Abilitare le chiavi di crittografia gestite dal cliente

Questo documento descrive come criptare i dati di Dataplex Universal Catalog con chiavi di crittografia gestite dal cliente (CMEK).

Panoramica

Per impostazione predefinita, Dataplex Universal Catalog cripta i contenuti inattivi dei clienti. Dataplex Universal Catalog gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google.

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con servizi integrati con CMEK, tra cui Dataplex Universal Catalog. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la località, la pianificazione della rotazione, le autorizzazioni di utilizzo e di accesso e i limiti crittografici. Con Cloud KMS puoi inoltre monitorare l'utilizzo delle chiavi, visualizzare gli audit log e controllare i cicli di vita delle chiavi. Invece di Google, sei tu ad avere la proprietà e la gestione delle chiavi di crittografia della chiave (KEK) simmetriche che proteggono i tuoi dati. Puoi controllare e gestire queste chiavi in Cloud KMS.

Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse di Dataplex Universal Catalog è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Dataplex Universal Catalog utilizza una chiave CMEK per località per tutte le risorse Dataplex Universal Catalog.

Puoi configurare una chiave CMEK a livello di organizzazione in Dataplex Universal Catalog.

Per ulteriori informazioni sulle CMEK in generale, incluso quando e perché abilitarle, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Vantaggi di CMEK

CMEK ti consente di:

  • Gestisci le operazioni del ciclo di vita delle chiavi e le autorizzazioni di accesso.
  • Monitora l'utilizzo delle chiavi con l'API Key Inventory e i dashboard Key Usage in Cloud KMS, che ti consentono di vedere, ad esempio, quali chiavi proteggono quali risorse. Cloud Logging ti indica quando e da chi sono state utilizzate le chiavi.
  • Soddisfa requisiti normativi specifici gestendo le chiavi di crittografia.

Come funziona CMEK con il Catalogo universale Dataplex

Gli amministratori della crittografia di Dataplex Universal Catalog nel tuo Google Cloud progetto possono configurare CMEK per Dataplex Universal Catalog fornendo la chiave Cloud KMS. Successivamente, Dataplex Universal Catalog utilizza la chiave Cloud KMS specificata per criptare tutti i dati, inclusi quelli esistenti e le nuove risorse create all'interno di Dataplex Universal Catalog.

Funzionalità supportate

  • Dataplex Universal Catalog supporta la crittografia CMEK per le seguenti funzionalità:
  • Data Lineage non archivia contenuti principali o dati sensibili dei clienti e pertanto non richiede la crittografia CMEK.
  • I clienti di Assured Workloads non possono utilizzare altre funzionalità di Dataplex Universal Catalog perché la crittografia CMEK non è supportata.
  • I clienti che non utilizzano Assured Workloads possono utilizzare altre funzionalità, ma i dati vengono criptati utilizzando la crittografia predefinita di Google.

Considerazioni

  • Per impostazione predefinita, ogni organizzazione viene sottoposta a provisioning utilizzando la crittografia predefinita di Google.
  • L'amministratore dell'organizzazione può passare a CMEK in Dataplex Universal Catalog per qualsiasi località.
  • Dataplex Universal Catalog supporta le chiavi Cloud KMS, le chiavi Cloud HSM e le chiavi Cloud External Key Manager.
  • La rotazione delle chiavi è supportata e, dopo la sua disponibilità, la nuova versione della chiave viene utilizzata automaticamente per la crittografia dei dati. Anche i dati esistenti vengono criptati con questa nuova versione.
  • Dataplex Universal Catalog conserva i backup dei dati per un massimo di 15 giorni. Tutti i backup creati dopo l'attivazione di CMEK vengono criptati utilizzando la chiave KMS specificata. I dati di cui è stato eseguito il backup prima dell'attivazione di CMEK rimangono criptati con la crittografia predefinita di Google per un massimo di 15 giorni.

Limitazioni

  • Il passaggio a CMEK è un processo irreversibile. Una volta scelta CMEK, non puoi tornare alla crittografia predefinita di Google.
  • Una volta configurata una chiave Cloud KMS per Dataplex Universal Catalog, non può essere aggiornata o modificata.
  • Il catalogo universale Dataplex supporta solo la crittografia a livello di organizzazione. Di conseguenza, la configurazione della crittografia viene impostata a livello di organizzazione per una determinata località e viene utilizzata per criptare i dati di Dataplex Universal Catalog per tutti i progetti all'interno di quell'organizzazione e di quella località. La crittografia CMEK non è supportata per progetti specifici all'interno di un'organizzazione o una cartella. L'impostazione delle policy dell'organizzazione relative a CMEK richiede un'attenta valutazione.
  • Dataplex Universal Catalog non supporta CMEK nella regione globale.
  • La protezione CMEK non è disponibile per i metadati acquisiti in aspetti e glossari.

