Chiavi di crittografia gestite dal cliente

Per impostazione predefinita, Application Integration cripta i contenuti inattivi dei clienti. L'Application Integration gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google.

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con i servizi integrati con CMEK, tra cui l'Application Integration. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il loro livello di protezione, la posizione, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. L'utilizzo di Cloud KMS ti consente inoltre di visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece che Google, sei tu a possedere e gestire le chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.

Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse di Application Integration dell'applicazione è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Prima di iniziare

Prima di utilizzare CMEK per lApplication Integration, assicurati di aver completato le seguenti attività:

Abilita l'API Cloud KMS per il progetto che memorizzerà le tue chiavi di crittografia.
Abilita l'API Cloud KMS
Suggerimento:puoi eseguire l'Application Integration e Cloud KMS nello stesso progetto Google Cloud o in progetti diversi.
Assegna il ruolo IAM Amministratore Cloud KMS o concedi le seguenti autorizzazioni IAM per il progetto che memorizzerà le chiavi di crittografia:
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
Per informazioni su come concedere ruoli o autorizzazioni aggiuntivi, consulta Concedere, modificare e revocare l'accesso.

Attenzione: il ruolo Amministratore Cloud KMS contiene autorizzazioni per la manutenzione e l'eliminazione delle versioni delle chiavi. Per proteggere le risorse Cloud KMS, questo ruolo deve essere assegnato solo alle persone responsabili dell'amministrazione delle chiavi.
Crea un keyring e una chiave.
Nota: il portachiavi deve essere creato nella stessa regione in cui hai configurato l'integrazione delle applicazioni.

Aggiungere un account di servizio alla chiave CMEK

Per utilizzare una chiave CMEK in Application Integration, devi assicurarti che il tuo account di servizio predefinito sia aggiunto e assegnato con il ruolo IAM Autore crittografia/decriptazione CryptoKey per la chiave CMEK.

Nella Google Cloud console, vai alla pagina Inventario chiavi.
Vai alla pagina Inventario chiavi
Seleziona la casella di controllo per la chiave CMEK che ti interessa.
La scheda Autorizzazioni nel riquadro della finestra a destra diventa disponibile.
Fai clic su Aggiungi entità e inserisci l'indirizzo email dell'account di servizio predefinito.
Fai clic su Seleziona un ruolo e seleziona il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS dall'elenco a discesa disponibile.
Fai clic su Salva.

Attivare la crittografia CMEK per una regione di Application Integration

CMEK può essere utilizzato per criptare e decriptare i dati archiviati sui dischi permanenti nell'ambito della regione di provisioning.

Per attivare la crittografia CMEK per una regione di Application Integration nel tuo progetto Google Cloud, svolgi i seguenti passaggi:

Nella Google Cloud console, vai alla pagina Application Integration.
Vai ad Application Integration
Nel menu di navigazione, fai clic su Regioni.
Viene visualizzata la pagina Regioni, che elenca le regioni di cui è stato eseguito il provisioning per Application Integration.
Per l'integrazione esistente con cui vuoi utilizzare la CMEK, fai clic su Azioni e seleziona Modifica crittografia.
Nel riquadro Modifica crittografia, espandi la sezione Impostazioni avanzate.
Seleziona Utilizza una chiave di crittografia gestita dal cliente (CMEK) e svolgi i seguenti passaggi:
1. Seleziona una chiave CMEK dall'elenco a discesa disponibile. Le chiavi CMEK elencate nel menu a discesa si basano sulla regione di cui è stato eseguito il provisioning. Per creare una nuova chiave, consulta la sezione Creare una nuova chiave CMEK.
2. Fai clic su Verifica per verificare se il tuo account di servizio predefinito ha accesso alla chiave CMEK selezionata.
3. Se la verifica della chiave CMEK selezionata non va a buon fine, fai clic su Concedi per assegnare il ruolo IAM Autore crittografia/decrittografia CryptoKey all'account di servizio predefinito.
Fai clic su Fine.

Creare un nuovo CMEK

Puoi creare una nuova chiave CMEK se non vuoi utilizzare quella esistente o se non ne hai una nella regione specificata.

Per creare una nuova chiave di crittografia simmetrica, svolgi i seguenti passaggi nella finestra di dialogo Crea una nuova chiave:

Seleziona Portachiavi:
1. Fai clic su Portachiavi e scegli un portachiavi esistente nella regione specificata.
2. Se vuoi creare un nuovo portachiavi per la tua chiave, fai clic sul pulsante di attivazione/disattivazione Crea portachiavi e segui questi passaggi:
  1. Fai clic su Nome del keyring e inserisci un nome per il keyring.
  2. Fai clic su Posizione del keyring e scegli la posizione regionale del keyring.
    Nota: per la crittografia CMEK, il keyring deve essere creato nella stessa regione dell'integrazione delle applicazioni.
3. Fai clic su Continua.
Crea chiave:
1. Fai clic su Nome chiave e inserisci un nome per la nuova chiave.
2. Fai clic su Livello di protezione e seleziona Software o HSM.
  Per informazioni sui livelli di protezione, consulta Livelli di protezione di Cloud KMS.
Controlla i dettagli della chiave e del portachiavi e fai clic su Continua.
Fai clic su Crea.

Dati criptati

La tabella seguente elenca i dati criptati in Application Integration:

Risorsa	Dati criptati
Dettagli dell'integrazione	Parametri di configurazione delle attività Descrizioni della configurazione delle attività
Informazioni sull'esecuzione dell'integrazione	Parametri di richiesta Parametri di risposta Dettagli sull'esecuzione dell'attività
Credenziali del profilo di autenticazione	Nomi utente e password Chiavi API Codice di autorizzazione OAuth 2.0 Credenziali client OAuth 2.0 Credenziali della password del proprietario delle risorse OAuth 2.0 Token di autenticazione Token JWT Service account Certificati client SSL/TLS Token ID OIDC di Google
Dettagli dell'attività di approvazione/sospensione	Configurazioni di approvazione o sospensione

Quote di Cloud KMS e Application Integration

Quando utilizzi CMEK nell'Application Integration, i tuoi progetti possono consumare le quote per le richieste crittografiche di Cloud KMS. Ad esempio, le chiavi CMEK possono consumare queste quote per ogni chiamata di crittografia e decrittografia.

Le operazioni di crittografia e decrittografia che utilizzano le chiavi CMEK influiscono sulle quote di Cloud KMS nei seguenti modi:

Per le chiavi CMEK software generate in Cloud KMS, non viene consumata alcuna quota Cloud KMS.
Per le chiavi CMEK hardware, a volte chiamate chiavi Cloud HSM, le operazioni di crittografia e decrittografia vengono conteggiate ai fini delle quote Cloud HSM nel progetto che contiene la chiave.
Per le chiavi CMEK esterne, a volte chiamate chiavi Cloud EKM, le operazioni di crittografia e decrittografia vengono conteggiate ai fini delle quote Cloud EKM nel progetto che contiene la chiave.

Per ulteriori informazioni, consulta Quote di Cloud KMS.