Esta página mostra-lhe como criar chaves do Cloud External Key Manager (Cloud EKM) num conjunto de chaves existente no Cloud Key Management Service (Cloud KMS).
Antes de começar
Antes de concluir as tarefas nesta página, precisa do seguinte:
-
Um recurso de projeto para conter os seus recursos do Cloud KMS. Google Cloud Recomendamos a utilização de um projeto separado para os seus recursos do Cloud KMS que não contenha outros recursos. Google Cloud
Tome nota da conta de serviço do EKM do Google Cloud do seu projeto. No exemplo seguinte, substitua
PROJECT_NUMBERpelo Google Cloud número do projeto do seu projeto. Estas informações também são visíveis sempre que usa a Google Cloud consola para criar uma chave do EKM na nuvem.service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com - O nome e a localização do conjunto de chaves onde quer criar a sua chave. Escolha um porta-chaves numa localização próxima dos seus outros recursos e que suporte o EKM da nuvem. Para ver as localizações disponíveis e os níveis de proteção que suportam, consulte Localizações do Cloud KMS. Para criar um conjunto de chaves, consulte o artigo Crie um conjunto de chaves.
-
Para criar chaves externas geridas manualmente, tem de criar a chave no sistema do parceiro de gestão de chaves externas. Os passos exatos variam consoante o parceiro de gestão de chaves externo.
- Se necessário, peça acesso ao seu parceiro de gestão de chaves externo para participar.
-
Crie uma chave simétrica ou assimétrica no sistema do parceiro de gestão de chaves externo ou selecione uma chave existente.
Crie a chave numa região perto da Google Cloud região que planeia usar para as chaves do EKM na nuvem. Isto ajuda a reduzir a latência da rede entre o seu Google Cloud projeto e o parceiro de gestão de chaves externo. Caso contrário, pode observar um aumento do número de operações falhadas. Para mais informações, consulte o artigo EKM do Google Cloud e regiões.
- Tome nota do URI ou do caminho da chave externa. Precisa destas informações para criar uma chave do Cloud EKM.
- No sistema de parceiros de gestão de chaves externas, conceda à conta de serviço acesso para usar as suas chaves externas. Google CloudTratar a conta de serviço como um endereço de email. Os parceiros de EKM podem usar uma terminologia diferente da usada neste documento.
- Para criar chaves EKM sobre VPC, tem de criar uma ligação EKM.
- Opcional: para usar a CLI gcloud, prepare o seu ambiente.
In the Google Cloud console, activate Cloud Shell.
Funções necessárias
Para receber as autorizações de que
precisa para criar chaves,
peça ao seu administrador para lhe conceder a função de
administrador do Cloud KMS (roles/cloudkms.admin)
da IAM no projeto ou num recurso principal.
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Esta função predefinida contém as autorizações necessárias para criar chaves. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:
Autorizações necessárias
São necessárias as seguintes autorizações para criar chaves:
-
cloudkms.cryptoKeys.create -
cloudkms.cryptoKeys.get -
cloudkms.cryptoKeys.list -
cloudkms.cryptoKeyVersions.create -
cloudkms.cryptoKeyVersions.get -
cloudkms.cryptoKeyVersions.list -
cloudkms.keyRings.get -
cloudkms.keyRings.list -
cloudkms.locations.get -
cloudkms.locations.list -
resourcemanager.projects.get -
Para obter uma chave pública:
cloudkms.cryptoKeyVersions.viewPublicKey
Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.
Crie uma chave externa coordenada
Consola
Na Google Cloud consola, aceda à página Gestão de chaves.
Clique no nome do conjunto de chaves para o qual vai criar uma chave.
Clique em Criar chave.
Em Nome da chave, introduza um nome para a chave.
Para Nível de proteção, selecione Externo.
Para o tipo de ligação do gestor de chaves externo (EKM), selecione através da VPC.
Para EKM através da ligação à VPC, selecione uma ligação.
Se não tiver a autorização
EkmConnection.list, tem de introduzir manualmente o nome do recurso de associação.Clique em Continuar.
Na secção Material da chave, deve ver uma mensagem sobre o novo material da chave a ser pedido pelo Cloud KMS e gerado no seu EKM. Se vir o campo Caminho da chave, significa que o EKM através da ligação VPC que selecionou não está configurado para chaves externas coordenadas.
Configure as restantes definições principais conforme necessário e, de seguida, clique em Criar.
