Configure as justificativas de acesso às chaves com o Cloud HSM

Nesta página, descrevemos como configurar as justificativas de acesso às chaves com o Cloud HSM para Assured Workloads Pacote de controle das regiões do Japão.

Durante as etapas para criar uma nova pasta do Assured Workloads para as regiões do Japão, você tem a opção de criar um novo projeto e um keyring para suas chaves criptográficas. As chaves do Cloud HSM podem ser a este keyring. Também é possível configurar uma política de justificativas de acesso às chaves para para controlar o acesso a cada chave.

Antes de começar

  • A capacidade de usar as justificativas de acesso às chaves com chaves do Cloud HSM está disponível apenas para o pacote de controle das regiões do Japão no Assured Workloads.
  • Verifique se o administrador concedeu a você um dos Papéis do Identity and Access Management (IAM) para criar e gerenciar Políticas de justificativas de acesso às chaves e as próprias chaves do Cloud HSM.

Permissões do IAM obrigatórias

Para ter as permissões necessárias para criar e gerenciar chaves do Cloud HSM e as políticas de justificativas de acesso às chaves, peça ao administrador para conceder a você Papel do IAM Administrador do Cloud KMS (roles/cloudkms.admin) no projeto que contém o keyring. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém as permissões necessárias para criar e gerenciar chaves do Cloud HSM e as políticas de justificativas de acesso às chaves. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para criar e gerenciar chaves do Cloud HSM e suas políticas de justificativas de acesso às chaves:

  • cloudkms.cryptoKeys.create
  • cloudkms.cryptoKeys.update
  • cloudkms.cryptoKeys.get

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Configurar uma chave do Cloud HSM com justificações de acesso à chave

Para configurar as justificativas de acesso às chaves com uma chave do Cloud HSM, inclua as como parâmetro ao criar a chave ou atualizar com a política após a criação da chave.

Criar uma nova chave e política

REST

Crie uma nova chave e política usando o cryptoKeys.create :

POST https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME

Na solicitação, substitua os seguintes valores de marcador:

  • PROJECT_ID: o ID do projeto que contém o keyring em que em que você quer adicionar uma chave, por exemplo, 919698201234.
  • LOCATION: o local do keyring, por exemplo, us-west1.
  • KEY_RING: o nome do keyring que você especificou ao criar o projeto de gerenciamento de chaves e o keyring da pasta Assured Workloads, por exemplo, my-key-ring.
  • KEY_NAME: o nome da chave HSM que você quer criar para exemplo: my-hsm-key.

Corpo da solicitação: 

{
  "purpose": "PURPOSE",
  "versionTemplate": {
    "protectionLevel": "HSM",
    "algorithm": "ALGORITHM"
  },
  "keyAccessJustificationsPolicy": {
    "allowedAccessReasons": [
      ALLOWED_ACCESS_REASONS
    ]
  }
}

No corpo da solicitação, substitua os seguintes valores de marcador:

  • PURPOSE: a finalidade da chave. Para conferir uma lista de diferentes finalidades de chave, consulte Finalidades de chave, por exemplo, ENCRYPT_DECRYPT.
  • ALGORITHM: o algoritmo criptográfico a ser usado. Para uma lista de algoritmos disponíveis, consulte Algoritmos do Cloud KMS, por exemplo, GOOGLE_SYMMETRIC_ENCRYPTION
  • ALLOWED_ACCESS_REASONS: a política de justificativas de acesso às chaves que define zero. ou mais permitidos códigos de justificativa para acessar a chave de criptografia, por exemplo, CUSTOMER_INITIATED_ACCESS.

O exemplo de solicitação e corpo de solicitação a seguir permite apenas justificativas de acesso por alguns motivos:

POST https://cloudkms.googleapis.com/v1/projects/919698201234/locations/us-west1/keyRings/my-key-ring/cryptoKeys?crypto_key_id=my-hsm-key
 
{
  "purpose": "ENCRYPT_DECRYPT",
  "versionTemplate": {
    "protectionLevel": "HSM",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "keyAccessJustificationsPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Atualizar a política de uma chave

REST

Atualize uma chave no Cloud KMS usando o método cryptoKeys.patch:

PATCH https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME?update_mask=keyAccessJustificationsPolicy

Na solicitação, substitua os seguintes valores de marcador:

  • PROJECT_ID: o ID do projeto que contém a chave para a chave, por exemplo, 919698201234.
  • LOCATION: o local do keyring, por exemplo, us-west1.
  • KEY_RING: o nome do keyring que você especificou ao criar o projeto de gerenciamento de chaves e o keyring da pasta Assured Workloads, por exemplo, my-key-ring.
  • KEY_NAME: o nome da chave HSM que você quer atualizar (para exemplo: my-hsm-key.

Corpo da solicitação: 

{
  "purpose": "PURPOSE",
  "versionTemplate": {
    "protectionLevel": "HSM",
    "algorithm": "ALGORITHM"
  },
  "keyAccessJustificationsPolicy": {
    "allowedAccessReasons": [
      ALLOWED_ACCESS_REASONS
    ]
  }
}

No corpo da solicitação, substitua os seguintes valores de marcador:

  • PURPOSE: a finalidade da chave. Para uma lista de diferentes chaves objetivos, consulte Finalidades de chave, por exemplo, ENCRYPT_DECRYPT
  • ALGORITHM: o algoritmo criptográfico a ser usado. Para uma lista de algoritmos disponíveis, consulte Algoritmos do Cloud KMS, por exemplo, GOOGLE_SYMMETRIC_ENCRYPTION
  • ALLOWED_ACCESS_REASONS: a política de justificativas de acesso às chaves que define zero. ou mais permitidos códigos de justificativa para acessar a chave de criptografia, por exemplo, CUSTOMER_INITIATED_ACCESS.

O exemplo de solicitação e corpo da solicitação a seguir só permite acesso justificáveis por alguns motivos:

PATCH https://cloudkms.googleapis.com/v1/projects/919698201234/locations/us-west1/keyRings/my-key-ring/cryptoKeys/my-hsm-key?keyAccessJustificationsPolicy
 
{
  "purpose": "ENCRYPT_DECRYPT",
  "versionTemplate": {
    "protectionLevel": "HSM",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "keyAccessJustificationsPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Acessar a política de justificativas de acesso às chaves de uma chave

REST

Receba metadados sobre uma chave atual no Cloud KMS usando o cryptoKeys.get :

GET https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME

Nos parâmetros de solicitação, substitua os seguintes valores de marcador pelo seu:

  • PROJECT_ID: o ID do projeto que contém o keyring do tecla, por exemplo, 919698201234.
  • LOCATION: o local do keyring, por exemplo, us-west1.
  • KEY_RING: o nome do keyring que você especificou ao você criou o projeto de gerenciamento de chaves da pasta do Assured Workloads e um keyring, por exemplo, my-key-ring.
  • KEY_NAME: o nome da chave HSM que você quer receber. exemplo: my-hsm-key.

O exemplo de solicitação a seguir recebe metadados sobre uma chave no Cloud KMS: 

GET https://cloudkms.googleapis.com/v1/projects/919698201234/locations/us-west1/keyRings/my-key-ring/cryptoKeys/my-hsm-key

O corpo da resposta contém metadados sobre sua chave, incluindo os keyAccessJustificationsPolicy Exemplo:

{
  "purpose": "ENCRYPT_DECRYPT",
  "versionTemplate": {
    "protectionLevel": "HSM",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "keyAccessJustificationsPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}