Esta página descreve como integrar o Cloud HSM para Google Workspace (CHGWS, na sigla em inglês), o serviço de chaves de criptografia para o Google Workspace oferecido pelo Cloud Key Management Service (Cloud KMS). O Cloud HSM para Google Workspace oferece controles de privacidade aprimorados para o Google Workspace, ajudando você a alcançar padrões regulatórios como o DISA IL5 e aumentar segurança de dados. O Cloud HSM é um serviço de gerenciamento de chaves alinhado a padrões, altamente disponível e totalmente gerenciado, operado em escala de nuvem com chaves protegidas por hardware armazenadas em HSMs (módulos de segurança de hardware) compatíveis com o FIPS 140-2 de nível 3.
O CHGWS é compatível com chaves do Cloud HSM multilocatário e do Cloud HSM de locatário único.
Para mais informações, consulte Cloud HSM para Google Workspace.
Antes de começar
Antes de integrar o Cloud HSM para Google Workspace, conclua os seguintes pré-requisitos:
- Configure um Google Workspace.
- Ative a criptografia do lado do cliente Google Workspace (CSE) no seu Google Workspace.
- Configure seu provedor de identidade (IdP) na CSE do Google Workspace. Anote o ID do cliente do seu IdP. Se você usa o Google Identity Platform, encontre o ID do cliente no seu Google Cloud projeto.
- Opcional: se você permitir o acesso a conteúdo criptografado por CSE em aplicativos de plataforma que não sejam da Web (como dispositivos móveis ou computadores), adicione os IDs do cliente dessas plataformas nas configurações do IdP no Admin Console do Google Workspace. Anote todos os IDs do cliente para esse IdP. Se você usa o Google Identity Platform, encontre esses IDs do cliente no seu Google Cloud projeto. Para outros provedores de identidade, crie esses IDs do cliente separadamente.
Locais compatíveis
É possível armazenar as chaves do Cloud KMS em qualquer local regional ou multirregional nas áreas geográficas dos EUA ou da Europa. O Cloud HSM para Google Workspace oferece suporte a chaves do Cloud HSM multilocatário e do Cloud HSM de locatário único. Para encontrar um local específico, acesse Locais do Cloud KMS e filtre pelo tipo de HSM.
O Cloud HSM para Google Workspace fornece automaticamente o endpoint em uma das seguintes multirregiões mais próximas do local da chave:
- us
- eur3
Configurar um Google Cloud projeto para o Cloud KMS
Os endpoints do Cloud HSM para Google Workspace dependem das chaves do Cloud KMS para operações criptográficas. Configure um novo Google Cloud projeto para hospedar as chaves do Cloud KMS.
Criar um Google Cloud projeto. Esse é o projeto de chave. Anote o ID do projeto e o número do projeto. Você vai precisar deles para concluir a configuração.
Ative a API Cloud KMS no seu Google Cloud projeto de chave.
No Google Cloud console do, clique em terminal Ativar o Cloud Shell.
Verifique se você está no projeto correto comparando o ID do projeto com o ID do projeto no prompt do Cloud Shell.
Usando o Cloud Shell, crie a conta de serviço do Cloud HSM para Google Workspace:
gcloud beta services identity create \ --service=cloudkmskacls-pa.googleapis.comAnote a identidade de serviço criada por esse comando. Você vai precisar do nome da identidade de serviço na próxima etapa.
Conceda o papel Agente de serviço de chave CHGWS à conta de serviço que você criou:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \ --role=roles/cloudkmskacls.serviceAgentSubstitua:
PROJECT_ID: o ID do projeto de chave.PROJECT_NUMBER: o número do projeto de chave.
Gerenciar o endpoint de serviço do CHGWS
As seções a seguir mostram como configurar e gerenciar os endpoints do CHGWS.
Configurar chaves do Cloud KMS
Configure os recursos do Cloud KMS para o endpoint de serviço de chave do CHGWS.
Crie um keyring em uma das regiões aceitas:
gcloud kms keyrings create KEY_RING --location LOCATION- Substitua
KEY_RINGpelo nome que você quer usar para o keyring do CHGWS, por exemplo,CHGWS_KEY_RING. - Substitua
LOCATIONpelo local em que você quer criar o keyring, por exemplo,us.
- Substitua
Crie uma chave do Cloud HSM.
Cloud HSM multilocatário
Para criar uma chave com o nível de proteção
hsm:gcloud kms keys create KEY_NAME \ --protection-level "hsm" \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIMESubstitua:
KEY_NAME: o nome que você quer usar para a chave, por exemplo,CHGWS_KEY.KEY_RING: o nome do seu key ring, por exemplo,CHGWS_KEY_RING.LOCATION: o local em que você criou o keyring, por exemplo,us.ROTATION_PERIOD: a frequência com que você quer girar as chaves, por exemplo,7d.NEXT_ROTATION_TIME: a data e a hora em que a próxima rotação de chaves ocorre, por exemplo,2024-03-20T01:00:00.
