Chaves de criptografia gerenciadas pelo cliente

Por padrão, o Application Integration criptografa o conteúdo do cliente em repouso. A Application Integration processa a criptografia para você sem que você precise fazer nada. Essa opção é chamada de Criptografia padrão do Google.

Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o Application Integration. O uso de chaves do Cloud KMS permite controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. O uso do Cloud KMS também permite visualizar registros de auditoria e controlar ciclos de vida importantes. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.

Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos do Application Integration é semelhante à criptografia padrão do Google. Para mais informações sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

Antes de começar

Verifique se as seguintes tarefas foram concluídas antes de usar a CMEK para Application Integration:

Ative a API Cloud KMS para o projeto que armazenará as chaves de criptografia.
Ativar a API Cloud KMS
Dica:é possível executar o Application Integration e o Cloud Key Management Service no mesmo projeto do Google Cloud ou em projetos diferentes.
- Se você usar a CMEK em um projeto diferente (compartilhado ou de hospedagem de chaves) daquele em que configurou a Application Integration:
Atribua o papel do IAM Administrador do Cloud KMS às pessoas que gerenciam as chaves da CMEK. Além disso, conceda as seguintes permissões do IAM para o projeto que armazena as chaves de criptografia:
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
- cloudkms.cryptoKeyVersions.useToEncrypt
Atenção : o papel de administrador do Cloud KMS contém permissões para manutenção e destruição de versões de chaves. Para proteger seus recursos do Cloud KMS, essa função só deve ser atribuída a pessoas responsáveis pela administração de chaves.

Para informações sobre como conceder mais papéis ou permissões, consulte Como conceder, alterar e revogar acesso.
Crie um keyring e uma chave.
Observação : o keyring e a chave CMEK precisam ser criados na mesma região em que você configurou a integração de aplicativos.

Adicionar conta de serviço à chave CMEK

Para usar uma chave CMEK no Application Integration, verifique se a conta de serviço padrão foi adicionada e atribuída ao papel do IAM criptografador/descriptografador de CryptoKey para essa chave CMEK.

No console Google Cloud , acesse a página Inventário de chaves.
Acessar a página "Inventário de chaves"
Marque a caixa de seleção da chave de CMEK desejada.
A guia Permissões fica disponível no painel da janela à direita.
Clique em Adicionar principal e insira o endereço de e-mail da conta de serviço padrão.
Clique em Selecionar uma função e escolha Criptografador/Descriptografador de CryptoKey do Cloud KMS na lista suspensa disponível.
Clique em Salvar.

Ativar a criptografia CMEK para uma região do Application Integration

A CMEK pode ser usada para criptografar e descriptografar dados armazenados em PDs no escopo da região provisionada.

Para ativar a criptografia CMEK em uma região do Application Integration no seu projeto do Google Cloud, siga estas etapas:

No console Google Cloud , acesse a página Application Integration.
Acessar o Application Integration
No menu de navegação, clique em Regiões.
A página Regiões aparece, listando as regiões provisionadas para o Application Integration.
Na integração atual que você quer usar a CMEK, clique em Ações e selecione Editar criptografia.
No painel "Editar criptografia", expanda a seção Configurações avançadas.
Selecione Usar uma chave de criptografia gerenciada pelo cliente (CMEK) e faça o seguinte:
1. Selecione uma chave de CMEK na lista suspensa disponível. As chaves CMEK listadas no menu suspenso são baseadas na região provisionada. Para criar uma chave, consulte Criar uma chave CMEK.
2. Clique em Verificar para conferir se a conta de serviço padrão tem acesso à chave criptográfica da chave de CMEK selecionada.
3. Se a verificação da chave CMEK selecionada falhar, clique em Conceder para atribuir o papel do IAM Criptografador/Descriptografador de CryptoKey à conta de serviço padrão.
Clique em Concluído.

Criar uma CMEK

Crie uma chave de CMEK se não quiser usar a chave atual ou se não tiver uma na região especificada.

Para criar uma nova chave de criptografia simétrica, siga estas etapas na caixa de diálogo Criar uma nova chave:

Selecione "Keyring":
1. Clique em Keyring e escolha um keyring na região especificada.
2. Se você quiser criar um keyring para sua chave, clique no botão Criar keyring e siga estas etapas:
  1. Clique em Nome do keyring e digite um nome para ele.
  2. Clique em Local do keyring e escolha o local regional do keyring.
    Observação:para a criptografia CMEK, o keyring precisa ser criado na mesma região em que você configurou a integração de aplicativos.
3. Clique em Continuar.
Criar chave:
1. Clique em Nome da chave e insira um nome para a nova chave.
2. Clique em Nível de proteção e selecione Software ou HSM.
  Para mais informações sobre níveis de proteção, consulte Níveis de proteção do Cloud KMS.
Confira os detalhes da chave e do keyring e clique em Continuar.
Clique em Criar.

Dados criptografados

A tabela a seguir lista os dados criptografados na Application Integration:

Recurso	Dados criptografados
Detalhes da integração	Parâmetros de configuração da tarefa Descrições da configuração de tarefas
Informações de execução da integração	Parâmetros de solicitação Parâmetros de resposta Detalhes da execução da tarefa
Credenciais do perfil de autenticação	Nomes de usuário e senhas Chaves de API Código de autorização OAuth 2.0 Credenciais do cliente OAuth 2.0 Credenciais de senha do proprietário do recurso OAuth 2.0 Tokens de autenticação Tokens JWT Contas de serviço Certificados de cliente SSL/TLS Tokens de ID do OIDC do Google
Detalhes da tarefa de aprovação/suspensão	Configurações de aprovação ou suspensão

Cotas do Cloud KMS e do Application Integration

Quando você usa a CMEK no Application Integration, seus projetos podem consumir cotas de solicitações criptográficas do Cloud KMS. Por exemplo, as chaves da CMEK podem consumir essas cotas em cada chamada de criptografia e descriptografia.

As operações de criptografia e descriptografia com chaves CMEK afetam as cotas do Cloud KMS destas maneiras:

Para chaves CMEK de software geradas no Cloud KMS, nenhuma cota do Cloud KMS é consumida.
Para chaves CMEK de hardware, às vezes chamadas de chaves do Cloud HSM, as operações de criptografia e descriptografia são descontadas das cotas do Cloud HSM no projeto que contém a chave.
Para chaves CMEK externas, às vezes chamadas de chaves do Cloud EKM, as operações de criptografia e descriptografia são descontadas das cotas do Cloud EKM no projeto que contém a chave.

Para mais informações, consulte Cotas do Cloud KMS.