Esta página foi traduzida pela API Cloud Translation.

Sobre criptografia de disco
Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Por padrão, o Compute Engine criptografa o conteúdo do cliente em repouso . O Compute Engine usa automaticamente Google-owned and Google-managed encryption keyspara criptografar seus dados.

No entanto, você pode personalizar a criptografia que o Compute Engine usa para seus recursos fornecendo chaves de criptografia (KEKs) . As chaves de criptografia de chave não criptografam diretamente seus dados, mas criptografam osGoogle-owned and managed keys que o Compute Engine usa para criptografar seus dados.

Você tem duas opções para fornecer chaves de criptografia:

Recomendado . Use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com Compute Engine. O uso de chaves do Cloud KMS oferece controle sobre o nível de proteção, localização, cronograma de rotação, permissões de uso e acesso e limites criptográficos. Usar o Cloud KMS também permite rastrear o uso de chaves , visualizar registros de auditoria e controlar os ciclos de vida das chaves. Em vez de o Google possuir e gerenciar as chaves de criptografia de chave simétrica (KEKs, na sigla em inglês) que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.
Você pode criar CMEKs manualmente ou usar o Cloud KMS Autokey para criá-las automaticamente em seu nome.
Na maioria dos casos, depois de criar um disco criptografado por CMEK, não é necessário especificar a chave ao trabalhar com o disco.
Você pode gerenciar suas próprias chaves de criptografia fora do Compute Engine e fornecer a chave sempre que criar ou gerenciar um disco. Esta opção é conhecida como chaves de criptografia fornecidas pelo cliente (CSEKs). Ao gerenciar recursos criptografados por CSEK, você deve sempre especificar a chave usada ao criptografar o recurso.

Para obter mais informações sobre cada tipo de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente e Chaves de criptografia fornecidas pelo cliente .

Para adicionar uma camada adicional de segurança aos seus discos hiperdiscos balanceados, ative o modo confidencial . O modo confidencial adiciona criptografia baseada em hardware aos seus discos hiperdiscos balanceados.

Tipos de disco suportados

Esta seção lista os tipos de criptografia compatíveis para discos e outras opções de armazenamento oferecidas pelo Compute Engine.

Suporte a volumes de disco permanenteGoogle-owned and managed keys, CMEKs e CSEKs.
O Google Cloud Hyperdisk oferece suporte a CMEKs eGoogle-owned and managed keys. Você não pode usar CSEKs para criptografar hiperdiscos.
Suporte apenas para discos SSD locaisGoogle-owned and managed keys. Não é possível usar CSEKs ou CMEKs para criptografar discos SSD locais.
Suporte para clones de disco e imagens de máquinaGoogle-owned and managed keys,CMEKs e CSEKs.
Suporte para instantâneos padrão e instantâneosGoogle-owned and managed keys, CMEKs e CSEKs.

CMEK com chave automática do Cloud KMS

Se você optar por usar chaves do Cloud KMS para proteger os recursos do Compute Engine, poderá criar CMEKs manualmente ou usar o Cloud KMS Autokey para criar as chaves. Com o Autokey, os keyrings e as chaves são gerados sob demanda como parte da criação de recursos no Compute Engine. Os agentes de serviço que usam as chaves para operações de criptografia e descriptografia são criados se ainda não existirem e recebem as funções necessárias de gerenciamento de identidade e acesso (IAM). Para obter mais informações, consulte Visão geral do Autokey .

Para saber como usar CMEKs criadas pelo Cloud KMS Autokey para proteger seus recursos do Compute Engine, consulte Usar o Autokey com recursos do Compute Engine .

Instantâneos

Ao usar o Autokey para criar chaves para proteger os recursos do Compute Engine, o Autokey não cria novas chaves para snapshots. Você deve criptografar um snapshot com a mesma chave usada para criptografar o disco de origem. Se você criar um snapshot usando o console do Google Cloud, a chave de criptografia usada pelo disco será aplicada automaticamente ao snapshot. Se você criar um snapshot usando a CLI gcloud, o Terraform ou a API Compute Engine, precisará obter o identificador de recurso da chave usada para criptografar o disco e, em seguida, usar essa chave para criptografar o snapshot.

Criptografar discos com chaves de criptografia gerenciadas pelo cliente

Para mais informações sobre como usar chaves de criptografia gerenciadas pelo cliente (CMEK) criadas manualmente para criptografar discos e outros recursos do Compute Engine, consulte Proteger recursos usando chaves do Cloud KMS .

Criptografe discos com chaves de criptografia fornecidas pelo cliente

Para saber como usar chaves de criptografia fornecidas pelo cliente (CSEK) para criptografar discos e outros recursos do Compute Engine, consulte Criptografar discos com chaves de criptografia fornecidas pelo cliente .

Ver informações sobre a criptografia de um disco

Os discos no Compute Engine são criptografados com um dos seguintes tipos de chaves de criptografia:

Google-owned and managed keys
Chaves de criptografia gerenciadas pelo cliente (CMEKs)
Chaves de criptografia fornecidas pelo cliente (CSEKs)

Por padrão, o Compute Engine usa Google-owned and managed keys.

Para visualizar o tipo de criptografia de um disco, use a CLI gcloud, o console do Google Cloud ou a API Compute Engine.

