Per impostazione predefinita, Eventarc cripta i contenuti dei clienti at-rest. Eventarc gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google.
Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con servizi integrati con CMEK, tra cui Eventarc. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la posizione, la pianificazione della rotazione, l'utilizzo e le autorizzazioni di accesso e i limiti crittografici. L'utilizzo di Cloud KMS consente anche di visualizzare i log di controllo e controllare i cicli di vita delle chiavi. Anziché essere di proprietà di Google e gestite da Google, le chiavi di crittografia delle chiavi (KEK) simmetriche che proteggono i tuoi dati sono controllate e gestite da te in Cloud KMS.
Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse Eventarc è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).
Le chiavi di crittografia gestite dal cliente vengono archiviate come chiavi software, in un cluster Cloud HSM o esternamente utilizzando Cloud External Key Manager.
Cosa viene protetto con CMEK
Puoi configurare CMEK per criptare i messaggi di eventi che passano attraverso le seguenti risorse Eventarc Advanced:
MessageBus: un bus Eventarc AdvancedPipeline: una pipeline Eventarc AdvancedGoogleApiSource: una risorsa Eventarc Advanced che rappresenta un abbonamento agli eventi API di Google per un bus specifico
Per saperne di più, consulta la panoramica di Eventarc Advanced.
Quando abiliti CMEK per una risorsa, protegge i dati associati alla risorsa in quella regione utilizzando una chiave di crittografia a cui solo tu puoi accedere.
Cloud KMS ed Eventarc sono servizi regionalizzati. La regione per la chiave Cloud KMS e la risorsa Eventarc Advanced protetta deve essere la stessa.
Prima di iniziare
Prima di utilizzare questa funzionalità in Eventarc, devi eseguire le seguenti azioni:
Console
-
Enable the Cloud KMS and Eventarc APIs.
- Crea un keyring.
- Crea una chiave per un keyring specificato.
gcloud
- Aggiorna i componenti di
gcloud.gcloud components update
- Abilita le API Cloud KMS ed Eventarc per il progetto che archivierà le chiavi di crittografia.
gcloud services enable cloudkms.googleapis.com eventarc.googleapis.com
- Crea un keyring.
- Crea una chiave per un keyring specificato.
Per informazioni su tutti i flag e i valori possibili, esegui il comando con il flag
--help.
Concedi al account di servizio Eventarc l'accesso a una chiave
Per concedere all'account di servizio Eventarc l'accesso alla chiave Cloud KMS, aggiungi l'account di servizio come entità della chiave e concedi all'account di servizio il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS:
Console
Quando abiliti CMEK per un bus o una pipeline utilizzando la console Google Cloud , ti viene chiesto di concedere il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS all'account di servizio. Per ulteriori informazioni, in questo documento, consulta Abilitare CMEK per un bus o Abilitare CMEK per una pipeline.
gcloud
gcloud kms keys add-iam-policy-binding KEY_NAME \ --keyring KEY_RING \ --location REGION \ --member serviceAccount:SERVICE_AGENT_EMAIL \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter
Sostituisci quanto segue:
KEY_NAME: il nome della chiave, ad esempiomy-keyKEY_RING: il nome del portachiavi, ad esempiomy-keyringREGION: la posizione della chiave, ad esempious-central1SERVICE_AGENT_EMAIL: l'indirizzo email del account di serviziot con il ruoloeventarc.serviceAgentAd esempio,
service-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com. Per saperne di più, vedi Agenti di servizio.
Abilitare CMEK per un bus
Quando abiliti CMEK per un bus Eventarc Advanced, tutti i messaggi che passano attraverso il bus vengono criptati completamente con quella chiave CMEK.
Console
Nella console Google Cloud , vai alla pagina Eventarc > Bus.
Puoi creare un bus o, se stai aggiornando un bus, fai clic sul nome del bus.
Nella pagina Dettagli bus, fai clic su Modifica.
Nella pagina Modifica bus, per Crittografia, seleziona Chiave Cloud KMS.
Nell'elenco Tipo di chiave, seleziona un metodo per gestire le chiavi.