Cloud HSM de locatário único
Para criar uma chave com o nível de proteção
hsm_single_tenant, primeiro é necessário provisionar uma instância do Cloud HSM de locatário único no mesmo local.Criar e provisionar uma instância do Cloud HSM de locatário único: siga as instruções no guia Criar e gerenciar uma instância do Cloud HSM de locatário único. Anote o ID da instância provisionada. Você precisará dele na próxima etapa.
Criar uma chave :
gcloud kms keys create KEY_NAME \ --protection-level "hsm_single_tenant" \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --crypto-key-backend "projects/PROJECT_ID/locations/LOCATION/singleTenantHsmInstances/INSTANCE_NAME" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIMESubstitua:
KEY_NAME: o nome que você quer usar para a chave, por exemplo,CHGWS_KEY.KEY_RING: o nome do seu key ring, por exemplo,CHGWS_KEY_RING.LOCATION: o local em que você criou o keyring, por exemplo,us.PROJECT_ID: o ID do projeto de chave.INSTANCE_NAME: o nome da instância do Cloud HSM de locatário único em que você quer criar a chave.ROTATION_PERIOD: a frequência com que você quer girar as chaves, por exemplo,7d.NEXT_ROTATION_TIME: a data e a hora em que a próxima rotação de chaves ocorre, por exemplo,2024-03-20T01:00:00.
Para mais detalhes sobre as opções de criação de chaves, consulte Como criar chaves.
Solicitar integração e criação de endpoints
Para solicitar a integração e a criação de endpoints, entre em contato com o representante da sua conta para receber ajuda com o envio de uma solicitação de integração de endpoints. Na solicitação, inclua as seguintes informações:
Detalhes do Google Workspace
ID do Google Workspace: seu ID do Google Workspace. Para encontrar seu ID do Google Workspace, siga as instruções em Encontrar seu ID do cliente.
Endereços de e-mail do administrador do Google Workspace: forneça uma lista separada por vírgulas de endereços de e-mail do administrador.
Detalhes do provedor de identidade (IdP)
Detalhes do provedor de identidade (IdP) principal:
- URL do conjunto de chaves da Web JSON (JWKS) do IdP: para o Google Identity Platform, use
https://www.googleapis.com/oauth2/v3/certs. - Emissor de token JSON Web Token (JWT): para o Google Identity Platform, use
https://accounts.google.com. - Público-alvo do JWT: o ID do cliente do seu IdP para aplicativos da Web.
- Outros públicos-alvo do JWT: opcional. Forneça IDs do cliente para aplicativos de plataforma que não sejam da Web, se configurados. Para o Google Identity Platform, use os IDs do cliente fornecidos em Se você vai usar a identidade do Google para a CSE.
- URL do conjunto de chaves da Web JSON (JWKS) do IdP: para o Google Identity Platform, use
Detalhes do IdP convidado: opcional. Preencha esta seção se você estiver usando um IdP convidado.
- URL do JWKS do IdP convidado: o URL do JWKS do seu IdP convidado.
- Emissor de token JWT convidado: o emissor de token JWT do seu IdP convidado.
- Público-alvo do JWT convidado: o ID do cliente do seu IdP convidado para aplicativos da Web, exceto o Google Meet.
- Outros públicos-alvo do JWT convidado: opcional. Se você configurar um ID do cliente da Web do Google Meet ou outros IDs do cliente de aplicativos de plataforma que não sejam da Web, forneça IDs do cliente para cada um deles. Para o Google Identity Platform, use os IDs do cliente fornecidos em Se você vai usar a identidade do Google para a CSE.
Detalhes da chave da CSE
- ID do projeto do Google Cloud:
PROJECT_ID - Número do projeto do Google Cloud:
PROJECT_NUMBER - Nome do keyring do Cloud KMS:
KEY_RING - Local do keyring do Cloud KMS:
LOCATION - Nome da chave do Cloud KMS:
KEY_NAME - Nível de proteção da chave do Cloud KMS: precisa ser
hsmouhsm_single_tenant - URL base do CHGWS: opcional. Uma lista de URLs para ativar a migração de chaves. Se você estiver configurando o CHGWS pela primeira vez para esse Google Workspace, deixe esse campo em branco.
- ID do projeto do Google Cloud:
Mais detalhes
- Nome do cliente: forneça o nome do cliente.
- Número esperado de usuários: forneça o número esperado de usuários na sua instância do Google Workspace.
Configurar o endpoint do CHGWS na CSE do Google Workspace
Configure a CSE do Google Workspace para usar o URL do CHGWS gerado quando você criou o endpoint do CHGWS. Siga as instruções em Adicionar e gerenciar serviços de chaves para a criptografia do lado do cliente.
Migrar endpoints
O CHGWS oferece flexibilidade para mover o serviço de chaves para ou do CHGWS. Para iniciar uma migração do CHGWS, entre em contato com o representante da sua conta para receber ajuda com o envio de uma solicitação de migração. Na solicitação, inclua as seguintes informações:
- ID do endpoint: o ID do endpoint do CHGWS.
