Esta página foi traduzida pela API Cloud Translation.

Usar o CMEK com o Dataproc sem servidor

Quando você usa o Dataproc sem servidor, os dados são armazenados em discos na em uma infraestrutura sem servidor e em um bucket de preparo. Esses dados são criptografados com uma chave de criptografia de dados (DEK, na sigla em inglês) e uma chave de criptografia de chaves (KEK, na sigla em inglês) geradas pelo Google. É possível usar uma chave de criptografia gerenciada pelo cliente (CMEK) para criar, usar e revogar a chave de criptografia de chaves (KEK). O Google mantém o controle sobre a chave de criptografia de dados (DEK). Para mais informações sobre chaves de criptografia de dados do Google, consulte Criptografia padrão em repouso.

Usar CMEK

Siga as etapas desta seção para usar a CMEK para criptografar dados que o Dataproc Serverless grava no disco permanente e no bucket de preparação do Dataproc.

A partir de 23 de abril de 2024:

O Dataproc sem servidor também usa a CMEK para criptografar argumentos de jobs em lote. O Papel do IAM Criptografador/Descriptografador de CryptoKey do Cloud KMS precisa ser atribuído à conta de serviço do agente de serviço do Dataproc para ativar esse comportamento. Se o papel de agente de serviço do Dataproc não estiver associado à conta de serviço do agente de serviço do Dataproc, adicione a permissão serviceusage.services.use a um papel personalizado associado à conta de serviço do agente de serviço do Dataproc. A API Cloud KMS precisa estar ativada no projeto que executa os recursos do Dataproc sem servidor.
batches.list retorna um campo unreachable que lista todos os lotes com argumentos de trabalho que não puderam ser descriptografados. Você pode emitir batches.get solicitações para receber mais informações sobre lotes inacessíveis.
A chave (CMEK) precisa estar localizada no mesmo local que o recurso criptografado. Por exemplo, a CMEK usada para criptografar um lote executado na região us-central1 também precisa estar localizado na região us-central1.

Crie uma chave usando o Cloud Key Management Service (Cloud KMS).

Copie o nome do recurso.

O nome do recurso é criado da seguinte maneira:

projects/PROJECT_ID/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME

Ative o Compute Engine, o Dataproc e o agente de serviço do Cloud Storage para usar a chave:
1. Consulte Proteger recursos usando as chaves do Cloud KMS > Papéis obrigatórios. para atribuir o papel Criptografador/Descriptografador de CryptoKey do Cloud KMS à Conta de serviço do agente de serviço do Compute Engine. Se essa conta de serviço não estiver listada na página do IAM no console do Google Cloud, clique em Incluir concessões de papel fornecidas pelo Google para listá-la.
2. Atribuir a criptografador/descriptografador de CryptoKey do Cloud KMS para a conta de serviço do agente de serviço do Dataproc. Use Google Cloud CLI para atribuir a função:
```
 gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
 --member serviceAccount:service-PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com \
 --role roles/cloudkms.cryptoKeyEncrypterDecrypter
```
  Substitua:
  
  KMS_PROJECT_ID: o ID do projeto do Google Cloud que executa o Cloud KMS. Ele também pode ser aquele que executa os recursos do Dataproc.
  
  PROJECT_NUMBER: o número do projeto (não o ID) do seu projeto do Google Cloud que executa recursos do Dataproc.
3. Ative a API Cloud KMS no projeto que executa os recursos do Dataproc sem servidor.
4. Se o papel de agente de serviço do Dataproc não estiver anexado à conta de serviço do agente de serviço do Dataproc, adicione a permissão serviceusage.services.use ao papel personalizado anexado à conta de serviço do agente de serviço do Dataproc. Se o papel do agente de serviço do Dataproc estiver anexado à conta de serviço do agente de serviço do Dataproc, pule esta etapa.
5. Siga as etapas para adicione sua chave ao bucket.
Ao enviar uma carga de trabalho em lote:
1. Especifique sua chave no parâmetro kmsKey Batch.
2. Especifique o nome do bucket do Cloud Storage no parâmetro Batch stagingBucket.