Por predefinição, o Migrate to Virtual Machines encripta o conteúdo do cliente em repouso. A migração para máquinas virtuais processa a encriptação por si, sem ações adicionais da sua parte. Esta opção chama-se Encriptação predefinida da Google.
Se quiser controlar as suas chaves de encriptação, pode usar chaves de encriptação geridas pelo cliente (CMEK) no Cloud KMS com serviços integrados com CMEK, incluindo o Migrate to Virtual Machines. A utilização de chaves do Cloud KMS dá-lhe controlo sobre o respetivo nível de proteção, localização, programação de rotação, utilização, autorizações de acesso e limites criptográficos. A utilização do Cloud KMS também permite monitorizar a utilização das chaves, ver registos de auditoria e controlar os ciclos de vida das chaves. Em vez de a Google possuir e gerir as chaves de encriptação de chaves (KEKs) simétricas que protegem os seus dados, controla e gere estas chaves no Cloud KMS.
Depois de configurar os seus recursos com CMEKs, a experiência de acesso aos recursos do Migrate to Virtual Machines é semelhante à utilização da encriptação predefinida da Google. Para mais informações acerca das suas opções de encriptação, consulte o artigo Chaves de encriptação geridas pelo cliente (CMEK).
O Migrate to Virtual Machines usa CMEK para encriptar os seguintes dados:
- Dados armazenados internamente durante uma migração
- Dados em instâncias de máquinas virtuais (VMs) e discos de VM de destino
- Dados sobre discos de destino e imagens de máquinas
As secções seguintes descrevem estes cenários mais detalhadamente.
Use CMEK para encriptar dados armazenados durante uma migração
Para encriptar dados armazenados durante uma migração ou uma importação através da CMEK, tem de fornecer uma referência a uma chave do Cloud KMS quando cria uma origem de migração ou um recurso de importação, respetivamente. Para obter instruções sobre como usar a CMEK para encriptar dados durante uma migração de várias origens de migração, consulte os seguintes tópicos:
- Migração a partir de uma origem da AWS
- Migração a partir de uma origem do Azure
- Migração a partir de uma origem VMware
- Importe imagens de discos virtuais
- Importe imagens de máquinas
Use a CMEK para encriptar dados em instâncias de VM e discos de VM de destino
Para encriptar dados em instâncias de VMs e discos de VMs de destino através da CMEK, tem de fornecer uma referência a uma chave do Cloud KMS nos detalhes de destino. Para ver instruções sobre a definição das CMEK nos detalhes do destino, consulte os artigos Definir CMEK para instâncias de VM e Definir CMEK para discos de VM.
Use a CMEK para encriptar dados em discos de destino e imagens de máquinas
Para encriptar dados em discos de destino e imagens de máquinas com CMEK, tem de fornecer uma referência a uma chave do Cloud KMS nos detalhes de destino. Para obter instruções sobre a definição da CMEK nos detalhes do destino, consulte os artigos Importe uma imagem de disco virtual para o Compute Engine e Importe uma imagem de máquina para o Compute Engine.