Ativar as chaves de criptografia gerenciadas pelo cliente

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Este documento descreve como criptografar dados do Dataplex com chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês).

Visão geral

Por padrão, o Dataplex criptografa o conteúdo do cliente em repouso. O Dataplex processa a criptografia para você sem que você precise fazer nada. Essa opção é chamada de Criptografia padrão do Google.

Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o Dataplex. O uso de chaves do Cloud KMS permite controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. O uso do Cloud KMS também permite a você monitorar o uso de chaves, visualizar registros de auditoria e controlar ciclos de vida importantes. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.

Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos do Dataplex é semelhante à criptografia padrão do Google. Para mais informações sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

O Dataplex usa um CMEK por local para todos os recursos do Dataplex.

É possível configurar uma chave CMEK no nível da organização no Dataplex.

Para mais informações sobre CMEK em geral, como quando e por que ativar, consulte Chaves de criptografia gerenciadas pelo cliente (CMEKs).

Benefícios de CMEK

Com a CMEK, você pode fazer o seguinte:

• Gerenciar operações de ciclo de vida de chaves e permissões de acesso.
• Monitore o uso de chaves com a API Key Inventory e os painéis de uso de chaves no Cloud KMS, que mostram informações como quais chaves protegem quais recursos. O Cloud Logging informa quando as chaves foram acessadas e por quem.
• Atenda a requisitos regulatórios específicos gerenciando suas chaves de criptografia.

Como o CMEK funciona com o Dataplex

Os administradores de criptografia do Dataplex no seu projeto do Google Cloud podem configurar a CMEK para o Dataplex fornecendo a chave do Cloud KMS. Em seguida, o Dataplex usa a chave do Cloud KMS especificada para criptografar todos os dados, incluindo os dados atuais e todos os novos recursos criados no Dataplex.

Recursos compatíveis

• O Dataplex é compatível com a criptografia CMEK para os seguintes recursos:
  • Verificação de qualidade de dados e do perfil
  • Descoberta de dados
  • Insights de metadados
• Os clientes do Assured Workloads não podem usar outros recursos do Dataplex, porque a criptografia CMEK ainda não é compatível com eles.
• Os clientes que não usam o Assured Workloads podem usar todos os recursos, mas os dados deles serão criptografados usando a criptografia padrão do Google.

Considerações

• Por padrão, cada organização é provisionada usando a criptografia padrão do Google.
• O administrador da organização pode mudar para CMEK no Dataplex em qualquer local.
• O Dataplex oferece suporte a chaves do Cloud KMS, do Cloud HSM e do Cloud External Key Manager.
• A rotação de chaves é aceita e, quando disponível, a nova versão da chave é usada automaticamente para criptografia de dados. Os dados atuais também são criptografados com essa nova versão.
• O Dataplex retém backups de dados por no máximo 15 dias. Todos os backups criados após a ativação do CMEK são criptografados usando a chave KMS especificada. Os dados salvos em backup antes da ativação da CMEK permanecem criptografados com a criptografia padrão do Google por um máximo de 15 dias.

Limitações

• A mudança para a CMEK é um processo irreversível. Depois de optar pela CMEK, não é possível reverter para a criptografia padrão do Google.
• Depois que uma chave do Cloud KMS é configurada para o Dataplex, ela não pode ser atualizada nem alterada.
• O Dataplex oferece suporte apenas à criptografia no nível da organização. Como resultado, a configuração de criptografia é definida no nível da organização para um determinado local e é usada para criptografar dados do Dataplex em todos os projetos nessa organização e local. A criptografia CMEK não tem suporte para projetos específicos em uma organização ou pasta. A configuração de políticas da organização relacionadas à CMEK requer uma análise cuidadosa.
• O Dataplex não oferece suporte a CMEK na região global.
• Depois de ativar a CMEK, não mova projetos de uma organização para outra, porque isso resulta na perda de dados.