Proteggere le chiavi di crittografia

Per garantire l'accesso continuo ai dati criptati da CMEK, segui queste best practice:

  • Assicurati che le chiavi CMEK rimangano attive e accessibili. Se una chiave viene disattivata o distrutta, i dati di Dataplex Universal Catalog diventano inaccessibili. Se la chiave non è disponibile per più di 30 giorni, i dati criptati con quella chiave vengono eliminati automaticamente e non possono essere recuperati.
  • Se la chiave Cloud KMS viene eliminata e non è recuperabile, tutti i dati di Dataplex Universal Catalog associati andranno persi definitivamente.
  • Nei casi in cui Cloud KMS non è temporaneamente disponibile, Dataplex Universal Catalog continua a supportare le operazioni complete secondo il criterio del "best effort" per un massimo di un'ora. Trascorso questo periodo, i dati diventeranno temporaneamente inaccessibili come misura protettiva.
  • Quando utilizzi Cloud EKM, tieni presente che Google non controlla la disponibilità delle chiavi gestite esternamente. La mancata disponibilità della chiave a breve termine comporta l'inaccessibilità temporanea dei dati. La mancata disponibilità della chiave che continua per 30 giorni comporta la perdita permanente dei dati.
  • Dopo aver attivato CMEK, non spostare i progetti da un'organizzazione a un'altra, perché questa azione comporta la perdita di dati.

Disponibilità del Catalogo universale Dataplex

Le sezioni seguenti descrivono la procedura e l'impatto operativo previsto quando abiliti CMEK per la tua organizzazione Dataplex Universal Catalog.

Provisioning iniziale dell'infrastruttura

Dopo aver salvato la configurazione della crittografia, Dataplex Universal Catalog configura l'infrastruttura necessaria. In genere, questo processo richiede 6-8 ore. Durante questa fase di provisioning, mantieni l'accesso completo a tutte le funzionalità del Catalogo universale Dataplex e i dati rimangono criptati tramite la crittografia gestita da Google. Se il criterio dell'organizzazione constraints/gcp.restrictNonCmekServices è impostato, le richieste di creazione delle risorse non vanno a buon fine fino al completamento della fase di provisioning.

Crittografia dei dati e disponibilità dell'API

Dopo il provisioning dell'infrastruttura, Dataplex Universal Catalog inizia a criptare i dati esistenti archiviati all'interno dell'organizzazione. Per garantire l'integrità dei dati e prevenire potenziali incoerenze durante questo processo di crittografia, i metodi dell'API Dataplex non sono temporaneamente disponibili. Questa limitazione impedisce le operazioni di aggiornamento dei dati. Quando attivi inizialmente CMEK per Dataplex Universal Catalog, tutti i dati esistenti vengono criptati. Questa operazione una tantum richiede circa due ore.

Operazioni post-crittografia

Una volta completata la crittografia dei dati esistenti, i metodi dell'API Dataplex sono completamente disponibili. La creazione o la modifica dei dati all'interno di Dataplex Universal Catalog viene criptata automaticamente utilizzando la CMEK configurata, senza interruzioni operative o limitazioni API.

Crea una chiave e abilita CMEK

Le istruzioni riportate di seguito spiegano come creare una chiave e abilitare CMEK per Dataplex Universal Catalog. Puoi utilizzare una chiave creata direttamente in Cloud KMS o una chiave con gestione esterna che rendi disponibile con Cloud EKM.

  1. Nel progetto Google Cloud in cui vuoi gestire le chiavi, procedi come segue:

    1. Abilita l'API Cloud Key Management Service.

    2. Crea un keyring Cloud KMS nella località in cui vuoi utilizzarlo.

    3. Crea una chiave utilizzando una delle seguenti opzioni:

  2. Crea e visualizza il account di servizio gestito da Google:

    gcloud beta services identity create \
    --service=dataplex.googleapis.com \
    --organization=ORG_ID

    Sostituisci ORG_ID con l'ID dell'organizzazione che contiene la chiave.

    Se ti viene chiesto di installare il componente dei comandi beta di Google Cloud CLI, inserisci Y.

    Il comando services identity di gcloud CLI crea o recupera il account di servizio gestito da Google specifico che Dataplex Universal Catalog può utilizzare per accedere alla chiave Cloud KMS.

    L'ID del account di servizio è formattato come service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com. Viene creato anche un account di servizio specifico per CMEK, formattato come service-org-ORG_ID@gcp-sa-dataplex-cmek.iam.gserviceaccount.com. Il account di servizio specifico per CMEK viene utilizzato per criptare e decriptare i dati archiviati in Dataplex Universal Catalog. Se utilizzi i Controlli di servizio VPC per la chiave Cloud KMS, devi concedere l'accesso all'account di servizio specifico per CMEK utilizzando una regola di ingresso.

  3. Concedi il ruolo IAM Autore crittografia/decrittografia CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) al account di servizio Dataplex Universal Catalog. Concedi questa autorizzazione per la chiave che hai creato.

