Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Ativar chaves de criptografia gerenciadas pelo cliente para avaliações

Embora Google Cloud criptografe dados em repouso por padrão usando Google-owned and Google-managed encryption keys, é possível criptografar os dados de avaliação do Workload Manager usando chaves de criptografia gerenciadas pelo cliente (CMEK). A CMEK permite gerenciar a rotação, o acesso e os níveis de proteção de chaves para ajudar você a atender a requisitos específicos de segurança e compliance.

Este documento descreve como configurar a CMEK ao criar ou atualizar avaliações de tipo de regra personalizada e ao visualizar os resultados da avaliação do Workload Manager.

Visão geral

Por padrão, o Workload Manager criptografa o conteúdo do cliente em repouso. O Workload Manager executa a criptografia, e você não precisa fazer nada. Essa opção é chamada de criptografia padrão do Google.

Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o Workload Manager. Ao usar chaves do Cloud KMS, é possível controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. Com o Cloud KMS, também é possível visualizar registros de auditoria e controlar ciclos de vida de chaves. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.

Depois de configurar os recursos com CMEKs, a experiência de acesso aos seus recursos do Workload Manager é semelhante à criptografia padrão do Google. Para saber mais sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

Limitações

As limitações a seguir se aplicam às criptografias CMEK no Workload Manager:

A CMEK está disponível apenas para avaliações de tipo de regra personalizada do Workload Manager. Outros recursos do Workload Manager, como avaliações ou implantação do SAP, usam a criptografia padrão do Google porque nenhum conteúdo do cliente em repouso está envolvido.
O Workload Manager aplica chaves CMEK apenas ao armazenamento de propriedade do Workload Manager.

Antes de começar

Antes de usar a CMEK, é necessário criar uma chave do Cloud Key Management Service e conceder as permissões necessárias.

Criar um keyring e uma chave

Selecione um projeto e siga o guia do Cloud KMS para criar chaves simétricas para criar um keyring e uma chave. O local do key ring precisa corresponder ao local da avaliação.

Observação: o Workload Manager oferece suporte à chave gerenciada externa. Para mais informações, consulte Cloud External Key Manager.
Conceder permissões

Para fornecer acesso à chave do Cloud KMS, conceda o papel roles/cloudkms.cryptoKeyEncrypterDecrypter ao agente de serviço do Workload Manager. O agente de serviço é service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com, em que PROJECT_ID é o ID do projeto em que a avaliação é criada.

Como a CMEK funciona para avaliações de tipo de regra personalizada

Esta seção descreve como a CMEK funciona para avaliações de tipo de regra personalizada.

Provisionamento de chaves do KMS

É possível fornecer uma chave do Cloud KMS durante o processo de criação ou atualização de uma avaliação de tipo de regra personalizada. Esse provisionamento é opcional. Se nenhuma chave do Cloud KMS for especificada, o Workload Manager usará a criptografia padrão do Google. A chave do Cloud KMS fornecida precisa existir, e a conta de serviço do Workload Manager precisa receber o papel de criptografador/descriptografador (roles/cloudkms.cryptoKeyEncrypterDecrypter) para usar a chave do Cloud KMS. O Workload Manager valida a chave do Cloud KMS durante a criação ou atualização da avaliação e retorna erros.

Criptografia de dados

Ao executar uma avaliação com uma chave do Cloud KMS provisionada, o Workload Manager usa a chave do Cloud KMS fornecida para criptografar o armazenamento de propriedade do Workload Manager:

Bucket temporário do Cloud Storage usado pela operação de avaliação. O bucket temporário do Cloud Storage é criado no início de uma avaliação e excluído no final dela.
Conjuntos de dados do BigQuery em que os resultados da avaliação são armazenados.

O Workload Manager não usa essas chaves para criptografar dados nos buckets do Cloud Storage em que você armazena regras personalizadas ou nos conjuntos de dados externos do BigQuery que você usa para salvar os resultados da avaliação.

Acesso aos dados

O Workload Manager criptografa os resultados da avaliação com a versão principal da chave do Cloud KMS fornecida no momento da execução da avaliação. É possível acessar e visualizar os resultados de uma avaliação se essa versão específica da chave do Cloud KMS permanecer ativada.

O acesso aos resultados da avaliação não é afetado pela rotação de chaves do KMS. A rotação de chaves cria uma nova versão, e as versões anteriores ainda permanecem.

Os resultados da avaliação não são criptografados novamente quando a chave é girada.

Configurar a CMEK para avaliações de tipo de regra personalizada

Para usar a CMEK para avaliações de tipo de regra personalizada, primeiro crie uma chave no Cloud KMS, conceda as permissões necessárias à chave, conforme descrito em Antes de começar. Depois disso, é possível usar a chave para criar ou atualizar avaliações, executar avaliações e visualizar os resultados da avaliação.

Criar uma avaliação com CMEK

É possível criar avaliações de tipo de regra personalizada com CMEK da mesma maneira descrita em a página de criação de avaliação. É possível ativar a CMEK depois de selecionar as regiões.

Selecione Chave de criptografia gerenciada pelo cliente (CMEK) na lista Criptografia (opcional).
Selecione uma chave do Cloud KMS.

Atualizar uma avaliação com CMEK

É possível atualizar uma avaliação para usar chaves CMEK.

Na página de edição da avaliação, selecione Chave de criptografia gerenciada pelo cliente (CMEK) na lista Criptografia (opcional).
Selecione uma chave do Cloud KMS.

Visualizar os resultados da avaliação com CMEK

É possível visualizar os resultados da avaliação da mesma maneira descrita na página de resultados da avaliação. Nenhum trabalho adicional é necessário.

Cotas do Cloud KMS e o Workload Manager

Quando você usa CMEK no Workload Manager, seus projetos podem consumir cotas de solicitações criptográficas do Cloud KMS. Por exemplo, as avaliações do Workload Manager criptografadas por CMEK podem consumir essas cotas. As operações de criptografia e descriptografia que usam chaves CMEK só afetam as cotas do Cloud KMS se você usar chaves de hardware (Cloud HSM) ou externas (Cloud EKM). Para mais informações, consulte Cotas do Cloud KMS.

Para chaves externas, a cota padrão é de 100 QPS por projeto de chave para operações criptográficas. É possível solicitar uma cota de EKM maior, se necessário.

A seguir

Saiba mais sobre a CMEK Google Cloud.
Aprenda a usar a CMEK com outros Google Cloud produtos.