Puoi gestire le chiavi manualmente o utilizzare Autokey, che ti consente di generare portachiavi e chiavi on demand. Se l'opzione Autokey è disattivata, significa che non è ancora integrata nel tipo di risorsa attuale.
Nell'elenco Seleziona una chiave Cloud KMS, seleziona una chiave.
(Facoltativo) Per inserire manualmente il nome della risorsa della chiave, nell'elenco Seleziona una chiave Cloud KMS, fai clic su Inserisci chiave manualmente e inserisci il nome della chiave nel formato specificato.
Se richiesto, concedi il ruolo
cloudkms.cryptoKeyEncrypterDecrypterall'agente di servizio Eventarc.Fai clic su Salva.
gcloud
Utilizza il
comando gcloud beta eventarc message-buses update
per attivare CMEK per il bus:
gcloud beta eventarc message-buses update BUS_NAME \ --location=REGION \ --crypto-key=KEY
Sostituisci quanto segue:
BUS_NAME: l'ID o l'identificatore completo del busREGION: una posizione Eventarc Advanced supportataKEY: il nome completo della chiave Cloud KMS nel formatoprojects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAMEIl
REGIONdella chiave deve corrispondere alla posizione del bus da proteggere.
Verifica l'utilizzo di Cloud KMS
Verifica che il bus sia ora conforme a CMEK.
Console
Nella console Google Cloud , vai alla pagina Eventarc > Bus.
Fai clic sul nome del bus che hai protetto utilizzando CMEK.
Nella pagina Dettagli bus, lo stato Crittografia indica la chiave di crittografia gestita dal cliente in uso. Puoi fare clic sulla chiave per visualizzarla in Security Command Center.
In caso contrario, il messaggio di stato è
Event messages encrypted using Google-managed encryption keys.
gcloud
Utilizza il comando
gcloud beta eventarc message-buses describe
per descrivere il bus:
gcloud beta eventarc message-buses describe BUS_NAME \ --location=REGION
L'output dovrebbe essere simile al seguente:
cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME name: projects/PROJECT_ID/locations/REGION/messageBuses/BUS_NAME updateTime: '2022-06-28T17:24:56.365866104Z'
Il valore cryptokeyName mostra la chiave Cloud KMS utilizzata per il bus.
Disattivare CMEK per un bus
Puoi disattivare la protezione CMEK associata a un bus. Gli eventi distribuiti tramite il bus sono comunque protetti da Google-owned and Google-managed encryption keys.
Console
Nella console Google Cloud , vai alla pagina Eventarc > Bus.
Fai clic sul nome dell'autobus.
Nella pagina Dettagli bus, fai clic su Modifica.
Nella pagina Modifica bus, seleziona Chiave di crittografia gestita da Google per Crittografia.
Fai clic su Salva.
gcloud
Utilizza il
comando gcloud beta eventarc message-buses update
per disattivare CMEK per il bus:
gcloud beta eventarc message-buses update BUS_NAME \ --location=REGION \ --clear-crypto-key
Abilitare CMEK per una pipeline
Quando abiliti CMEK per una pipeline Eventarc Advanced, tutti i messaggi che passano attraverso la pipeline vengono criptati completamente con quella chiave CMEK.
Console
Nella Google Cloud console, vai alla pagina Eventarc > Pipeline.
Puoi creare una pipeline oppure, se stai aggiornando una pipeline, fai clic sul nome della pipeline.
Nella pagina Dettagli pipeline, fai clic su Modifica.
Nella pagina Modifica pipeline, per Crittografia, seleziona Chiave Cloud KMS.
Nell'elenco Tipo di chiave, seleziona un metodo per gestire le chiavi.
Puoi gestire le chiavi manualmente o utilizzare Autokey, che ti consente di generare portachiavi e chiavi on demand. Se l'opzione Autokey è disattivata, significa che non è ancora integrata nel tipo di risorsa attuale.
Nell'elenco Seleziona una chiave Cloud KMS, seleziona una chiave.
(Facoltativo) Per inserire manualmente il nome della risorsa della chiave, nell'elenco Seleziona una chiave Cloud KMS, fai clic su Inserisci chiave manualmente e inserisci il nome della chiave nel formato specificato.
