Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Supporto per le CMEK

Per impostazione predefinita, Google Cloud Observability cripta i contenuti inattivi dei clienti. Google Cloud Observability gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata crittografia predefinita di Google.

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con servizi integrati con CMEK, tra cui Google Cloud Observability. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la località, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. Con Cloud KMS puoi inoltre visualizzare i log di controllo e controllare i cicli di vita delle chiavi. Invece di Google, sei tu ad avere la proprietà e la gestione delle chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.

Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse Google Cloud Observability è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Google Cloud Observability può utilizzare le CMEK per criptare i dati archiviati nei bucket di osservabilità. Questi bucket archiviano i dati di traccia. Questo documento elenca i criteri dell'organizzazione supportati, introduce le impostazioni predefinite per i bucket di osservabilità e descrive come interagiscono i criteri dell'organizzazione e le impostazioni predefinite.

Questo documento non si applica a Cloud Logging, che può criptare i dati archiviati nei bucket di log con le CMEK. Per saperne di più, consulta Configura le chiavi CMEK per Cloud Logging.

Vincoli dei criteri dell'organizzazione supportati

Per controllare dove vengono creati i bucket di osservabilità e chi gestisce le chiavi di crittografia per questi bucket, ti consigliamo di configurare i seguenti criteri dell'organizzazione:

Una policy con un ID vincolo constraints/gcp.resourceLocations. Questi criteri definiscono l'insieme di località in cui è possibile creare nuove risorse. Per utilizzare i bucket di osservabilità, questo insieme di posizioni deve includere almeno una posizione dei bucket di osservabilità supportata.
Un criterio Deny con l'ID vincolo constraints/gcp.restrictNonCmekServices. Questa policy richiede che le nuove risorse siano criptate con chiavi CMEK.
Una policy con l'ID vincolo constraints/gcp.restrictCmekCryptoKeyProjects. Questo criterio limita le chiavi di Cloud Key Management Service utilizzate per la crittografia.

Puoi creare policy dell'organizzazione che vengono applicate a livello di organizzazione, cartella o progetto. Per saperne di più, consulta la pagina Creare e modificare le policy.

Informazioni sulle impostazioni predefinite per i bucket di osservabilità

Google Cloud Observability fornisce impostazioni predefinite per i bucket di osservabilità, che vengono applicate a un progetto, una cartella o un'organizzazione. Queste impostazioni predefinite funzionano insieme alle policy dell'organizzazione per garantire che i nuovi bucket di osservabilità si trovino nella posizione che preferisci e utilizzino il modello di crittografia specificato.

Per organizzazioni, cartelle e progetti, le impostazioni predefinite per i bucket di osservabilità consentono di configurare quanto segue:

Una posizione di archiviazione predefinita.
Per ogni località, una chiave Cloud Key Management Service predefinita.

Se configurate per un progetto, queste impostazioni si applicano solo ai nuovi bucket di osservabilità creati in quel progetto. Se configurate per una cartella o un'organizzazione, queste impostazioni vengono applicate ai nuovi bucket di osservabilità creati nei progetti discendenti della cartella o dell'organizzazione, ad eccezione di quelli in cui hai configurato le impostazioni predefinite.

Per saperne di più, consulta Imposta i valori predefiniti per i bucket di osservabilità.

Interazione tra criteri dell'organizzazione e impostazioni predefinite

Il progetto padre di un bucket di osservabilità deve essere un progetto. ovvero il sistema non può creare un bucket di osservabilità in una cartella o in un'organizzazione. Tuttavia, se configuri le impostazioni predefinite per i bucket di osservabilità per un'organizzazione o una cartella, queste impostazioni predefinite si applicano a tutti i progetti discendenti di quell'organizzazione o cartella.