- URL base do CHGWS: uma lista de URLs para ativar a migração de chaves do CHGWS.
- Se você migrar para o Cloud HSM para Google Workspace, forneça o URL base de cada endpoint do CHGWS de que você está migrando.
- Se você migrar do Cloud HSM para Google Workspace, forneça os URLs base dos endpoints do CHGWS para os quais você quer migrar.
Se você migrar entre dois endpoints diferentes do Cloud HSM para Google Workspace, envie duas solicitações separadas: uma do endpoint anterior e a outra para o novo endpoint.
Excluir ou desativar endpoints
As operações de exclusão ou desativação no endpoint do Cloud HSM para Google Workspace não são aceitas diretamente. No entanto, é possível desativar um endpoint do Cloud HSM para Google Workspace desativando todas as versões de chaves do Cloud KMS de apoio.
Para cada versão de chave do Cloud KMS que oferece suporte ao endpoint, execute o seguinte comando:
gcloud kms keys versions disable KEY_VERSION --keyring \ KEY_RING --location LOCATION --key KEY_NAMESubstitua:
KEY_VERSION: a versão da chave que você quer desativar, por exemplo,1.KEY_RING: o nome do keyring, por exemplo,CHGWS_KEY_RING.LOCATION: o local em que você quer desativar, por exemplo,us.KEY_NAME: o nome da chave, por exemplo,CHGWS_KEY.
Ativar endpoints
Se você desativou um endpoint do CHGWS desativando todas as versões de chaves da chave do Cloud KMS de apoio, poderá reativar o endpoint do CHGWS. Para reativar o endpoint, ative todas as versões ativas da chave do Cloud KMS de apoio usando o seguinte comando da CLI gcloud:
Para cada versão de chave do Cloud KMS que oferece suporte ao endpoint, execute o seguinte comando:
gcloud kms keys versions enable KEY_VERSION --keyring \ KEY_RING --location LOCATION --key KEY_NAMESubstitua:
KEY_VERSION: a versão da chave que você quer ativar, por exemplo,1.KEY_RING: o nome do keyring, por exemplo,CHGWS_KEY_RING.LOCATION: o local em que você quer ativar, por exemplo,us.KEY_NAME: o nome da chave, por exemplo,CHGWS_KEY.
Gerenciar o faturamento do CHGWS
O faturamento começa assim que você recebe o endpoint do CHGWS solicitado na sua solicitação de integração. A partir desse momento, as cobranças de assinatura recorrentes do Cloud HSM para Google Workspace continuam enquanto o faturamento permanecer ativado no Google Cloud projeto, mesmo que você desative o endpoint do CHGWS. Esta seção explica como interromper e retomar as cobranças do Cloud HSM para Google Workspace.
Desativar/ativar o faturamento do projeto
É possível desativar o faturamento do projeto que contém suas chaves do Cloud KMS para o Cloud HSM para Google Workspace. A desativação do faturamento faz com que todos os serviços sujeitos a cobrança no projeto parem de funcionar. Depois que o faturamento no nível do projeto for desativado, as cobranças de assinatura do Cloud HSM para Google Workspace vão parar em até 24 horas.
Quando quiser retomar o uso do Cloud HSM para Google Workspace, você poderá reativar o faturamento no projeto. Depois que o faturamento for reativado, as taxas de assinatura serão retomadas e o endpoint do CHGWS e as chaves do Cloud KMS vão funcionar normalmente de novo.
Solicitar desativação ou ativação manual
Se você precisar desativar o endpoint do CHGWS, mas manter outros recursos do projeto ativos, registre uma solicitação semelhante à solicitação de integração. Forneça detalhes do Google Workspace, ID do endpoint do CHGWS e outros detalhes relevantes e descreva sua exigência. Os tíquetes manuais podem levar 48 horas para serem concluídos pela equipe do CHGWS. Depois que a solicitação for concluída, as cobranças de assinatura do Cloud HSM para Google Workspace vão parar em até 24 horas.
É possível reativar o endpoint do CHGWS e o faturamento dele criando uma solicitação semelhante.
Excluir ou restaurar o projeto
É possível excluir o projeto que contém as chaves do Cloud KMS para o Cloud HSM para Google Workspace. A exclusão de um projeto interrompe todos os serviços dele. É possível recuperar um projeto excluído em até 30 dias após a exclusão. No entanto, as chaves do Cloud KMS no projeto não podem ser recuperadas. Portanto, todos os documentos e outros dados criptografados com chaves no projeto restaurado permanecem permanentemente criptografados. A restauração de um projeto excluído retoma as cobranças de assinatura do Cloud HSM para Google Workspace, mesmo que as chaves do Cloud KMS permaneçam irrecuperáveis.
A seguir
- Saiba mais sobre Cloud HSM para Google Workspace.
- Saiba mais sobre Cloud Key Management Service.
- Saiba como adicionar e gerenciar serviços de chaves para a criptografia do lado do cliente.