Se richiesto, concedi il ruolo
cloudkms.cryptoKeyEncrypterDecrypterall'agente di servizio Eventarc.Fai clic su Salva.
gcloud
Utilizza il comando
gcloud beta eventarc pipelines update
per attivare CMEK per una pipeline:
gcloud beta eventarc pipelines update PIPELINE_NAME \ --location=REGION \ --crypto-key=KEY
Sostituisci quanto segue:
PIPELINE_NAME: l'ID o l'identificatore completo della pipelineREGION: una posizione Eventarc Advanced supportataKEY: il nome completo della chiave Cloud KMS nel formatoprojects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAMEIl
REGIONdella chiave deve corrispondere alla posizione della pipeline da proteggere.
Verifica l'utilizzo di Cloud KMS
Verifica che la pipeline sia ora conforme a CMEK.
Console
Nella Google Cloud console, vai alla pagina Eventarc > Pipeline.
Fai clic sul nome della pipeline che hai protetto utilizzando CMEK.
Nella pagina Dettagli pipeline, lo stato Crittografia indica la chiave di crittografia gestita dal cliente in uso. Puoi fare clic sulla chiave per visualizzarla in Security Command Center.
In caso contrario, il messaggio di stato è
Event messages encrypted using Google-managed encryption keys.
gcloud
Utilizza il comando
gcloud beta eventarc pipelines describe
per verificare CMEK per la tua pipeline:
gcloud beta eventarc pipelines describe PIPELINE_NAME \ --location=REGION
L'output dovrebbe essere simile al seguente:
createTime: '2022-06-28T18:05:52.403999904Z' cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME destinations: ... name: projects/PROJECT_ID/locations/REGION/pipelines/PIPELINE_NAME uid: 5ea277f9-b4b7-4e7f-a8e0-6ca9d7204fa3 updateTime: '2022-06-28T18:09:18.650727516Z'
Il valore cryptokeyName mostra la chiave Cloud KMS utilizzata per la pipeline.
Disattivare CMEK per una pipeline
Puoi disattivare la protezione CMEK associata a una pipeline. Gli eventi distribuiti tramite la pipeline sono comunque protetti da Google-owned and Google-managed encryption keys.
Console
Nella Google Cloud console, vai alla pagina Eventarc > Pipeline.
Fai clic sul nome della pipeline.
Nella pagina Dettagli pipeline, fai clic su Modifica.
Nella pagina Modifica pipeline, per Crittografia, seleziona Chiave di crittografia gestita da Google.
Fai clic su Salva.
gcloud
Utilizza il
comando gcloud beta eventarc pipelines update
per disattivare CMEK per la pipeline:
gcloud beta eventarc pipelines update PIPELINE_NAME \ --location=REGION \ --clear-crypto-key
Abilita CMEK per le origini API Google
Quando abiliti CMEK per una risorsa GoogleApiSource, tutti i messaggi raccolti per quella risorsa vengono criptati completamente con la chiave CMEK.
Console
Nella console Google Cloud , vai alla pagina Eventarc > Bus.
Puoi creare un bus oppure, se stai aggiornando un bus, fai clic sul nome del bus.
Nella pagina Dettagli bus, fai clic su Modifica.
Per aggiungere un'origine del messaggio, fai clic su Aggiungi origine.
Se esiste già un'origine messaggi, devi prima eliminarla e poi aggiungerne una nuova.
Nel riquadro Aggiungi origine messaggio, per il provider di messaggi dell'API Google, accetta il valore predefinito
google-api-source.Per Crittografia, seleziona Chiave Cloud KMS e procedi come segue:
Nell'elenco Tipo di chiave, seleziona un metodo per gestire le chiavi.
Puoi gestire le chiavi manualmente o utilizzare Autokey, che ti consente di generare chiavi e chiavi automatizzate on demand. Se l'opzione Autokey è disattivata, significa che non è ancora integrata nel tipo di risorsa attuale.
In Seleziona una chiave Cloud KMS, seleziona una chiave.
Devi selezionare una regione prima di poter visualizzare le chiavi gestite dal cliente.