La tabella seguente elenca le regole utilizzate dal sistema per determinare la posizione di un nuovo bucket di osservabilità:

Utilizza il criterio dell'organizzazione per limitare la posizione	Il progetto (o il progetto padre) ha una località di archiviazione predefinita	Come il sistema determina la posizione di un nuovo bucket di osservabilità
No	No	Il sistema seleziona la posizione tra quelle supportate per i bucket di osservabilità.
Sì	No	Il sistema seleziona la località dall'intersezione delle località consentite dalle policy dell'organizzazione e di quelle supportate dai bucket di osservabilità. Se l'intersezione è vuota, il sistema non crea il bucket di osservabilità.
No	Sì	Il sistema imposta la località sulla località di archiviazione predefinita definita nelle impostazioni predefinite del progetto. Se il progetto non definisce una posizione di archiviazione predefinita, il sistema utilizza la posizione di archiviazione predefinita definita per un predecessore.
Sì	Sì	Il sistema imposta la località sulla località di archiviazione predefinita definita nelle impostazioni predefinite del progetto. Se il progetto non definisce una località di archiviazione predefinita, il sistema utilizza la località di archiviazione predefinita dell'elemento principale. Se la posizione di archiviazione predefinita non è consentita dalle policy dell'organizzazione, il sistema non crea il bucket di osservabilità.

La tabella seguente elenca le regole utilizzate dal sistema per determinare se un nuovo bucket di osservabilità utilizza CMEK e, in caso affermativo, il valore della chiave Cloud KMS. Per criptare un bucket di osservabilità, una chiave Cloud KMS deve trovarsi nella posizione del bucket ed essere consentita dalle policy dell'organizzazione. Se non specifichi un criterio dell'organizzazione con il vincolo gcp.restrictCmekCryptoKeyProjects, sono consentite tutte le chiavi:

Utilizza la policy dell'organizzazione per richiedere le chiavi CMEK	Il progetto (o un progetto padre) ha una chiave Cloud KMS predefinita	Come il sistema determina quale chiave Cloud KMS utilizzare.
No	No	Il bucket di osservabilità non utilizza CMEK.
Sì	No	Il sistema non crea nuovi bucket di osservabilità perché la policy dell'organizzazione richiede le CMEK, ma non è definita una chiave Cloud KMS predefinita.
No	Sì	Per identificare una chiave per la crittografia, il sistema determina innanzitutto se è impostata una località di archiviazione predefinita per il progetto o per uno dei suoi antenati. In caso contrario, il sistema seleziona una località e crea il bucket di osservabilità. Il bucket non utilizza una chiave CMEK. Se viene trovata una località di archiviazione predefinita, il sistema cerca una chiave Cloud KMS predefinita nelle impostazioni predefinite del progetto. Se le impostazioni predefinite del progetto non specificano una chiave appropriata, il sistema cerca nelle impostazioni predefinite dell'elemento padre una chiave predefinita che si trova nella posizione del nuovo bucket. Si verifica uno dei seguenti casi: Non viene trovata una chiave: Il nuovo bucket di osservabilità non utilizza una chiave CMEK. Viene trovata una chiave consentita: il sistema crea il bucket di osservabilità. È stata trovata una chiave, ma non è consentita: Il sistema non crea il nuovo bucket di osservabilità.
Sì	Sì	Per identificare una chiave per la crittografia, il sistema determina innanzitutto se è impostata una località di archiviazione predefinita per il progetto o per uno dei suoi antenati. Se non è impostata una località di archiviazione predefinita, il sistema non crea il nuovo bucket di osservabilità Se viene trovata una località di archiviazione predefinita, il sistema cerca una chiave Cloud KMS predefinita nelle impostazioni predefinite del progetto. Se le impostazioni predefinite del progetto non specificano una chiave appropriata, il sistema cerca nelle impostazioni predefinite dell'elemento padre una chiave predefinita che si trova nella posizione del nuovo bucket. Si verifica uno dei seguenti casi: Non è stata trovata una chiave: Il nuovo bucket di osservabilità non viene creato. Viene trovata una chiave consentita: il sistema crea il bucket di osservabilità. È stata trovata una chiave, ma non è consentita: Il sistema non crea il nuovo bucket di osservabilità.

Limitazioni

Quando il sistema crea un bucket di osservabilità, il modello di crittografia è impostato su crittografia predefinita di Google o crittografia gestita dal cliente. Una volta creato il bucket, non puoi modificare il modello di crittografia.

Passaggi successivi

Imposta i valori predefiniti per i bucket di osservabilità descrive come impostare una posizione di archiviazione predefinita e una chiave Cloud KMS predefinita per i bucket di osservabilità.
Configura le impostazioni predefinite delle risorse per Cloud Logging e Configura le chiavi CMEK per Cloud Logging descrivono come impostare una posizione di archiviazione predefinita e una chiave Cloud KMS predefinita per i bucket di log.