Utilizza le chiavi di crittografia gestite dal cliente

Per impostazione predefinita, Vertex AI Workbench cripta i contenuti inattivi dei clienti. Vertex AI Workbench gestisce la crittografia per te senza ulteriori azioni da parte tua. Questa opzione è denominata crittografia predefinita di Google.

Se vuoi controllare le chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con i servizi integrati con CMEK, incluso Vertex AI Workbench. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione , la località, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. Con Cloud KMS puoi anche visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece di Google, sei tu ad avere la proprietà e la gestione delle chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.

Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse di Vertex AI Workbench è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Questa pagina descrive alcuni vantaggi e limitazioni specifici dell'utilizzo di CMEK con i notebook gestiti e mostra come configurare una nuova istanza di notebook gestiti per utilizzare CMEK.

Vantaggi di CMEK

In generale, CMEK è più utile se hai bisogno del controllo completo delle chiavi utilizzate per criptare i tuoi dati. Con CMEK, puoi gestire le chiavi all'interno di Cloud Key Management Service. Ad esempio, puoi ruotare o disattivare una chiave oppure puoi configurare una pianificazione della rotazione utilizzando l'API Cloud KMS.

Quando esegui un'istanza di notebook gestiti, l'istanza viene eseguita in un'infrastruttura di calcolo gestita da Google. Quando abiliti CMEK per un'istanza di notebook gestiti, Vertex AI Workbench utilizza la chiave che hai designato, anziché una chiave gestita da Google, per criptare i dati utente.

La chiave CMEK non cripta i metadati, come il nome e la regione dell'istanza, associati all'istanza di notebook gestiti. I metadati associati alle istanze di notebook gestiti vengono sempre criptati utilizzando il meccanismo di crittografia predefinito di Google.

Limitazioni di CMEK

Per ridurre la latenza e prevenire i casi in cui le risorse dipendono da servizi distribuiti su più domini di errore, Google consiglia di proteggere le istanze di notebook gestiti regionali con chiavi nella stessa località.

  • Puoi criptare le istanze di notebook gestiti regionali utilizzando le chiavi nella stessa località o nella località globale. Ad esempio, puoi criptare i dati utente nella regione us-west1 utilizzando una chiave in us-west1 o global.
  • La configurazione di CMEK per i notebook gestiti non configura automaticamente CMEK per altri Google Cloud prodotti che utilizzi. Per utilizzare CMEK per criptare i dati in altri Google Cloud prodotti, devi completare una configurazione aggiuntiva.

Configurare CMEK per l'istanza di notebook gestiti

Le sezioni seguenti descrivono come creare un keyring e una chiave in Cloud Key Management Service, concedere al account di servizio le autorizzazioni di crittografia e decrittografia per la chiave e creare un'istanza di notebook gestiti che utilizza CMEK.

Prima di iniziare

Ti consigliamo di utilizzare una configurazione che supporti la separazione dei compiti. Per configurare CMEK per i notebook gestiti, puoi utilizzare due progetti separati Google Cloud

  • Un progetto Cloud KMS: un progetto per la gestione della chiave di crittografia
  • Un progetto di notebook gestiti: un progetto per accedere a istanze di notebook gestiti e interagire con altri prodotti Google Cloud necessari per il tuo caso d'uso

In alternativa, puoi utilizzare un singolo Google Cloud progetto. Per farlo, utilizza lo stesso progetto per tutte le attività seguenti.

Configurare il progetto Cloud KMS

  1. Accedi al tuo Google Cloud account. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Cloud KMS API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Cloud KMS API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

Configurare il progetto di notebook gestiti

  1. Accedi al tuo Google Cloud account. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Notebooks API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

Configurare Google Cloud CLI

gcloud CLI è obbligatorio per alcuni passaggi di questa pagina e facoltativo per altri.

Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il comando seguente: 

gcloud init

Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

Creare un keyring e una chiave

Quando crei un keyring e una chiave, tieni presente i seguenti requisiti:

  • Quando scegli la località del keyring, utilizza global o la località in cui si troverà l'istanza di notebook gestiti.

  • Assicurati di creare il keyring e la chiave nel progetto Cloud KMS.

Per creare un keyring e una chiave, consulta Creare chiavi di crittografia simmetriche.

