Este documento descreve como criptografar dados do Dataplex Universal Catalog com chaves de criptografia gerenciadas pelo cliente (CMEK).
Visão geral
Por padrão, o Dataplex Universal Catalog criptografa o conteúdo do cliente em repouso. O Dataplex Universal Catalog processa a criptografia para você sem que você precise fazer nada. Essa opção é chamada de Criptografia padrão do Google.
Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o catálogo universal do Dataplex. O uso de chaves do Cloud KMS permite controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. O uso do Cloud KMS também permite que você monitore o uso de chaves, visualize registros de auditoria e controle ciclos de vida importantes. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.
Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos do Dataplex Universal Catalog é semelhante à criptografia padrão do Google. Para mais informações sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).
O Dataplex Universal Catalog usa uma CMEK por local para todos os recursos dele.
É possível configurar uma chave da CMEK no nível da organização no Dataplex Universal Catalog.
Para mais informações sobre CMEK em geral, como quando e por que ativar, consulte Chaves de criptografia gerenciadas pelo cliente (CMEKs).
Benefícios de CMEK
Com a CMEK, é possível:
- Gerenciar operações de ciclo de vida de chaves e permissões de acesso.
- Monitore o uso de chaves com a API Key Inventory e os painéis de uso de chaves no Cloud KMS, que permitem ver quais chaves protegem quais recursos. O Cloud Logging informa quando e por quem as chaves foram acessadas.
- Atenda a requisitos regulamentares específicos gerenciando suas chaves de criptografia.
Como a CMEK funciona com o Dataplex Universal Catalog
Os administradores de criptografia do Dataplex Universal Catalog no seu projeto Google Cloud podem configurar a CMEK para o Dataplex Universal Catalog fornecendo a chave do Cloud KMS. Em seguida, o Dataplex Universal Catalog usa a chave do Cloud KMS especificada para criptografar todos os dados, incluindo os atuais e os novos recursos criados no Dataplex Universal Catalog.
Recursos compatíveis
- O Dataplex Universal Catalog oferece suporte à criptografia CMEK para os seguintes recursos:
- O Data Lineage não armazena conteúdo principal do cliente nem dados sensíveis. Portanto, não exige criptografia CMEK.
- Os clientes do Assured Workloads não podem usar outros recursos do Dataplex Universal Catalog porque a criptografia CMEK não é compatível com eles.
- Os clientes que não usam o Assured Workloads podem usar outros recursos, mas os dados são criptografados com a criptografia padrão do Google.
Considerações
- Por padrão, cada organização é provisionada usando a criptografia padrão do Google.
- O administrador da organização pode mudar para a CMEK no Dataplex Universal Catalog em qualquer local.
- O catálogo universal do Dataplex é compatível com chaves do Cloud KMS, do Cloud HSM e do Cloud External Key Manager.
- A rotação de chaves é compatível e, depois que ela estiver disponível, a nova versão da chave será usada automaticamente para criptografia de dados. Os dados atuais também são criptografados com essa nova versão.
- O Dataplex Universal Catalog retém backups de dados por no máximo 15 dias. Todos os backups criados depois que você ativa a CMEK são criptografados usando a chave do KMS especificada. Os dados armazenados em backup antes da ativação da CMEK permanecem criptografados com a criptografia padrão do Google por no máximo 15 dias.
Limitações
- A mudança para a CMEK é um processo irreversível. Depois de optar pela CMEK, não é possível reverter para a criptografia padrão do Google.
- Depois que uma chave do Cloud KMS é configurada para o Dataplex Universal Catalog, ela não pode ser atualizada ou alterada.
- O Dataplex Universal Catalog é compatível apenas com criptografia no nível da organização. Como resultado, a configuração de criptografia é definida no nível da organização para um determinado local e é usada para criptografar dados do Dataplex Universal Catalog em todos os projetos dessa organização e local. A criptografia CMEK não é compatível com projetos específicos em uma organização ou pasta. A definição de políticas da organização relacionadas à CMEK exige atenção.
- O Dataplex Universal Catalog não é compatível com CMEK na região global.
- A proteção por CMEK não está disponível para metadados capturados em aspectos e glossários.
Proteger suas chaves de criptografia
Para garantir o acesso contínuo aos dados criptografados pela CMEK, siga estas práticas recomendadas:
- Verifique se as chaves da CMEK permanecem ativadas e acessíveis. Se uma chave for desativada ou destruída, os dados do Dataplex Universal Catalog vão ficar inacessíveis. Se a chave ficar indisponível por mais de 30 dias, os dados criptografados com ela serão excluídos automaticamente e não poderão ser recuperados.