Gerenciar suas chaves de criptografia

• Verifique se as chaves CMEK continuam ativadas e acessíveis. Se uma chave for desativada ou destruída, os dados do Dataplex ficarão inacessíveis. Se a chave ficar indisponível por mais de 30 dias, os dados criptografados com ela serão excluídos automaticamente e não poderão ser recuperados.
• Se a chave do Cloud KMS for destruída e não puder ser recuperada, todos os dados associados ao Dataplex serão perdidos permanentemente.
• Nos casos em que o Cloud KMS está temporariamente indisponível, o Dataplex continua oferecendo suporte a operações completas de acordo com o melhor esforço por até uma hora. Após esse período, os dados ficam temporariamente inacessíveis como medida de proteção.
• Ao usar o Cloud EKM, o Google não controla a disponibilidade das chaves gerenciadas externamente. A indisponibilidade de chaves de curto prazo resulta na inacessibilidade temporária dos dados. A indisponibilidade da chave que continua por 30 dias resulta na perda permanente de dados.

Disponibilidade do Dataplex

As seções a seguir descrevem o processo e o impacto operacional esperado quando você ativa o CMEK para sua organização do Dataplex.

Provisionamento inicial de infraestrutura

Depois de salvar a configuração de criptografia, o Dataplex configura a infraestrutura necessária. Esse processo geralmente leva de 6 a 8 horas. Durante essa fase de provisionamento, você mantém o acesso total a todos os recursos e funcionalidades do Dataplex, e os dados permanecem criptografados pela criptografia gerenciada pelo Google. Se a política da organização constraints/gcp.restrictNonCmekServices estiver definida, as solicitações de criação de recursos vão falhar até que a fase de provisionamento seja concluída.

Criptografia de dados e disponibilidade da API

Após o provisionamento da infraestrutura, o Dataplex começa a criptografar os dados armazenados na organização. Para garantir a integridade dos dados e evitar possíveis inconsistências durante esse processo de criptografia, as APIs do Dataplex estão temporariamente indisponíveis. Essa restrição impede operações de atualização de dados. Quando você ativa o CMEK para o Dataplex pela primeira vez, todos os dados existentes são criptografados. Essa operação única é estimada em até duas horas.

Operações pós-criptografia

Depois que a criptografia de dados for concluída, as APIs do Dataplex estarão totalmente disponíveis. A criação ou modificação de dados no Dataplex é criptografada automaticamente usando o CMEK configurado, sem interrupções operacionais ou restrições de API.

Criar uma chave e conceder permissões

As instruções a seguir explicam como criar uma chave. É possível usar uma chave criada diretamente no Cloud KMS ou uma chave gerenciada externamente que você disponibiliza com o Cloud EKM.

1. No projeto Google Cloud em que você quer gerenciar as chaves, faça o seguinte:

   1. Ative a API Cloud Key Management Service.

   2. Crie um keyring do Cloud KMS no local em que você quer usá-lo.

   3. Crie uma chave usando uma das seguintes opções:

      • Criar uma chave do Cloud KMS.
      • Crie uma chave externa.

2. Crie e mostre a conta de serviço gerenciada pelo Google:

   gcloud beta services identity create \
       --service=dataplex.googleapis.com \
       --organization=ORG_ID
   

   Substitua ORG_ID pelo ID da organização que contém a chave.

   Se você receber uma solicitação para instalar o componente de comandos Beta da CLI do Google Cloud, digite Y.

   O comando de identidade de serviços da gcloud CLI cria ou extrai a conta de serviço gerenciada pelo Google específica que o Dataplex pode usar para acessar a chave do Cloud KMS.

   O ID da conta de serviço é formatado como service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.

3. Conceda o papel do IAM de Criptografador/Descriptografador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) à conta de serviço do Dataplex. Conceda essa permissão na chave que você criou.

   Console

   1. Acesse a página Gerenciamento de chaves.

      Acessar "Gerenciamento de chaves"

   2. Clique no keyring.

   3. Na lista de chaves disponíveis, clique na chave que você criou.

   4. Clique na guia Permissões.

   5. Clique em Conceder acesso.

   6. No painel Conceder acesso que é aberto, siga estas etapas para conceder acesso à conta de serviço do Dataplex:

      1. Em Adicionar principais, insira a conta de serviço service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.
      2. Em Atribuir papéis, selecione o papel Criptografador/descriptografador do Cloud KMS CryptoKey.
      3. Clique em Salvar.

