Abilitare le chiavi di crittografia gestite dal cliente

Questo documento descrive come criptare i dati del Catalogo universale Dataplex con le chiavi di crittografia gestite dal cliente (CMEK).

Panoramica

Per impostazione predefinita, Dataplex Universal Catalog cripta i contenuti inattivi dei clienti. Dataplex Universal Catalog gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google.

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con i servizi integrati con CMEK, tra cui Dataplex Universal Catalog. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il loro livello di protezione, la posizione, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. L'utilizzo di Cloud KMS ti consente inoltre di monitorare l'utilizzo delle chiavi, visualizzare i log di controllo e controllare i cicli di vita delle chiavi. Invece che Google, sei tu a possedere e gestire le chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.

Dopo aver configurato le risorse con le CMEK, l'esperienza di accesso alle risorse di Dataplex Universal Catalog è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Il Catalogo universale Dataplex utilizza un CMEK per ogni località per tutte le risorse del Catalogo universale Dataplex.

Puoi configurare una chiave CMEK a livello di organizzazione nel Catalogo universale Dataplex.

Per ulteriori informazioni sulle chiavi CMEK in generale, incluso quando e perché attivarle, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Vantaggi di CMEK

CMEK ti consente di:

  • Gestisci le operazioni del ciclo di vita delle chiavi e le autorizzazioni di accesso.
  • Monitora l'utilizzo delle chiavi con le dashboard dell'API Key Inventory e dell'utilizzo delle chiavi in Cloud KMS, che ti consentono di vedere, ad esempio, quali chiavi proteggono quali risorse. Cloud Logging ti dice quando sono state accese le chiavi e da chi.
  • Soddisfa requisiti normativi specifici gestendo le tue chiavi di crittografia.

Come funziona CMEK con il Catalogo universale Dataplex

Gli amministratori della crittografia del Catalogo universale Dataplex nel tuo Google Cloud progetto possono configurare la chiave CMEK per il Catalogo universale Dataplex fornendo la chiave Cloud KMS. Quindi, il Catalogo universale Dataplex utilizza la chiave Cloud KMS specificata per criptare tutti i dati, inclusi quelli esistenti e le eventuali nuove risorse create all'interno del Catalogo universale Dataplex.

Funzionalità supportate

  • Dataplex Universal Catalog supporta la crittografia CMEK per le seguenti funzionalità:
  • Data Lineage non memorizza contenuti principali del cliente o dati sensibili e, pertanto, non richiede la crittografia CMEK.
  • I clienti di Assured Workloads non possono utilizzare altre funzionalità del Catalogo universale Dataplex perché la crittografia CMEK non è supportata per loro.
  • I clienti che non utilizzano Assured Workloads possono utilizzare altre funzionalità, ma i dati vengono criptati utilizzando la crittografia predefinita di Google.

Considerazioni

  • Per impostazione predefinita, il provisioning di ogni organizzazione viene eseguito utilizzando la crittografia predefinita di Google.
  • L'amministratore dell'organizzazione può passare a CMEK nel Catalogo universale Dataplex per qualsiasi località.
  • Il Catalogo universale Dataplex supporta le chiavi Cloud KMS, le chiavi Cloud HSM e le chiavi Cloud External Key Manager.
  • La rotazione delle chiavi è supportata e, quando è disponibile, la nuova versione della chiave viene utilizzata automaticamente per la crittografia dei dati. Anche i dati esistenti vengono criptati con questa nuova versione.
  • Il Catalogo universale Dataplex conserva i backup dei dati per un massimo di 15 giorni. Tutti i backup creati dopo l'attivazione di CMEK vengono criptati utilizzando la chiave KMS specificata. I dati di cui è stato eseguito il backup prima dell'attivazione della CMEK rimangono criptati con la crittografia predefinita di Google per un massimo di 15 giorni.

Limitazioni

  • Il passaggio a CMEK è un processo irreversibile. Una volta scelta la crittografia CMEK, non potrai ripristinare la crittografia predefinita di Google.
  • Una volta configurata per il Catalogo universale Dataplex, la chiave Cloud KMS non può essere aggiornata o modificata.
  • Il Catalogo universale Dataplex supporta solo la crittografia a livello di organizzazione. Di conseguenza, la configurazione della crittografia viene impostata a livello di organizzazione per una determinata località e viene utilizzata per criptare i dati del Catalogo universale Dataplex per tutti i progetti all'interno dell'organizzazione e della località. La crittografia CMEK non è supportata per progetti specifici all'interno di un'organizzazione o di una cartella. L'impostazione delle norme dell'organizzazione relative a CMEK richiede un'attenta considerazione.
  • Il catalogo universale Dataplex non supporta CMEK nella regione globale.
  • La protezione CMEK non è disponibile per i metadati acquisiti negli aspetti e nei glossari.

