Sebbene Google Cloud cripti i dati at-rest per impostazione predefinita utilizzando Google-owned and Google-managed encryption keys, puoi criptare i dati di valutazione di Workload Manager utilizzando le chiavi di crittografia gestite dal cliente (CMEK). CMEK ti consente di gestire la rotazione, l'accesso e i livelli di protezione delle chiavi per soddisfare requisiti specifici di sicurezza e conformità.
Questo documento descrive come configurare CMEK quando crei o aggiorni le valutazioni dei tipi di regole personalizzate e quando visualizzi i risultati della valutazione di Workload Manager.
Panoramica
Per impostazione predefinita, Workload Manager cripta i contenuti inattivi dei clienti at rest. Workload Manager gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata crittografia predefinita di Google.
Se vuoi controllare le chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con i servizi integrati con CMEK, incluso Workload Manager. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione , la località, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. Con Cloud KMS puoi inoltre visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece di Google, sei tu ad avere la proprietà e la gestione delle chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.
Dopo aver configurato le risorse con CMEK, l'esperienza di accesso alle risorse di Workload Manager è simile all'utilizzo della crittografia predefinita di Google. Per ulteriori informazioni sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).
Limitazioni
A Workload Manager si applicano le seguenti limitazioni per le crittografie CMEK:
CMEK è disponibile solo per le valutazioni dei tipi di regole personalizzate di Workload Manager. Altre funzionalità di Workload Manager, come le valutazioni SAP o il deployment, utilizzano la crittografia predefinita di Google perché non sono coinvolti contenuti dei clienti a riposo.
Workload Manager applica le chiavi CMEK solo allo spazio di archiviazione di proprietà di Workload Manager.
Prima di iniziare
Prima di poter utilizzare CMEK, devi creare una chiave Cloud Key Management Service e concedere le autorizzazioni richieste.
Creare chiavi automatizzate e una chiave.
Seleziona un progetto e segui la guida di Cloud KMS per creare chiavi simmetriche per creare una chiave automatizzata e una chiave. La località della chiave automatizzata deve corrispondere alla località della valutazione.
Tieni presente che Workload Manager supporta la chiave gestita esterna. Per ulteriori informazioni, consulta Cloud External Key Manager.
Concedere le autorizzazioni.
Per fornire l'accesso alla chiave Cloud KMS, concedi il ruolo
roles/cloudkms.cryptoKeyEncrypterDecrypterall'agente di servizio di Workload Manager. L'agente di servizio èservice-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com, dove PROJECT_ID è l'ID progetto in cui viene creata la valutazione.
Come funziona CMEK per le valutazioni dei tipi di regole personalizzate
In questa sezione viene descritto il funzionamento di CMEK per le valutazioni dei tipi di regole personalizzate.
Provisioning delle chiavi KMS
Puoi fornire una chiave Cloud KMS durante la creazione o l'aggiornamento di una valutazione del tipo di regola personalizzata. Questo provisioning è facoltativo. Se non viene specificata alcuna chiave Cloud KMS, Workload Manager utilizza la crittografia predefinita di Google.
La chiave Cloud KMS fornita deve esistere e al account di servizio di Workload Manager deve essere assegnato il ruolo di criptatore/decriptatore (roles/cloudkms.cryptoKeyEncrypterDecrypter) per utilizzare la chiave Cloud KMS. Workload Manager convalida la chiave Cloud KMS durante la creazione o l'aggiornamento della valutazione e restituisce errori.
Crittografia dei dati
Quando esegui una valutazione con una chiave Cloud KMS di cui è stato eseguito il provisioning, Workload Manager utilizza la chiave Cloud KMS fornita per criptare lo spazio di archiviazione di proprietà di Workload Manager:
Bucket Cloud Storage temporaneo utilizzato dall'operazione di valutazione. Il bucket Cloud Storage temporaneo viene creato all'inizio di una valutazione ed eliminato al termine della valutazione.
Set di dati BigQuery in cui vengono archiviati i risultati della valutazione.
Workload Manager non utilizza queste chiavi per criptare i dati nei bucket Cloud Storage in cui archivi le regole personalizzate o nei set di dati BigQuery esterni che utilizzi per salvare i risultati della valutazione.
Accesso ai dati
Workload Manager cripta i risultati della valutazione con la versione primaria della chiave Cloud KMS fornita al momento dell'esecuzione della valutazione. Puoi accedere e visualizzare i risultati di una valutazione se la versione specifica della chiave Cloud KMS rimane abilitata.
L'accesso ai risultati della valutazione non è interessato dalla rotazione delle chiavi KMS. La rotazione delle chiavi crea una nuova versione e le versioni precedenti rimangono comunque.
I risultati della valutazione non vengono ricriptati quando la chiave viene ruotata.
Configurare CMEK per le valutazioni dei tipi di regole personalizzate
Per utilizzare CMEK per le valutazioni dei tipi di regole personalizzate, crea prima una chiave in Cloud KMS, quindi concedi alla chiave le autorizzazioni richieste come descritto in Prima di iniziare. Dopodiché, puoi utilizzare la chiave per creare o aggiornare le valutazioni, eseguirle e visualizzarne i risultati.
Creare una valutazione con CMEK
Puoi creare valutazioni dei tipi di regole personalizzate con CMEK nello stesso modo descritto in the create evaluation page. Puoi abilitare CMEK dopo aver selezionato le regioni.
Seleziona Chiave di crittografia gestita dal cliente (CMEK) nell'elenco Crittografia (facoltativa).

Seleziona una chiave Cloud KMS.
Aggiornare una valutazione con CMEK
Puoi aggiornare una valutazione per utilizzare le chiavi CMEK.
Nella pagina di modifica della valutazione, seleziona Chiave di crittografia gestita dal cliente (CMEK) nell'elenco Crittografia (facoltativa).

Seleziona una chiave Cloud KMS.
Visualizzare i risultati della valutazione con CMEK
Puoi visualizzare i risultati della valutazione nello stesso modo descritto nella pagina di visualizzazione dei risultati della valutazione. Non è necessario alcun lavoro aggiuntivo.
Quote di Cloud KMS e Workload Manager
Quando utilizzi CMEK in Workload Manager, i tuoi progetti possono consumare le quote delle richieste di crittografia di Cloud KMS. Ad esempio, le valutazioni di Workload Manager criptate con CMEK possono consumare queste quote. Le operazioni di crittografia e decrittografia che utilizzano le chiavi CMEK influiscono sulle quote di Cloud KMS solo se utilizzi chiavi hardware (Cloud HSM) o esterne (Cloud EKM). Per ulteriori informazioni, consulta Quote di Cloud KMS.
Per le chiavi esterne, la quota predefinita è di 100 QPS per progetto di chiavi per le operazioni di crittografia. Se necessario, puoi richiedere una quota EKM più elevata.
Passaggi successivi
- Scopri di più su CMEK Google Cloud.
- Scopri come utilizzare CMEK con altri Google Cloud prodotti.