(Facoltativo) Per inserire manualmente il nome della risorsa della chiave, nell'elenco Seleziona una chiave Cloud KMS, fai clic su Inserisci chiave manualmente e inserisci il nome della chiave nel formato specificato.
Se richiesto, concedi il ruolo
cloudkms.cryptoKeyEncrypterDecrypterall'agente di servizio Eventarc.
Fai clic su Crea.
In questo modo viene attivata la raccolta automatica degli eventi provenienti direttamente dalle origini Google e tutti i messaggi di evento vengono criptati completamente con la chiave CMEK.
Vengono pubblicati solo gli eventi delle risorse nello stesso progetto Google Cloud di
GoogleApiSource. Per ulteriori informazioni, vedi Pubblicare eventi da origini Google.Fai clic su Salva.
gcloud
Utilizza il
comando
gcloud beta eventarc google-api-sources update
per abilitare CMEK per la risorsa GoogleApiSource:
gcloud beta eventarc google-api-sources update GOOGLE_API_SOURCE_NAME \ --location=REGION \ --crypto-key=KEY
Sostituisci quanto segue:
GOOGLE_API_SOURCE_NAME: l'ID o l'identificatore completo della risorsaGoogleApiSourceREGION: una posizione Eventarc Advanced supportataKEY: il nome completo della chiave Cloud KMS nel formatoprojects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAMEIl
REGIONdella chiave deve corrispondere alla posizione della risorsa da proteggere.
Verifica l'utilizzo di Cloud KMS
Verifica che la risorsa sia ora conforme a CMEK.
Console
Nella console Google Cloud , vai alla pagina Eventarc > Bus.
Fai clic sul nome del bus la cui origine del messaggio è stata protetta utilizzando una chiave Cloud KMS.
Nella pagina Dettagli bus, fai clic su Modifica.
Dovrebbe essere elencata la chiave che cripta l'origine del messaggio. Puoi fare clic sulla chiave per visualizzarla in Security Command Center.
In caso contrario, il messaggio di stato Crittografia è
Event messages encrypted using Google-managed encryption keys.
gcloud
Utilizza il comando
gcloud beta eventarc google-api-sources describe
per verificare CMEK per la risorsa GoogleApiSource:
gcloud beta eventarc google-api-sources describe GOOGLE_API_SOURCE_NAME \ --location=REGION
L'output dovrebbe essere simile al seguente:
createTime: '2022-06-28T18:05:52.403999904Z' cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME destination: projects/PROJECT_ID/locations/REGION/messageBuses/BUS_NAME name: projects/PROJECT_ID/locations/REGION/googleApiSources/GOOGLE_API_SOURCE_NAME uid: 5ea277f9-b4b7-4e7f-a8e0-6ca9d7204fa3 updateTime: '2022-06-28T18:09:18.650727516Z'
Il valore cryptokeyName mostra la chiave Cloud KMS utilizzata per la pipeline.
Disattivare CMEK per le origini API Google
Puoi disattivare la protezione CMEK associata alle origini API di Google. Gli eventi raccolti tramite la risorsa GoogleApiSource sono comunque protetti da Google-owned and Google-managed encryption keys.
Console
Nella console Google Cloud , vai alla pagina Eventarc > Bus.
Fai clic sul nome del bus la cui origine dei messaggi è stata protetta utilizzando CMEK.
Nella pagina Dettagli bus, fai clic su Modifica.
Per eliminare l'origine del messaggio criptata da una chiave Cloud KMS, fai clic su Elimina risorsa.
Se necessario, aggiungi di nuovo l'origine del messaggio.
gcloud
Utilizza il
comando gcloud beta eventarc google-api-sources update
per disattivare CMEK per la risorsa GoogleApiSource:
gcloud beta eventarc google-api-sources update GOOGLE_API_SOURCE_NAME \ --location=REGION \ --clear-crypto-key
Applica una policy dell'organizzazione CMEK
Eventarc è integrato con due vincoli di policy dell'organizzazione per contribuire a garantire l'utilizzo di CMEK in un'organizzazione:
constraints/gcp.restrictNonCmekServicesviene utilizzato per richiedere la protezione CMEK.constraints/gcp.restrictCmekCryptoKeyProjectsviene utilizzato per limitare le chiavi Cloud KMS utilizzate per la protezione CMEK.