Console

No console do Google Cloud, acesse a página Discos .
Vá para discos
Na coluna Nome , clique no nome do disco.
Na tabela Propriedades , a linha denominada Criptografia indica o tipo de criptografia: gerenciada pelo Google , gerenciada pelo cliente ou fornecida pelo cliente .

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Use o comando gcloud compute disks describe :
```
    gcloud compute disks describe DISK_NAME \
      --zone=ZONE \
      --format="json(diskEncryptionKey)"
  
```
Substitua o seguinte:
- PROJECT_ID : seu ID do projeto.
- ZONE : a zona onde seu disco está localizado.
- DISK_NAME : o nome do disco.
  Saída de comando
  Se a saída for null , o disco usa um Google-owned and managed key.
  Caso contrário, a saída será um objeto JSON.
  Se o objeto JSON contiver um campo denominado diskEncryptionKey , o disco será criptografado. O objeto diskEncryptionKey contém informações sobre se o disco é criptografado por CMEK ou CSEK:
  - Se a propriedade diskEncryptionKey.kmsKeyName estiver presente, o disco será criptografado por CMEK. A propriedade kmsKeyName indica o nome da chave específica usada para criptografar o disco:
```
{
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
```
  - Se a propriedade diskEncryptionKey.sha256 estiver presente, o disco será criptografado por CSEK. A propriedade sha256 é o hash SHA-256 da chave de criptografia fornecida pelo cliente que protege o disco.
```
  {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }
    
```

API

Faça uma solicitação POST para o método compute.disks.get .

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME

Substitua o seguinte:

PROJECT_ID : seu ID do projeto.
ZONE : a zona onde seu disco está localizado.
DISK_NAME : o nome do disco

Solicitar resposta

Se a resposta for null , o disco usa um Google-owned and managed key.

Caso contrário, a resposta será um objeto JSON.

Se o objeto JSON contiver um campo denominado diskEncryptionKey , o disco será criptografado. O objeto diskEncryptionKey contém informações sobre se o disco é criptografado por CMEK ou CSEK:

Se a propriedade diskEncryptionKey.kmsKeyName estiver presente, o disco será criptografado por CMEK. A propriedade kmsKeyName indica o nome da chave específica usada para criptografar o disco:
```
{
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
```
Se a propriedade diskEncryptionKey.sha256 estiver presente, o disco será criptografado por CSEK. A propriedade sha256 é o hash SHA-256 da chave de criptografia fornecida pelo cliente que protege o disco.
```
  {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }
    
```

Se o disco usar CMEKs, você poderá encontrar informações detalhadas sobre a chave, seu conjunto de chaves e localização seguindo as etapas em Visualizar chaves por projeto .

Se o disco usar CSEKs, entre em contato com o administrador da sua organização para obter detalhes sobre a chave. Usando o CMEK, você também pode ver quais recursos essa chave protege com o rastreamento de uso de chaves. Para obter mais informações, consulte Exibir uso de chave .

Modo confidencial para Hyperdisk Balanced

Se você usar Computação Confidencial , poderá estender a criptografia baseada em hardware para seus volumes balanceados de hiperdisco ativando o modo Confidencial.

O modo confidencial para seus volumes balanceados de hiperdisco permite ativar segurança adicional sem precisar refatorar o aplicativo. O modo confidencial é uma propriedade que você pode especificar ao criar um novo volume balanceado de hiperdisco.

Os volumes balanceados de hiperdisco no modo confidencial só podem ser usados com VMs confidenciais.

Para criar um volume balanceado de hiperdisco no modo confidencial, siga as etapas em Criar um volume balanceado de hiperdisco no modo confidencial .

Tipos de máquinas compatíveis com volumes balanceados de hiperdisco no modo confidencial

Os volumes balanceados de hiperdisco no modo confidencial só podem ser usados com VMs confidenciais que usam o tipo de máquina N2D .

Regiões suportadas para volumes balanceados de hiperdisco no modo confidencial

O modo confidencial para volumes balanceados de hiperdisco está disponível nas seguintes regiões:

europe-west4
us-central1
us-east4
us-east5
us-south1
us-west4

Limitações para volumes balanceados de hiperdisco no modo confidencial

Hyperdisk Extreme, Hyperdisk Throughput, Hyperdisk ML e Hyperdisk Balanced High Availability não oferecem suporte ao modo Confidencial.
Não é possível suspender ou retomar uma VM que use volumes balanceados de hiperdisco no modo confidencial.
Você não pode usar pools de armazenamento de hiperdisco com volumes balanceados de hiperdisco no modo confidencial.
Você não pode criar uma imagem de máquina ou uma imagem personalizada a partir de um volume balanceado de hiperdisco no modo confidencial.

O que vem a seguir

Para saber como automatizar a criação de CMEKs, consulte Cloud KMS com Autokey ( visualização ).
Para saber como criar CMEKs, consulte Criar chaves de criptografia com o Cloud KMS .
Criptografe um disco com chaves de criptografia gerenciadas pelo cliente (CMEKs) .
Para criar um volume balanceado de hiperdisco no modo confidencial, consulte Criar um volume balanceado de hiperdisco no modo confidencial .
Saiba mais sobre o formato e as especificações dos CSEKs .

Sobre criptografia de disco Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.