Por padrão, o Migrate to Virtual Machines criptografa o conteúdo do cliente em repouso. O Migrate to Virtual Machines cuida da criptografia por você, sem qualquer intervenção sua. Essa opção é chamada de criptografia padrão do Google.
Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, como o Migrate to Virtual Machines. Ao usar chaves do Cloud KMS, é possível controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. Ao usar o Cloud KMS, é possível também monitorar o uso de chaves, ver registros de auditoria e controlar ciclos de vida de chaves. Em vez de o Google ser proprietário e responsável pelo gerenciamento das chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.
Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos do Migrate to Virtual Machines é semelhante à criptografia padrão do Google. Para saber mais sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).
O Migrate to Virtual Machines usa a CMEK para criptografar os seguintes dados:
- Dados armazenados internamente durante uma migração
- Dados em instâncias de máquina virtual (VM) e discos de VM de destino
- Dados em imagens de máquina e discos de destino
Nas próximas seções, descrevemos esses cenários com mais detalhes.
Usar CMEK para criptografar dados armazenados durante uma migração
Para criptografar dados armazenados durante uma migração ou importação usando CMEK, é preciso fornecer uma referência a uma chave do Cloud KMS ao criar uma origem de migração ou um recurso de importação, respectivamente. Se quiser instruções sobre como usar a CMEK para criptografar dados durante uma migração de várias origens, consulte os seguintes tópicos:
- Migração de uma origem da AWS
- Migração de uma origem do Azure
- Migração de uma origem da VMware
- Importar imagens do disco virtual
- Importar imagens de máquina
Usar CMEK para criptografar dados em instâncias de VM e discos de VM de destino
Para criptografar dados em instâncias de VM e discos de VM de destino usando CMEK, é preciso fornecer uma referência a uma chave do Cloud KMS nos detalhes do destino. Se quiser instruções sobre como definir CMEKs nos detalhes do destino, consulte Como configurar CMEK para instâncias de VM e Como configurar CMEK para discos de VM.
Usar CMEK para criptografar dados em imagens de máquina e discos de destino
Para criptografar dados em imagens de máquina e discos de destino usando CMEK, é preciso fornecer uma referência a uma chave do Cloud KMS nos detalhes do destino. Se quiser instruções sobre como definir CMEK nos detalhes do destino, consulte Importar uma imagem do disco virtual para o Compute Engine e Importar uma imagem de máquina para o Compute Engine.