Chiavi di crittografia gestite dal cliente

Per impostazione predefinita, Application Integration cripta i contenuti dei clienti at-rest. Application Integration gestisce la crittografia per tuo conto senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google.

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con servizi integrati con CMEK, tra cui Application Integration. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la posizione, la pianificazione della rotazione, l'utilizzo e le autorizzazioni di accesso e i limiti crittografici. L'utilizzo di Cloud KMS consente anche di visualizzare i log di controllo e controllare i cicli di vita delle chiavi. Anziché essere di proprietà di Google e gestite da Google, le chiavi di crittografia delle chiavi (KEK) simmetriche che proteggono i tuoi dati sono controllate e gestite da te in Cloud KMS.

Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse di Application Integration è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Prima di iniziare

Assicurati che le seguenti attività siano completate prima di utilizzare CMEK per Application Integration:

Abilita l'API Cloud KMS per il progetto che archivierà le chiavi di crittografia.
Abilita l'API Cloud KMS
Suggerimento:puoi eseguire Application Integration e Cloud Key Management Service nello stesso progetto Google Cloud o in progetti diversi.
- Se utilizzi CMEK in un progetto diverso (progetto condiviso o di hosting delle chiavi) da quello in cui hai configurato Application Integration:
Assegna il ruolo IAM Amministratore Cloud KMS alle persone che gestiscono le chiavi CMEK. Inoltre, concedi le seguenti autorizzazioni IAM per il progetto che archivia le chiavi di crittografia:
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
- cloudkms.cryptoKeyVersions.useToEncrypt
Attenzione : il ruolo Amministratore Cloud KMS contiene autorizzazioni per la manutenzione delle chiavi e l'eliminazione delle versioni delle chiavi. Per proteggere le risorse Cloud KMS, questo ruolo deve essere assegnato solo alle persone responsabili dell'amministrazione delle chiavi.

Per informazioni sulla concessione di ruoli o autorizzazioni aggiuntivi, consulta Concessione, modifica e revoca dell'accesso.
Crea un keyring e una chiave.
Nota: il keyring e la chiave CMEK devono essere creati nella stessa regione in cui hai configurato Application Integration.

Aggiungere il account di servizio alla chiave CMEK

Per utilizzare una chiave CMEK in Application Integration, devi assicurarti che il tuo service account predefinito sia aggiunto e che gli sia assegnato il ruolo IAM Autore crittografia/decriptazione CryptoKey per quella chiave CMEK.

Nella console Google Cloud , vai alla pagina Inventario chiavi.
Vai alla pagina Inventario chiavi
Seleziona la casella di controllo relativa alla chiave CMEK desiderata.
La scheda Autorizzazioni nel riquadro di destra della finestra diventa disponibile.
Fai clic su Aggiungi entità e inserisci l'indirizzo email del account di servizio predefinito.
Fai clic su Seleziona un ruolo e seleziona il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS dall'elenco a discesa disponibile.
Fai clic su Salva.

Abilita la crittografia CMEK per una regione Application Integration

CMEK può essere utilizzata per criptare e decriptare i dati archiviati sui dischi permanenti nell'ambito della regione di cui è stato eseguito il provisioning.

Per abilitare la crittografia CMEK per una regione di Application Integration nel tuo progetto Google Cloud, segui questi passaggi:

Nella console Google Cloud , vai alla pagina Application Integration.
Vai ad Application Integration
Nel menu di navigazione, fai clic su Regioni.
Viene visualizzata la pagina Regioni, che elenca le regioni di provisioning per Application Integration.
Per l'integrazione esistente per cui vuoi utilizzare CMEK, fai clic su Azioni e seleziona Modifica crittografia.
Nel riquadro Modifica crittografia, espandi la sezione Impostazioni avanzate.
Seleziona Utilizza una chiave di crittografia gestita dal cliente (CMEK) e procedi nel seguente modo:
1. Seleziona una chiave CMEK dall'elenco a discesa disponibile. Le chiavi CMEK elencate nel menu a discesa si basano sulla regione di provisioning. Per creare una nuova chiave, consulta Crea una nuova chiave CMEK.
2. Fai clic su Verifica per controllare se il account di servizio predefinito ha accesso alla chiave CryptoKey per la chiave CMEK selezionata.
3. Se la verifica della chiave CMEK selezionata non va a buon fine, fai clic su Concedi per assegnare il ruolo IAM Autore crittografia/decriptazione CryptoKey al account di servizio predefinito.
Fai clic su Fine.

Crea una nuova chiave CMEK

Puoi creare una nuova chiave CMEK se non vuoi utilizzare la chiave esistente o se non hai una chiave nella regione specificata.

Per creare una nuova chiave di crittografia simmetrica, segui questi passaggi nella finestra di dialogo Crea una nuova chiave:

Seleziona Keyring:
1. Fai clic su Keyring e scegli un keyring esistente nella regione specificata.
2. Se vuoi creare un nuovo keyring per la tua chiave, fai clic sul pulsante di attivazione/disattivazione Crea keyring e segui questi passaggi:
  1. Fai clic su Nome della chiave automatizzata e inserisci un nome per la chiave automatizzata.
  2. Fai clic su Posizione del keyring e scegli la posizione regionale del keyring.
    Nota:per la crittografia CMEK, il keyring deve essere creato nella stessa regione in cui hai configurato Application Integration.
3. Fai clic su Continua.
Crea chiave:
1. Fai clic su Nome chiave e inserisci un nome per la nuova chiave.
2. Fai clic su Livello di protezione e seleziona Software o HSM.
  Per informazioni sui livelli di protezione, consulta Livelli di protezione di Cloud KMS.
Controlla i dettagli della chiave e del portachiavi e fai clic su Continua.
Fai clic su Crea.

Dati criptati

La seguente tabella elenca i dati criptati in Application Integration:

Risorsa	Dati criptati
Dettagli dell'integrazione	Parametri di configurazione dell'attività Descrizioni della configurazione delle attività
Informazioni sull'esecuzione dell'integrazione	Parametri di richiesta Parametri di risposta Dettagli di esecuzione dell'attività
Credenziali del profilo di autenticazione	Nome utente e password Chiavi API Codice di autorizzazione OAuth 2.0 Credenziali client OAuth 2.0 Credenziali della password del proprietario delle risorse OAuth 2.0 Token di autenticazione Token JWT Service account Certificati client SSL/TLS Token ID OIDC Google
Dettagli dell'attività di approvazione/sospensione	Configurazioni di approvazione o sospensione

Quote di Cloud KMS e Application Integration

Quando utilizzi CMEK in Application Integration, i tuoi progetti possono utilizzare le quote per le richieste crittografiche di Cloud KMS. Ad esempio, le chiavi CMEK possono consumare queste quote per ogni chiamata di crittografia e decriptazione.

Le operazioni di crittografia e decriptazione che utilizzano chiavi CMEK influiscono sulle quote di Cloud KMS nei seguenti modi:

Per le chiavi CMEK software generate in Cloud KMS, non viene consumata alcuna quota Cloud KMS.
Per le chiavi CMEK hardware, a volte chiamate chiavi Cloud HSM, le operazioni di crittografia e decrittografia vengono conteggiate in base alle quote Cloud HSM nel progetto che contiene la chiave.
Per le chiavi CMEK esterne, a volte chiamate chiavi Cloud EKM, le operazioni di crittografia e decrittografia vengono conteggiate in base alle quote Cloud EKM nel progetto che contiene la chiave.

Per ulteriori informazioni, consulta Quote di Cloud KMS.