- Se a chave do Cloud KMS for destruída e não puder ser recuperada, todos os dados associados do Dataplex Universal Catalog serão perdidos permanentemente.
- Nos casos em que o Cloud KMS está temporariamente indisponível, o Dataplex Universal Catalog continua oferecendo suporte a operações completas da melhor forma possível por até uma hora. Após esse período, os dados ficarão temporariamente inacessíveis como medida de proteção.
- Ao usar o Cloud EKM, saiba que o Google não controla a disponibilidade das suas chaves gerenciadas externamente. A indisponibilidade de chaves de curto prazo resulta em inacessibilidade temporária dos dados. A indisponibilidade da chave por 30 dias resulta em perda permanente de dados.
- Depois de ativar a CMEK, não mova projetos de uma organização para outra, porque isso resulta em perda de dados.
Disponibilidade do Dataplex Universal Catalog
As seções a seguir descrevem o processo e o impacto operacional esperado ao ativar a CMEK para sua organização do Dataplex Universal Catalog.
Provisionamento inicial de infraestrutura
Depois de salvar a configuração de criptografia, o Dataplex Universal Catalog configura a infraestrutura necessária. Esse processo geralmente leva de 6 a 8 horas. Durante essa fase de provisionamento, você mantém acesso total a todos os recursos e funcionalidades do Dataplex Universal Catalog, e os dados permanecem criptografados com a criptografia gerenciada pelo Google. Se a política da organização
constraints/gcp.restrictNonCmekServices estiver definida, as solicitações de criação de recursos
vão falhar até que a fase de provisionamento seja concluída.
Criptografia de dados e disponibilidade da API
Após o provisionamento da infraestrutura, o Dataplex Universal Catalog começa a criptografar os dados armazenados na organização. Para garantir a integridade dos dados e evitar possíveis inconsistências durante esse processo de criptografia, os métodos da API Dataplex Universal Catalog ficam temporariamente indisponíveis. Essa restrição impede operações de atualização de dados. Quando você ativa a CMEK para o Dataplex Universal Catalog, todos os dados atuais são criptografados. Essa operação única pode levar até duas horas.
Operações pós-criptografia
Depois da conclusão da criptografia de dados atual, os métodos da API Dataplex Universal Catalog ficam totalmente disponíveis. A criação ou modificação de dados no Dataplex Universal Catalog é criptografada automaticamente usando a CMEK configurada, sem interrupções operacionais ou restrições de API.
Criar uma chave e ativar a CMEK
As instruções a seguir explicam como criar uma chave e ativar a CMEK para o Dataplex Universal Catalog. É possível usar uma chave criada diretamente no Cloud KMS ou uma chave gerenciada externamente que você disponibiliza com o Cloud EKM.
No projeto do Google Cloud em que você quer gerenciar as chaves, faça o seguinte:
Crie um keyring do Cloud KMS no local em que você quer usá-lo.
Crie uma chave usando uma das seguintes opções:
Crie e mostre a conta de serviço gerenciado pelo Google:
gcloud beta services identity create \ --service=dataplex.googleapis.com \ --organization=ORG_IDSubstitua ORG_ID pelo ID da organização que contém a chave.
Se aparecer uma solicitação para instalar o componente de comandos Beta da Google Cloud CLI, insira
Y.O comando
services identityda CLI gcloud cria ou recebe a conta de serviço específica gerenciada pelo Google que o Dataplex Universal Catalog pode usar para acessar a chave do Cloud KMS.O ID da conta de serviço é formatado como
service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com. Uma conta de serviço específica da CMEK também é criada, formatada comoservice-org-ORG_ID@gcp-sa-dataplex-cmek.iam.gserviceaccount.com. A conta de serviço específica da CMEK é usada para criptografar e descriptografar dados armazenados no Dataplex Universal Catalog. Se você usa o VPC Service Controls para a chave do Cloud KMS, é necessário conceder acesso à conta de serviço específica da CMEK usando uma regra de entrada.Conceda o papel do IAM de Criptografador/Descriptografador de CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) à conta de serviço do Dataplex Universal Catalog. Conceda essa permissão na chave que você criou.Console
Acesse a página Gerenciamento de chaves.
Clique no keyring.
Na lista de chaves disponíveis, clique na chave que você criou.
Clique na guia Permissões.
Clique em Conceder acesso.