Proteggere le chiavi di crittografia

Per garantire l'accesso continuativo ai dati criptati con CMEK, segui queste best practice:

  • Assicurati che le chiavi CMEK rimangano attive e accessibili. Se una chiave viene disattivata o distrutta, i dati del Catalogo universale Dataplex diventano inaccessibili. Se la chiave non è disponibile per più di 30 giorni, i dati criptati con quella chiave vengono eliminati automaticamente e non possono essere recuperati.
  • Se la chiave Cloud KMS viene distrutta e non è recuperabile, tutti i dati associati di Dataplex Universal Catalog andranno persi definitivamente.
  • Nei casi in cui Cloud KMS non sia temporaneamente disponibile, il Catalogo universale Dataplex continua a supportare operazioni complete secondo il criterio del "best effort" per un massimo di un'ora. Trascorso questo periodo, i dati diventeranno temporaneamente inaccessibili come misura di protezione.
  • Quando utilizzi Cloud EKM, tieni presente che Google non controlla la disponibilità delle chiavi gestite esternamente. La mancata disponibilità delle chiavi a breve termine comporta l'inaccessibilità temporanea dei dati. La mancata disponibilità della chiave che si protrae per 30 giorni comporta la perdita permanente dei dati.
  • Dopo aver attivato CMEK, non spostare i progetti da un'organizzazione all'altra, in quanto questa azione comporta la perdita di dati.

Disponibilità del Catalogo universale Dataplex

Le sezioni seguenti descrivono la procedura e l'impatto operativo previsto quando attivi CMEK per la tua organizzazione Dataplex Universal Catalog.

Provisioning iniziale dell'infrastruttura

Dopo aver salvato la configurazione della crittografia, Dataplex Universal Catalog imposta l'infrastruttura necessaria. In genere, questa procedura richiede da 6 a 8 ore. Durante questa fase di provisioning, mantieni l'accesso completo a tutte le funzionalità del Catalogo universale Dataplex e i dati rimangono criptati tramite la crittografia gestita da Google. Se il criterio dell'organizzazione constraints/gcp.restrictNonCmekServices è impostato, le richieste di creazione delle risorse non vanno a buon fine fino al completamento della fase di provisioning.

Crittografia dei dati e disponibilità dell'API

Dopo il provisioning dell'infrastruttura, il Catalogo universale Dataplex inizia a criptare i dati esistenti archiviati all'interno dell'organizzazione. Per garantire l'integrità dei dati e prevenire potenziali incoerenze durante questa procedura di crittografia, i metodi dell'API Dataplex Universal Catalog non sono temporaneamente disponibili. Questa limitazione impedisce le operazioni di aggiornamento dei dati. Quando attivi inizialmente la chiave CMEK per il catalogo universale Dataplex, tutti i dati esistenti vengono criptati. Si stima che questa operazione una tantum possa richiedere fino a due ore.

Operazioni post-crittografia

Al termine della crittografia dei dati esistenti, i metodi dell'API Dataplex Universal Catalog sono completamente disponibili. La creazione o la modifica dei dati all'interno del Catalogo universale Dataplex viene criptata automaticamente utilizzando il CMEK configurato, senza interruzioni operative o limitazioni dell'API.

Crea una chiave e attiva CMEK

Le istruzioni riportate di seguito spiegano come creare una chiave e attivare CMEK per il Catalogo universale Dataplex. Puoi utilizzare una chiave creata direttamente in Cloud KMS o una chiave con gestione esterna che hai reso disponibile con Cloud EKM.

  1. Nel Google Cloud progetto in cui vuoi gestire le tue chiavi, procedi come segue:

    1. Abilita l'API Cloud Key Management Service.

    2. Crea un keyring Cloud KMS nella posizione in cui vuoi utilizzarlo.

    3. Crea una chiave utilizzando una delle seguenti opzioni:

  2. Crea e mostra l'account di servizio gestito da Google:

    gcloud beta services identity create \
    --service=dataplex.googleapis.com \
    --organization=ORG_ID

    Sostituisci ORG_ID con l'ID dell'organizzazione che contiene la chiave.

    Se ti viene chiesto di installare il componente dei comandi beta di Google Cloud CLI, invia Y.

    Il comando services identity gcloud CLI crea o recupera l'account di servizio gestito da Google specifico che il Catalogo universale Dataplex può utilizzare per accedere alla chiave Cloud KMS.

    L'ID account di servizio è formattato come service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.

  3. Concedi il ruolo IAM Autore crittografia/decrittografia CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) all'account di servizio Dataplex Universal Catalog. Concedi questa autorizzazione alla chiave che hai creato.

