Chiavi di crittografia gestite dal cliente (CMEK)

Per impostazione predefinita, tutti i dati inattivi in Firestore in modalità Datastore vengono criptati utilizzando la crittografia predefinita di Google. La modalità Datastore gestisce questa crittografia per conto tuo senza che tu debba fare altro.

Se hai requisiti normativi o di conformità specifici relativi alle chiavi che proteggono i tuoi dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per la modalità Datastore. Anziché essere gestite da Google, le chiavi di crittografia che proteggono i tuoi dati vengono gestite da te e controllate nel Cloud Key Management Service (Cloud KMS).

Questa pagina descrive CMEK per la modalità Datastore. Per ulteriori informazioni su CMEK in generale, incluso quando e perché abilitarla, consulta la seguente documentazione di Cloud KMS:

Per istruzioni su come eseguire attività correlate a CMEK con la modalità Datastore, vedi Utilizzare CMEK.

Funzionalità

Prezzi

Cloud KMS addebita il costo della chiave e di tutte le operazioni di crittografia eseguite utilizzando quella chiave. Per ulteriori informazioni, consulta la pagina Prezzi di Cloud KMS.

Ti vengono fatturati i costi dell'operazione quando la modalità Datastore chiede alla chiave Cloud KMS di eseguire un'operazione di crittografia o decrittografia. L'operazione di crittografia/decrittografia tramite la chiave gestita dal cliente viene eseguita ogni 5 minuti e non è sincronizzata con le richieste del database. I costi sono generalmente bassi, dato il numero previsto di operazioni di crittografia generate dalla modalità Datastore. I costi per Cloud Audit Logs sono una spesa aggiuntiva, ma dovrebbero essere generalmente bassi, dato il numero previsto di operazioni crittografiche.

Non sono previsti costi aggiuntivi per la modalità Datastore per l'utilizzo del database protetto da CMEK e continuano a essere applicati i prezzi della modalità Datastore.

Se revochi la chiave di un database, il costo di archiviazione verrà addebitato in base alle dimensioni dell'ultimo giorno in cui la chiave era disponibile. Continuerai a sostenere i costi di archiviazione in base alle dimensioni del database finché quest'ultimo non viene eliminato o la chiave non torna disponibile.

Cosa viene protetto con CMEK

Quando crei un database protetto da CMEK in modalità Datastore, la chiave Cloud KMS viene utilizzata per proteggere i dati at-rest. Sono inclusi i dati che memorizzi su un disco o un'unità flash, inclusi indici e backup. Sono previste alcune eccezioni. I seguenti tipi di dati sono criptati con la crittografia predefinita di Google e non con la chiave CMEK:

  • Dati in transito o in memoria
  • Metadati del database

Come viene gestito uno stato della chiave non disponibile

Le operazioni di crittografia e decrittografia non vengono eseguite a ogni richiesta di dati. Il sistema Firestore esegue il polling di Cloud KMS ogni 5 minuti per verificare se la chiave è ancora disponibile e poi esegue le operazioni di crittografia e decrittografia se la chiave è disponibile.

Se il sistema rileva che la chiave non è disponibile, entro 10 minuti tutte le chiamate successive al database Firestore, incluse letture, scritture e query, restituiscono un errore FAILED_PRECONDITION con il messaggio The customer-managed encryption key required by the requested resource is not accessible.

Se il database ha criteri di durata (TTL) e se i tempi di scadenza vengono superati mentre la chiave non è disponibile, l'eliminazione dei dati in base al TTL verrà ritardata fino al reintegro della chiave. Se nel database sono in corso operazioni a lunga esecuzione, queste verranno interessate come segue:

  • Le operazioni di importazione o esportazione dei dati non faranno più progressi e verranno contrassegnate come Failed. Le operazioni non riuscite non verranno riprovate se la chiave viene reintegrata.
  • Le operazioni di creazione dell'indice e le operazioni di attivazione di nuove norme TTL non verranno più eseguite. Le operazioni interrotte verranno riprovate se la chiave viene reintegrata.

Le chiavi sono considerate non disponibili in qualsiasi situazione che impedisce intenzionalmente a Firestore di accedere alla chiave. È incluso quanto segue:

Se la chiave viene reintegrata, l'operazione di polling rileva che la chiave è di nuovo disponibile. L'accesso viene riattivato, di solito entro pochi minuti, ma in rari casi possono essere necessarie fino a qualche ora. Tieni presente che alcune operazioni sulle chiavi Cloud KMS, come la disattivazione o l'eliminazione di una chiave, possono richiedere fino a 3 ore per la propagazione. Firestore non rileva le modifiche finché non diventano effettive in Cloud KMS.

Il reintegro di una chiave prevede quanto segue, a seconda della situazione:

  • Riattivazione di una versione della chiave disattivata.
  • Ripristino di una versione della chiave eliminata. Prima di essere eliminata definitivamente, una versione della chiave viene pianificata per l'eliminazione. Puoi ripristinare una chiave solo durante il periodo in cui è pianificata l'eliminazione di una versione della chiave. Non puoi ripristinare una chiave che è già stata eliminata definitivamente.
  • Concedere nuovamente l'autorizzazione all'agente di servizio Firestore per accedere alla chiave.