Concedere le autorizzazioni per i notebook gestiti

Se configuri l'istanza con l'accesso a un singolo utente , devi concedere al progetto dell'istanza di notebook gestiti l'autorizzazione a criptare e decriptare i dati utilizzando la chiave. Concedi questa autorizzazione all'agente di servizio del progetto . L'indirizzo email di questo agente di servizio ha il seguente formato:

service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com

Sostituisci NOTEBOOKS_PROJECT_NUMBER con il numero del progetto per il progetto dell'istanza di notebook gestiti.

Prendi nota dell'indirizzo email dell'agente di servizio. Lo utilizzerai nei passaggi seguenti per concedere al progetto dell'istanza di notebook gestiti l'autorizzazione a criptare e decriptare i dati utilizzando la chiave. Puoi concedere l'autorizzazione utilizzando la Google Cloud console o utilizzando Google Cloud CLI.

Console

  1. Nella Google Cloud console, vai alla pagina Gestione delle chiavi.

    Vai a Gestione delle chiavi

  2. Seleziona il progetto Cloud KMS.

  3. Fai clic sul nome del keyring che hai creato in Creare un keyring e una chiave. Viene visualizzata la pagina Dettagli keyring.

  4. Seleziona la casella di controllo per la chiave che hai creato in Creare un keyring e una chiave. Se un riquadro informazioni etichettato con il nome della chiave non è già aperto, fai clic su Mostra riquadro informazioni.

  5. Nel riquadro informazioni, fai clic su  Aggiungi membro. Viene visualizzata la finestra di dialogo Aggiungi membri a "KEY_NAME". In questa finestra di dialogo, procedi nel seguente modo:

    1. Nel campo Nuovi membri, inserisci l'indirizzo email dell'agente di servizio di cui hai preso nota nella sezione precedente.

    2. Nell'elenco Seleziona un ruolo, fai clic su Cloud KMS e poi seleziona il ruolo Cloud KMS CryptoKey Encrypter/Decrypter.

    3. Fai clic su Salva.

gcloud

  1. Esegui il comando seguente per concedere al service agent l'autorizzazione a criptare e decriptare i dati utilizzando la chiave:

    gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring=KEY_RING_NAME \
    --location=REGION \
    --project=KMS_PROJECT_ID \
    --member=serviceAccount:EMAIL_ADDRESS \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

    Sostituisci quanto segue:

    • KEY_NAME: il nome della chiave che hai creato in Creare un keyring e una chiave
    • KEY_RING_NAME: il keyring che hai creato in Creare un keyring e una chiave
    • REGION: la regione in cui hai creato il keyring
    • KMS_PROJECT_ID: l'ID del progetto Cloud KMS
    • EMAIL_ADDRESS: l'indirizzo email dell'agente di servizio di cui hai preso nota nella sezione precedente

Creare un'istanza di notebook gestiti con CMEK

Dopo aver concesso all'istanza di notebook gestiti l'autorizzazione a criptare e decriptare i dati utilizzando la chiave, puoi creare un'istanza di notebook gestiti che cripta i dati utilizzando questa chiave. Segui questi passaggi:

  1. Nella Google Cloud console, vai alla pagina Notebook gestiti.

    Vai a Notebook gestiti

  2. Fai clic su  Nuovo blocco note.

  3. Nel campo Nome blocco note, inserisci un nome per l'istanza.

  4. Fai clic sull'elenco Regione e seleziona una regione per l'istanza.

  5. Fai clic su Impostazioni avanzate.

  6. Nella sezione Crittografia disco , seleziona Chiave di crittografia gestita dal cliente (CMEK).

  7. Fai clic su Seleziona una chiave gestita dal cliente.

    • Se la chiave gestita dal cliente che vuoi utilizzare è nell'elenco, selezionala.

    • Se la chiave gestita dal cliente che vuoi utilizzare non è nell'elenco, inserisci l'ID risorsa della chiave gestita dal cliente. L'ID risorsa della chiave gestita dal cliente ha il seguente aspetto:

        projects/NOTEBOOKS_PROJECT_NUMBER/locations/global/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME

      Sostituisci quanto segue:

  8. Completa il resto della finestra di dialogo Crea un notebook gestito in base alle tue esigenze.

  9. Fai clic su Crea.

  10. Vertex AI Workbench crea un'istanza di notebook gestiti in base alle proprietà specificate e la avvia automaticamente. Quando l'istanza è pronta per l'uso, Vertex AI Workbench attiva un link Apri JupyterLab.

Passaggi successivi