    Console

    1. Vai alla pagina Gestione chiavi.

      Vai a Gestione chiavi

    2. Fai clic sul keyring.

    3. Nell'elenco delle chiavi disponibili, fai clic sulla chiave che hai creato.

    4. Fai clic sulla scheda Autorizzazioni.

    5. Fai clic su Concedi accesso.

    6. Nel riquadro Concedi l'accesso che si apre, segui questi passaggi per concedere l'accesso all'account di servizio Dataplex Universal Catalog:

      1. In Aggiungi entità, inserisci l'account di servizio service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.
      2. In Assegna ruoli, seleziona il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS.
      3. Fai clic su Salva.

    gcloud

    Concedi all'account di servizio il ruolo cloudkms.cryptoKeyEncrypterDecrypter:

    gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location=LOCATION \
    --keyring KEY_RING \
    --project=KEY_PROJECT_ID \
    --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter

    Sostituisci quanto segue:

    • KEY_NAME: il nome della chiave
    • LOCATION: la località
    • KEY_RING: il keyring
    • KEY_PROJECT_ID: l'ID progetto principale

  4. Assegnati il ruolo Amministratore Dataplex Encryption.

    Console

    Segui le istruzioni per concedere un ruolo IAM.

    gcloud 

    gcloud organizations add-iam-policy-binding ORG_ID \
    --member='user:USER_EMAIL' \
    --role='roles/dataplex.encryptionAdmin'

    Sostituisci quanto segue:

    • ORG_ID: l'ID dell'organizzazione che contiene la chiave.
    • USER_EMAIL: l'indirizzo email dell'utente.

  5. Configura il Catalogo universale Dataplex per utilizzare la chiave CMEK.

    Console

    1. Nella Google Cloud console, vai alla pagina Dataplex.

      Vai a Dataplex

    2. Fai clic su Impostazioni.

    3. In Seleziona la regione per CMEK, seleziona una regione. La regione selezionata deve corrispondere alla posizione della chiave Cloud KMS.

    4. In Seleziona chiave di crittografia, seleziona la chiave che hai creato.

    5. Fai clic su Salva.

      Il processo di crittografia dei dati richiede del tempo. Al termine della procedura, viene visualizzato il seguente messaggio: Data Encryption is complete. Your selected CMEK key is now protecting your data.

    gcloud

    1. Imposta la configurazione della crittografia nel Catalogo universale Dataplex:

      gcloud dataplex encryption-config create default \
    --location=LOCATION \
    --organization=ORG_ID \
    --key=KEY_RESOURCE_ID

      Sostituisci quanto segue:

      • ORG_ID: l'ID dell'organizzazione che contiene la chiave.
      • KEY_RESOURCE_ID: l'ID risorsa principale, ad esempio projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. Sostituisci PROJECT_ID con l'ID progetto della chiave.

    2. Verifica che la procedura di crittografia sia completata:

      gcloud dataplex encryption-config describe default \
    --location=LOCATION \
    --organization=ORG_ID

    Il processo di crittografia dei dati richiede del tempo. Al termine della procedura, viene visualizzato il seguente messaggio: encryptionState: COMPLETED.

Logging e monitoraggio

Controlla le richieste di Dataplex Universal Catalog a Cloud KMS attivando la registrazione degli audit per l'API Cloud KMS.

Policy dell'organizzazione CMEK

Google Cloud fornisce limitazioni dei criteri dell'organizzazione per applicare l'utilizzo di CMEK e controllare le chiavi Cloud KMS consentite all'interno della tua organizzazione. Questi vincoli contribuiscono ad assicurare che i dati all'interno di Dataplex Universal Catalog siano protetti in modo coerente da CMEK.

  • constraints/gcp.restrictNonCmekServices applica l'utilizzo obbligatorio di CMEK per le risorse del Catalogo universale Dataplex.

    • L'aggiunta di dataplex.googleapis.com all'elenco dei nomi di servizio Google Cloud e l'impostazione del vincolo su Deny impedisce la creazione di risorse del Catalogo universale Dataplex che non dispongono della protezione CMEK.

    • Se non viene specificata una chiave Cloud KMS per la posizione richiesta nelle impostazioni di crittografia CMEK, le richieste di creazione di risorse nel Catalogo universale Dataplex non andranno a buon fine.

    • Questo criterio viene convalidato a livello di progetto di ogni singola risorsa.

  • constraints/gcp.restrictCmekCryptoKeyProjects limita la selezione delle chiavi Cloud KMS per CMEK alle gerarchie di risorse designate.

    • Configurando un elenco di indicatori della gerarchia delle risorse (progetti, cartelle o organizzazioni) e impostando il vincolo su Allow, il Catalogo universale Dataplex è limitato a utilizzare le chiavi CMEK solo dalle posizioni specificate.

    • Se viene fornita una chiave Cloud KMS di un progetto non consentito, le richieste per creare risorse protette da CMEK nel Catalogo universale Dataplex non andranno a buon fine.

    • Questo criterio viene convalidato a livello di progetto della risorsa durante la sua creazione.

    • Questo criterio viene convalidato a livello di organizzazione durante la configurazione delle impostazioni di crittografia CMEK.

    • Per evitare incoerenze, assicurati che le configurazioni a livello di progetto siano in linea con le norme a livello di organizzazione.

Per ulteriori informazioni sulla configurazione delle policy dell'organizzazione, consulta Policy dell'organizzazione CMEK.

Passaggi successivi

  • Scopri di più su CMEK.