Considerazioni sulla rotazione delle chiavi

Quando ruoti la chiave CMEK, la modalità Datastore cripta nuovamente il database con l'ultima versione primaria della chiave CMEK. Durante il processo di ricriptaggio, mantieni disponibili sia la vecchia che la nuova versione della chiave. Al termine della ricriptografia, la disattivazione o l'eliminazione delle versioni precedenti della chiave CMEK non disabiliterà l'accesso al database, in quanto è criptato con la nuova versione della chiave primaria.

Puoi anche visualizzare le versioni della chiave utilizzate per proteggere un database. Per saperne di più, vedi Visualizzare la chiave in uso.

Considerazioni sulle chiavi esterne

Quando utilizzi una chiave Cloud EKM, Google non ha alcun controllo sulla disponibilità della chiave gestita esternamente nel sistema del partner di gestione delle chiavi esterne.

Se una chiave gestita esternamente non è disponibile, la modalità Datastore continua a supportare le operazioni complete sul database secondo il criterio del "best effort" per un massimo di un'ora.

Dopo un'ora, se la modalità Datastore non riesce ancora a connettersi a Cloud KMS, inizia a mettere offline il database come misura protettiva. Le chiamate al database non andranno a buon fine e verrà visualizzato un errore FAILED_PRECONDITION che include ulteriori dettagli.

Per ulteriori informazioni sull'utilizzo delle chiavi esterne, consulta la documentazione di Cloud External Key Manager.

Backup e ripristino

Un backup utilizza lo stesso meccanismo di crittografia del database da cui è stato creato. Quando un database in modalità Datastore protetto da CMEK crea un backup, lo cripta con la versione della chiave primaria utilizzata al momento della creazione del backup.

La modalità Datastore crea il primo backup di un database CMEK dopo 24 ore dal momento in cui abiliti le pianificazioni dei backup.

Per ulteriori informazioni sui backup in modalità Datastore, vedi Eseguire il backup e ripristinare i dati.

Per impostazione predefinita, un database ripristinato da un backup utilizza lo stesso meccanismo di crittografia del backup. Quando ripristini un database, puoi specificare un tipo di crittografia diverso in uno dei seguenti modi:

  • Ripristina in un database CMEK con una chiave appena specificata.
  • Ripristina un database non CMEK che utilizza la crittografia predefinita di Google.
  • Esegui il ripristino in un database che utilizza la stessa crittografia del backup.

Per saperne di più sul ripristino di un database in modalità Datastore da un backup, consulta Ripristinare i dati da un backup del database. Per ulteriori informazioni sul ripristino di un database in modalità Datastore protetto da CMEK da un backup, consulta Ripristinare un database protetto da CMEK.

Monitoraggio delle chiavi

Puoi utilizzare il monitoraggio delle chiavi per visualizzare le risorse, ad esempio i database in modalità Datastore, protette da una chiave. Per saperne di più sul monitoraggio delle chiavi, consulta Visualizzare l'utilizzo delle chiavi.

CMEK e disponibilità delle chiavi

Quando le chiavi non sono disponibili o sono disattivate, tieni presente i seguenti comportamenti che possono verificarsi nei database abilitati per CMEK:

  • Puoi modificare le impostazioni di ripristino point-in-time (PITR) della modalità Datastore in un database abilitato per CMEK anche se la chiave non è disponibile, perché le impostazioni PITR sono metadati del database, che non sono criptati da CMEK.
  • Puoi eliminare un database CMEK con chiavi non disponibili.
  • Quando crei un database abilitato a CMEK, le chiavi disabilitate non vengono visualizzate nell'elenco delle chiavi disponibili nella Google Cloud console. Se inserisci manualmente una chiave disattivata, il processo di creazione del database non riuscirà e verrà visualizzato l'errore 400 FAILED_PRECONDITION.

Limitazioni

  • Non puoi modificare una chiave per un database protetto da CMEK. Puoi ruotare, attivare e disattivare le chiavi.
  • I database protetti da CMEK supportano Key Visualizer solo per i dati di entità e documenti, non per i dati di indice.
  • Non puoi abilitare CMEK sui database esistenti. Puoi abilitare CMEK solo sui nuovi database e devi farlo quando crei il database. Per eseguire la migrazione dei dati in un database non CMEK esistente a un database protetto da CMEK, esporta i dati e poi importali in un nuovo database protetto da CMEK. Puoi anche ripristinare i dati da un database non CMEK a un database CMEK.
  • Firestore supporta un numero limitato di database protetti da CMEK.
  • Non supportiamo la protezione CMEK con l'integrazione di Cloud Functions (1ª generazione.). Se vuoi la protezione CMEK, utilizza i trigger Firestore per le funzioni Cloud Run (2ª generazione).

Passaggi successivi