No painel Conceder acesso, siga estas etapas para conceder acesso à conta de serviço do Dataplex Universal Catalog:
- Em Adicionar principais, insira a conta de serviço
service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com. - Em Atribuir papéis, selecione o papel Criptografador/descriptografador de CryptoKey do Cloud KMS.
- Clique em Salvar.
- Em Adicionar principais, insira a conta de serviço
gcloud
Conceda à conta de serviço o papel
cloudkms.cryptoKeyEncrypterDecrypter:gcloud kms keys add-iam-policy-binding KEY_NAME \ --location=LOCATION \ --keyring KEY_RING \ --project=KEY_PROJECT_ID \ --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypterSubstitua:
- KEY_NAME: o nome da chave
- LOCATION: o local
- KEY_RING: o keyring
- KEY_PROJECT_ID: o ID do projeto da chave
Atribua a função de administrador de criptografia do Dataplex a você mesmo.
Console
Siga as instruções para conceder um papel do IAM.
gcloud
gcloud organizations add-iam-policy-binding ORG_ID \ --member='user:USER_EMAIL' \ --role='roles/dataplex.encryptionAdmin'Substitua:
- ORG_ID: o ID da organização que contém a chave.
- USER_EMAIL: o endereço de e-mail do usuário.
Configure o Dataplex Universal Catalog para usar sua chave de CMEK.
Console
No console Google Cloud , acesse a página Dataplex.
Clique em Configurações.
Em Selecionar região para a CMEK, escolha uma região. A região selecionada precisa corresponder ao local da chave do Cloud KMS.
Em Selecionar chave de criptografia, escolha a chave que você criou.
Clique em Salvar.
O processo de criptografia de dados leva algum tempo para ser concluído. Quando o processo for concluído, a seguinte mensagem vai aparecer:
Data Encryption is complete. Your selected CMEK key is now protecting your data.
gcloud
Defina a configuração de criptografia no Dataplex Universal Catalog:
gcloud dataplex encryption-config create default \ --location=LOCATION \ --organization=ORG_ID \ --key=KEY_RESOURCE_IDSubstitua:
- ORG_ID: o ID da organização que contém a chave.
- KEY_RESOURCE_ID: o ID do recurso da chave. Por exemplo,
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. Substitua PROJECT_ID pelo ID do projeto da chave.
Verifique se o processo de criptografia foi concluído:
gcloud dataplex encryption-config describe default \ --location=LOCATION \ --organization=ORG_ID
O processo de criptografia de dados leva algum tempo para ser concluído. Quando o processo for concluído, a seguinte mensagem vai aparecer:
encryptionState: COMPLETED.
Geração de registros e monitoramento
Audite as solicitações do Dataplex Universal Catalog para o Cloud KMS ativando a geração de registros de auditoria para a API Cloud KMS.
Políticas da organização de CMEK
OGoogle Cloud fornece restrições de política da organização para aplicar o uso da CMEK e controlar as chaves permitidas do Cloud KMS na sua organização. Essas restrições ajudam a garantir que os dados no Dataplex Universal Catalog sejam protegidos de maneira consistente pela CMEK.
O
constraints/gcp.restrictNonCmekServicesexige o uso obrigatório da CMEK para recursos do Dataplex Universal Catalog.Adicionar
dataplex.googleapis.comà lista de nomes de serviços Google Cloud e definir a restrição comoDenyimpede a criação de recursos do Catálogo Universal do Dataplex sem proteção de CMEK.Se uma chave do Cloud KMS não for especificada para o local solicitado nas configurações de criptografia CMEK, as solicitações para criar recursos no Dataplex Universal Catalog vão falhar.
Essa política é validada no nível do projeto de recurso individual.
constraints/gcp.restrictCmekCryptoKeyProjectsrestringe a seleção de chaves do Cloud KMS para CMEK às hierarquias de recursos designadas.Ao configurar uma lista de indicadores de hierarquia de recursos (projetos, pastas ou organizações) e definir a restrição como
Allow, o Dataplex Universal Catalog fica restrito ao uso de chaves CMEK apenas dos locais especificados.Se uma chave do Cloud KMS de um projeto não permitido for fornecida, as solicitações para criar recursos protegidos por CMEK no Dataplex Universal Catalog vão falhar.
Essa política é validada no nível do projeto de recurso durante a criação do recurso.
Essa política é validada no nível da organização ao configurar as opções de criptografia da CMEK.
Para evitar inconsistências, verifique se as configurações no nível do projeto estão alinhadas com as políticas de toda a organização.
Para mais informações sobre como configurar políticas da organização, consulte Políticas da organização de CMEK.
A seguir
- Saiba mais sobre o CMEK.