   gcloud

   Conceda à conta de serviço o papel cloudkms.cryptoKeyEncrypterDecrypter:

   gcloud kms keys add-iam-policy-binding KEY_NAME \
       --location=LOCATION \
       --keyring KEY_RING \
       --project=KEY_PROJECT_ID \
       --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \
       --role roles/cloudkms.cryptoKeyEncrypterDecrypter
   

   Substitua:

   • KEY_NAME: o nome da chave
   • LOCATION: o local
   • KEY_RING: o keyring
   • KEY_PROJECT_ID: o ID do projeto da chave

4. Atribua a função de administrador de criptografia do Dataplex a você mesmo.

   Console

   Siga as instruções para conceder um papel do IAM.

   gcloud

   gcloud organizations add-iam-policy-binding ORG_ID \
       --member='user:USER_EMAIL' \
       --role='roles/dataplex.encryptionAdmin'
   

   Substitua:

   • ORG_ID: o ID da organização que contém a chave.
   • USER_EMAIL: o endereço de e-mail do usuário.

5. Configure o Dataplex para usar sua chave CMEK.

   Console

   1. No console do Google Cloud, acesse a página Dataplex.

      Acesse o Dataplex.

   2. Clique em Configurações.

   3. Em Selecionar região para a CMEK, selecione uma região. A região selecionada precisa corresponder ao local da chave do Cloud KMS.

   4. Em Selecionar chave de criptografia, selecione a chave que você criou.

   5. Clique em Salvar.

      O processo de criptografia de dados leva um tempo para ser concluído. Quando o processo for concluído, a seguinte mensagem vai aparecer: Data Encryption is complete. Your selected CMEK key is now protecting your data.

   gcloud

   1. Defina a configuração de criptografia no Dataplex:

      gcloud alpha dataplex encryption-config create default \
          --location=LOCATION \
          --organization=ORG_ID \
          --key=KEY_RESOURCE_ID
      

      Substitua:

      • ORG_ID: o ID da organização que contém a chave.
      • KEY_RESOURCE_ID: o ID do recurso da chave, por exemplo, projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. Substitua PROJECT_ID pelo ID do projeto principal.

   2. Verifique se o processo de criptografia foi concluído:

      gcloud alpha dataplex encryption-config describe default \
          --location=LOCATION \
          --organization=ORG_ID
      

   O processo de criptografia de dados leva um tempo para ser concluído. Quando o processo for concluído, a seguinte mensagem vai aparecer: encryptionState: COMPLETED.

Geração de registros e monitoramento

Audite as solicitações do Dataplex para o Cloud KMS ativando a geração de registros de auditoria para a API Cloud KMS.

Políticas da organização de CMEK

Google Cloud oferece restrições de política da organização para aplicar o uso da CMEK e controlar as chaves do Cloud KMS permitidas na organização. Essas restrições ajudam a garantir que os dados no Dataplex sejam protegidos de forma consistente pelo CMEK.

• O constraints/gcp.restrictNonCmekServices exige o uso obrigatório do CMEK para recursos do Dataplex.

  • Adicionar dataplex.googleapis.com à lista de nomes de serviço Google Cloud e definir a restrição como Deny impede a criação de recursos do Dataplex que não tenham proteção CMEK.

  • Se uma chave do Cloud KMS não for especificada para o local solicitado nas configurações de criptografia do CMEK, as solicitações para criar recursos no Dataplex vão falhar.

  • Essa política é validada no nível do projeto de recurso individual.

• constraints/gcp.restrictCmekCryptoKeyProjects restringe a seleção de chaves do Cloud KMS para CMEK a hierarquias de recursos designadas.

  • Ao configurar uma lista de indicadores de hierarquia de recursos (projetos, pastas ou organizações) e definir a restrição como Allow, o Dataplex fica restrito a usar chaves CMEK apenas dos locais especificados.

  • Se uma chave do Cloud KMS de um projeto não permitido for fornecida, as solicitações para criar recursos protegidos por CMEK no Dataplex vão falhar.

  • Essa política é validada no nível do projeto de recurso durante a criação do recurso.

  • Essa política é validada no nível da organização ao configurar as configurações de criptografia CMEK.

  • Para evitar inconsistências, verifique se as configurações no nível do projeto estão alinhadas às políticas da organização.

Para mais informações sobre como configurar políticas da organização, consulte Políticas da organização de CMEK.

A seguir

• Saiba mais sobre o CMEK.