    Console

    1. Vai alla pagina Gestione chiavi.

      Vai a Gestione chiavi

    2. Fai clic sul keyring.

    3. Nell'elenco delle chiavi disponibili, fai clic su quella che hai creato.

    4. Fai clic sulla scheda Autorizzazioni.

    5. Fai clic su Concedi accesso.

    6. Nel riquadro Concedi l'accesso che si apre, segui questi passaggi per concedere l'accesso alaccount di serviziot Dataplex Universal Catalog:

      1. In Aggiungi entità, inserisci il account di servizio service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.
      2. In Assegna i ruoli, seleziona il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS.
      3. Fai clic su Salva.

    gcloud

    Concedi all'account di servizio il ruolo cloudkms.cryptoKeyEncrypterDecrypter:

    gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location=LOCATION \
    --keyring KEY_RING \
    --project=KEY_PROJECT_ID \
    --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter

    Sostituisci quanto segue:

    • KEY_NAME: il nome della chiave
    • LOCATION: la posizione
    • KEY_RING: le chiavi automatizzate
    • KEY_PROJECT_ID: l'ID progetto della chiave

  4. Assegna a te stesso il ruolo Amministratore di Dataplex Encryption.

    Console

    Segui le istruzioni per concedere un ruolo IAM.

    gcloud 

    gcloud organizations add-iam-policy-binding ORG_ID \
    --member='user:USER_EMAIL' \
    --role='roles/dataplex.encryptionAdmin'

    Sostituisci quanto segue:

    • ORG_ID: l'ID dell'organizzazione che contiene la chiave.
    • USER_EMAIL: l'indirizzo email dell'utente.

  5. Configura Dataplex Universal Catalog per utilizzare la chiave CMEK.

    Console

    1. Nella console Google Cloud , vai alla pagina Dataplex.

      Vai a Dataplex

    2. Fai clic su Impostazioni.

    3. In Seleziona la regione per CMEK, seleziona una regione. La regione che selezioni deve corrispondere alla posizione della chiave Cloud KMS.

    4. In Seleziona chiave di crittografia, seleziona la chiave che hai creato.

    5. Fai clic su Salva.

      Il processo di crittografia dei dati richiede del tempo. Al termine della procedura, viene visualizzato il seguente messaggio: Data Encryption is complete. Your selected CMEK key is now protecting your data.

    gcloud

    1. Imposta la configurazione della crittografia in Dataplex Universal Catalog:

      gcloud dataplex encryption-config create default \
    --location=LOCATION \
    --organization=ORG_ID \
    --key=KEY_RESOURCE_ID

      Sostituisci quanto segue:

      • ORG_ID: l'ID dell'organizzazione che contiene la chiave.
      • KEY_RESOURCE_ID: l'ID risorsa chiave, ad esempio projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. Sostituisci PROJECT_ID con l'ID progetto della chiave.

    2. Verifica che la procedura di crittografia sia completata:

      gcloud dataplex encryption-config describe default \
    --location=LOCATION \
    --organization=ORG_ID

    Il processo di crittografia dei dati richiede del tempo. Al termine della procedura, viene visualizzato il seguente messaggio: encryptionState: COMPLETED.

Logging e monitoraggio

Esegui l'audit delle richieste del catalogo universale Dataplex a Cloud KMS attivando la registrazione degli audit per l'API Cloud KMS.

Policy dell'organizzazione CMEK

Google Cloud fornisce vincoli dei criteri dell'organizzazione per applicare l'utilizzo di CMEK e controllare le chiavi Cloud KMS consentite all'interno della tua organizzazione. Questi vincoli contribuiscono a garantire che i dati all'interno di Dataplex Universal Catalog siano protetti in modo coerente da CMEK.

  • constraints/gcp.restrictNonCmekServices impone l'utilizzo obbligatorio di CMEK per le risorse Dataplex Universal Catalog.

    • L'aggiunta di dataplex.googleapis.com all'elenco dei nomi dei servizi Google Cloud e l'impostazione del vincolo su Deny impedisce la creazione di risorse Dataplex Universal Catalog che non dispongono della protezione CMEK.

    • Se non viene specificata una chiave Cloud KMS per la posizione richiesta nelle impostazioni di crittografia CMEK, le richieste di creazione di risorse all'interno di Dataplex Universal Catalog non andranno a buon fine.

    • Questa policy viene convalidata a livello di progetto di singola risorsa.

  • constraints/gcp.restrictCmekCryptoKeyProjects limita la selezione delle chiavi Cloud KMS per CMEK alle gerarchie di risorse designate.

    • Se configuri un elenco di indicatori della gerarchia delle risorse (progetti, cartelle o organizzazioni) e imposti il vincolo su Allow, Dataplex Universal Catalog è limitato all'utilizzo delle chiavi CMEK solo dalle località specificate.

    • Se viene fornita una chiave Cloud KMS di un progetto non consentito, le richieste per creare risorse protette da CMEK in Dataplex Universal Catalog non andranno a buon fine.

    • Questa policy viene convalidata a livello di progetto della risorsa durante la creazione della risorsa.

    • Questa norma viene convalidata a livello di organizzazione durante la configurazione delle impostazioni di crittografia CMEK.

    • Per evitare incoerenze, assicurati che le configurazioni a livello di progetto siano in linea con le norme a livello di organizzazione.

Per ulteriori informazioni sulla configurazione delle policy dell'organizzazione, consulta la sezione Policy dell'organizzazione CMEK.

Passaggi successivi

  • Scopri di più su CMEK.