O EKM da nuvem envia um pedido ao seu EKM para criar uma nova chave. A chave é apresentada como Geração pendente até o caminho da chave ser devolvido pelo seu EKM e a chave do Cloud EKM estar disponível.
gcloud
Para usar o Cloud KMS na linha de comandos, primeiro instale ou atualize para a versão mais recente da CLI do Google Cloud.
gcloud kms keys create KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--purpose PURPOSE \
--default-algorithm ALGORITHM \
--protection-level "external-vpc" \
--crypto-key-backend VPC_CONNECTION_RESOURCE_ID
Substitua o seguinte:
KEY_NAME: o nome da chave.KEY_RING: o nome do conjunto de chaves que contém a chave.LOCATION: a localização do Cloud KMS do conjunto de chaves.PURPOSE: o objetivo da chave.ALGORITHM: o algoritmo a usar para a chave, por exemplo,google-symmetric-encryption. Para ver uma lista dos algoritmos suportados, consulte o artigo Algoritmos.VPC_CONNECTION_RESOURCE_ID: o ID do recurso da ligação EKM.
Para ver informações sobre todas as flags e valores possíveis, execute o comando com a flag --help.
Crie um Cloud EKM gerido manualmente através de uma chave de VPC
Consola
Na Google Cloud consola, aceda à página Gestão de chaves.
Clique no nome do conjunto de chaves para o qual vai criar uma chave.
Clique em Criar chave.
Em Nome da chave, introduza um nome para a chave.
Para Nível de proteção, selecione Externo.
Para o tipo de ligação do gestor de chaves externo (EKM), selecione através da VPC.
Para EKM através da ligação à VPC, selecione uma ligação.
Tenha em atenção que, se não tiver a autorização
EkmConnection.list, tem de introduzir manualmente o nome do recurso da associação.Clique em Continuar.
No campo Caminho da chave, introduza o caminho para a sua chave externa.
Configure as restantes definições principais conforme necessário e, de seguida, clique em Criar.
gcloud
Para usar o Cloud KMS na linha de comandos, primeiro instale ou atualize para a versão mais recente da CLI do Google Cloud.
gcloud kms keys create KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--purpose PURPOSE \
--default-algorithm ALGORITHM \
--protection-level "external-vpc" \
--skip-initial-version-creation \
--crypto-key-backend VPC_CONNECTION_RESOURCE_ID
Substitua o seguinte:
KEY_NAME: o nome da chave.- KEY_RING
LOCATION: a localização do Cloud KMS do conjunto de chaves.PURPOSE: o objetivo da chave.ALGORITHM: o algoritmo a usar para a chave, por exemplo,google-symmetric-encryption. Para ver uma lista dos algoritmos suportados, consulte o artigo Algoritmos.VPC_CONNECTION_RESOURCE_ID: o ID do recurso da ligação EKM.
Para ver informações sobre todas as flags e valores possíveis, execute o comando com a flag --help.
Crie um Cloud EKM gerido manualmente através de uma chave da Internet
Consola
Na Google Cloud consola, aceda à página Gestão de chaves.
Clique no nome do conjunto de chaves para o qual vai criar uma chave.
Clique em Criar chave.
Em Nome da chave, introduza um nome para a chave.
Para Nível de proteção, selecione Externo.
Para o tipo de ligação do gestor de chaves externo (EKM), selecione através da Internet.
Clique em Continuar.
No campo URI da chave, introduza o caminho para a sua chave externa.
Configure as restantes definições principais conforme necessário e, de seguida, clique em Criar.
gcloud
Para usar o Cloud KMS na linha de comandos, primeiro instale ou atualize para a versão mais recente da CLI do Google Cloud.
Crie uma chave externa vazia:
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --protection-level external \ --skip-initial-version-creation \ --default-algorithm ALGORITHM
Substitua o seguinte:
KEY_NAME: o nome da chave.KEY_RING: o nome do conjunto de chaves que contém a chave.LOCATION: a localização do Cloud KMS do conjunto de chaves.PURPOSE: o objetivo da chave.ALGORITHM: o algoritmo a usar para a chave, por exemplo,google-symmetric-encryption. Para ver uma lista dos algoritmos suportados, consulte o artigo Algoritmos.
Para ver informações sobre todas as flags e valores possíveis, execute o comando com a flag
--help.Crie uma nova versão da chave para a chave que acabou de criar:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri EXTERNAL_KEY_URI
Substitua
EXTERNAL_KEY_URIpelo URI da chave externa.Para versões de chaves simétricas, adicione a flag
--primarypara definir a nova versão da chave como a versão principal.