu EKM para criar uma nova chave. A chave é mostrada como Geração pendente até que o caminho da chave seja retornado pelo EKM e a chave do Cloud EKM esteja disponível.

gcloud

Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente da Google Cloud CLI.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Substitua:

  • KEY_NAME: o nome da chave;
  • KEY_RING: o nome do keyring que contém a chave.
  • LOCATION: o local do Cloud KMS do keyring.
  • PURPOSE: a finalidade da chave.
  • ALGORITHM: o algoritmo a ser usado para a chave, por exemplo, google-symmetric-encryption. Para uma lista de algoritmos compatíveis, consulte Algoritmos.
  • VPC_CONNECTION_RESOURCE_ID: o ID do recurso da conexão EKM.

Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help.

Criar uma chave do Cloud EKM gerenciada manualmente via VPC

Console

  1. No Google Cloud console do, acesse a a página Gerenciamento de chaves.

    Vá para Gerenciamento de chaves

  2. Clique no nome do keyring em que a chave será criada.

  3. Clique em Criar chave.

  4. Em Nome da chave, insira um nome para a chave.

  5. Em Nível de proteção, selecione Externo.

  6. Em Tipo de conexão do gerenciador de chaves externo (EKM, na sigla em inglês), selecione via VPC.

  7. Em EKM via conexão VPC, selecione uma conexão.

    Observação: se você não tiver a permissão EkmConnection.list, insira o nome do recurso de conexão manualmente.

  8. Clique em Continuar.

  9. No campo Caminho da chave, insira o caminho para a chave externa.

  10. Configure o restante das configurações de chave conforme necessário e clique em Criar.

gcloud

Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente da Google Cloud CLI.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --skip-initial-version-creation \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Substitua:

  • KEY_NAME: o nome da chave;
  • KEY_RING
  • LOCATION: o local do Cloud KMS do keyring.
  • PURPOSE: a finalidade da chave.
  • ALGORITHM: o algoritmo a ser usado para a chave, por exemplo, google-symmetric-encryption. Para uma lista de algoritmos compatíveis, consulte Algoritmos.
  • VPC_CONNECTION_RESOURCE_ID: o ID do recurso da conexão EKM.

Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help.

Criar uma chave do Cloud EKM gerenciada manualmente via Internet

Console

  1. No Google Cloud console do, acesse a a página Gerenciamento de chaves.

    Vá para Gerenciamento de chaves

  2. Clique no nome do keyring em que a chave será criada.

  3. Clique em Criar chave.

  4. Em Nome da chave, insira um nome para a chave.

  5. Em Nível de proteção, selecione Externo.

  6. Em Tipo de conexão do gerenciador de chaves externo (EKM, na sigla em inglês), selecione via Internet.

  7. Clique em Continuar.

  8. No campo URI da chave, insira o caminho para a chave externa.

  9. Configure o restante das configurações de chave conforme necessário e clique em Criar.

gcloud

Para usar o Cloud KMS na linha de comando, primeiro instale ou faça upgrade para a versão mais recente da Google Cloud CLI.

  1. Crie uma chave externa vazia:

    gcloud kms keys create KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --purpose PURPOSE \
  --protection-level external \
  --skip-initial-version-creation \
  --default-algorithm ALGORITHM

    Substitua:

    • KEY_NAME: o nome da chave;
    • KEY_RING: o nome do keyring que contém a chave.
    • LOCATION: o local do Cloud KMS do keyring.
    • PURPOSE: a finalidade da chave.
    • ALGORITHM: o algoritmo a ser usado para a chave, por exemplo, google-symmetric-encryption. Para uma lista de algoritmos compatíveis, consulte Algoritmos.

    Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help.

  2. Crie uma nova versão de chave para a chave que você acabou de criar:

    gcloud kms keys versions create \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --external-key-uri EXTERNAL_KEY_URI

    Substitua EXTERNAL_KEY_URI pelo URI da chave externa.

    Para versões de chaves simétricas, adicione a flag --primary para definir a nova versão da chave como a principal.

A seguir