Por padrão, o Google Cloud Observability criptografa o conteúdo do cliente em repouso. O Google Cloud Observability processa a criptografia para você sem que você precise fazer nada. Essa opção é chamada de criptografia padrão do Google.
Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o Google Cloud Observability. Ao usar chaves do Cloud KMS, é possível controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. Com o Cloud KMS, também é possível visualizar registros de auditoria e controlar ciclos de vida de chaves. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.
Depois de configurar os recursos com CMEKs, a experiência de acesso aos seus recursos do Google Cloud Observability é semelhante à criptografia padrão do Google. Para saber mais sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).
O Google Cloud Observability pode usar CMEKs para criptografar dados armazenados em buckets de observabilidade. Esses buckets armazenam seus dados de rastreamento. Este documento lista as políticas da organização com suporte, apresenta as configurações padrão para buckets de observabilidade e descreve como as políticas da organização e as configurações padrão interagem.
Este documento não se aplica ao Cloud Logging, que pode criptografar dados armazenados em buckets de registro com CMEKs. Para mais informações, consulte Configurar CMEKs para o Cloud Logging.
Restrições de políticas da organização com suporte
Para controlar onde os buckets de observabilidade são criados e quem gerencia as chaves de criptografia desses buckets, talvez seja necessário configurar as seguintes políticas da organização:
Uma política com um ID de restrição
constraints/gcp.resourceLocations. Essa política define o conjunto de locais em que novos recursos podem ser criados. Para usar buckets de observabilidade, esse conjunto de locais precisa incluir pelo menos um local de buckets de observabilidade com suporte.Uma política
Denycom o ID de restriçãoconstraints/gcp.restrictNonCmekServices. Essa política exige que novos recursos sejam criptografados com CMEKs.Uma política com o ID de restrição
constraints/gcp.restrictCmekCryptoKeyProjects. Essa política limita quais chaves do Cloud Key Management Service são usadas para criptografia.
É possível criar políticas da organização que se aplicam no nível da organização, da pasta ou do projeto. Para mais informações, consulte Como criar e editar políticas.
Sobre as configurações padrão para buckets de observabilidade
O Google Cloud Observability oferece configurações padrão para buckets de observabilidade, que são aplicadas a um projeto, pasta ou organização. Essas configurações padrão funcionam com as políticas da organização para garantir que novos buckets de observabilidade estejam no local de sua preferência e usem o modelo de criptografia especificado.
Para organizações, pastas e projetos, as configurações padrão para buckets de observabilidade permitem configurar o seguinte:
- Um local de armazenamento padrão.
- Para cada local, uma chave padrão do Cloud Key Management Service.
Quando configuradas para um projeto, essas configurações se aplicam apenas a novos buckets de observabilidade criados nesse projeto. Quando configuradas para uma pasta ou organização, essas configurações se aplicam a novos buckets de observabilidade criados em projetos descendentes da pasta ou organização, exceto para aqueles em que você configurou as configurações padrão.
Para saber mais, consulte Definir padrões para buckets de observabilidade.Como as políticas da organização e as configurações padrão interagem
O pai de um bucket de observabilidade precisa ser um projeto. Ou seja, o sistema não pode criar um bucket de observabilidade em uma pasta ou em uma organização. No entanto, se você configurar as configurações padrão para buckets de observabilidade para uma organização ou pasta, essas configurações padrão serão aplicadas a todos os projetos descendentes dessa organização ou pasta.
A tabela a seguir lista as regras que o sistema usa para determinar o local de um novo bucket de observabilidade:
| Usar a política da organização para restringir o local |
O projeto (ou ancestral) tem um local de armazenamento padrão |
Como o sistema determina o local de um novo bucket de observabilidade |
|---|---|---|
| Não | Não | O sistema seleciona o local entre os locais com suporte para buckets de observabilidade. |
| Sim | Não | O sistema seleciona o local da interseção dos locais permitidos pelas políticas da organização e dos buckets de observabilidade com suporte. Se a interseção estiver vazia, o sistema não vai criar o bucket de observabilidade. |
| Não | Sim | O sistema define o local como o local de armazenamento padrão definido nas configurações padrão do projeto. Se o projeto não definir um local de armazenamento padrão, o sistema usará o local de armazenamento padrão definido para um ancestral. |
| Sim | Sim | O sistema define o local como o local de armazenamento padrão definido nas configurações padrão do projeto. Se o projeto não definir um local de armazenamento padrão, o sistema usará o local de armazenamento padrão do ancestral. Se o local de armazenamento padrão não for permitido pelas políticas da organização, o sistema não vai criar o bucket de observabilidade. |
A tabela a seguir lista as regras que o sistema usa para determinar se um novo bucket de observabilidade usa CMEKs e, em caso afirmativo, o valor da chave do Cloud KMS. Para criptografar um bucket de observabilidade, uma chave do Cloud KMS precisa estar no local do bucket e ser permitida pelas políticas da organização. Se você não especificar uma política da organização com a restrição gcp.restrictCmekCryptoKeyProjects, todas as chaves serão permitidas:
| Usar a política da organização para exigir CMEKs |
O projeto (ou ancestral) tem uma chave padrão do Cloud KMS |
Como o sistema determina qual chave do Cloud KMS usar. |
|---|---|---|
| Não | Não | O bucket de observabilidade não usa CMEKs. |
| Sim | Não | O sistema não cria novos buckets de observabilidade porque a política da organização exige CMEKs, mas uma chave padrão do Cloud KMS não está definida. |
| Não | Sim | Para identificar uma chave para criptografia, o sistema primeiro determina se um local de armazenamento padrão está definido para o projeto ou para um dos ancestrais dele. Caso contrário, o sistema seleciona um local e cria o bucket de observabilidade. O bucket não usa uma CMEK. Se um local de armazenamento padrão for encontrado, o sistema vai pesquisar as configurações padrão do projeto uma chave padrão do Cloud KMS. Se as configurações padrão do projeto não especificarem uma chave adequada, o sistema vai pesquisar nas configurações padrão do ancestral uma chave padrão que esteja no local do novo bucket. Uma das seguintes situações ocorre:
|
| Sim | Sim | Para identificar uma chave para criptografia, o sistema primeiro determina se um local de armazenamento padrão está definido para o projeto ou para um dos ancestrais dele. Se um local de armazenamento padrão não estiver definido, então o sistema não vai criar o novo bucket de observabilidade Se um local de armazenamento padrão for encontrado, o sistema vai pesquisar as configurações padrão do projeto uma chave padrão do Cloud KMS. Se as configurações padrão do projeto não especificarem uma chave adequada, o sistema vai pesquisar nas configurações padrão do ancestral uma chave padrão que esteja no local do novo bucket. Uma das seguintes situações ocorre:
|
Limitações
Quando o sistema cria um bucket de observabilidade, o modelo de criptografia é definido como criptografia padrão do Google ou criptografia gerenciada pelo cliente. Depois que o bucket existir, não será possível mudar o modelo de criptografia.
A seguir
Definir padrões para buckets de observabilidade descreve como definir um local de armazenamento padrão e uma chave padrão do Cloud KMS para seus buckets de observabilidade.
Configurar as configurações de recursos padrão para o Cloud Logging e Configurar CMEKs para o Cloud Logging descrevem como definir um local de armazenamento padrão e uma chave padrão do Cloud KMS para seus buckets de registro.