Questa integrazione ti consente di specificare i seguenti requisiti di conformità alla crittografia per le risorse Eventarc nella tua organizzazione:
Considerazioni sull'applicazione dei criteri dell'organizzazione
Prima di applicare le policy dell'organizzazione CMEK, tieni presente quanto segue.
Preparati a un ritardo di propagazione
Dopo aver impostato o aggiornato una norma dell'organizzazione, l'applicazione della nuova norma può richiedere fino a 15 minuti.
Considera le risorse esistenti
Le risorse esistenti non sono soggette alle policy dell'organizzazione appena create. Ad esempio, un criterio dell'organizzazione non viene applicato retroattivamente alle pipeline esistenti. Queste risorse sono ancora accessibili senza una chiave CMEK e, se applicabile, sono ancora criptate con le chiavi esistenti.
Verificare le autorizzazioni necessarie per impostare un criterio dell'organizzazione
L'autorizzazione per impostare o aggiornare la policy dell'organizzazione potrebbe essere difficile da ottenere a scopo di test. Devi disporre del ruolo Amministratore criteri dell'organizzazione, che può essere concesso solo a livello di organizzazione (anziché a livello di progetto o cartella).
Sebbene il ruolo debba essere concesso a livello di organizzazione, è comunque possibile specificare un criterio che si applichi solo a un progetto o a una cartella specifici.
Richiedi chiavi CMEK per le nuove risorse Eventarc
Puoi utilizzare il vincolo constraints/gcp.restrictNonCmekServices per richiedere
che le chiavi CMEK vengano utilizzate per proteggere le nuove risorse Eventarc in un'organizzazione.
Se impostato, questo criterio dell'organizzazione causa l'esito negativo di tutte le richieste di creazione di risorse senza una chiave Cloud KMS specificata.
Dopo aver impostato questo criterio, questo si applica solo alle nuove risorse del progetto. Tutte le risorse esistenti senza chiavi Cloud KMS applicate continuano a esistere e sono accessibili senza problemi.
Console
Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.
Utilizzando il filtro, cerca il seguente vincolo:
constraints/gcp.restrictNonCmekServicesNella colonna Nome, fai clic su Limita i servizi che possono creare risorse senza CMEK.
Fai clic su Gestisci criterio.
Nella pagina Modifica policy, in Origine policy, seleziona Esegui override della policy dell'unità organizzativa principale.
In Regole, fai clic su Aggiungi una regola.
Nell'elenco Valori policy, seleziona Personalizzato.
Nell'elenco Tipo di criterio, seleziona Rifiuta.
Nel campo Valori personalizzati, inserisci quanto segue:
is:eventarc.googleapis.comFai clic su Fine, quindi su Imposta policy.
gcloud
Crea un file temporaneo
/tmp/policy.yamlper archiviare il criterio:name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices spec: rules: - values: deniedValues: - is:eventarc.googleapis.com
Sostituisci
PROJECT_IDcon l'ID del progetto in cui stai applicando questo vincolo.Esegui il comando
org-policies set-policy:gcloud org-policies set-policy /tmp/policy.yaml
Per verificare che il criterio sia stato applicato correttamente, puoi provare a creare una pipeline avanzata Eventarc nel progetto. Il processo non va a buon fine a meno che tu non specifichi una chiave Cloud KMS.
Limitare le chiavi Cloud KMS per un progetto Eventarc
Puoi utilizzare il vincolo constraints/gcp.restrictCmekCryptoKeyProjects per limitare le chiavi Cloud KMS che puoi utilizzare per proteggere una risorsa in un progetto Eventarc.
Ad esempio, puoi specificare una regola simile alla seguente: "Per le risorse Eventarc applicabili in projects/my-company-data-project, le chiavi Cloud KMS utilizzate in questo progetto devono provenire da projects/my-company-central-keys O projects/team-specific-keys".
Console
Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.
Utilizzando il filtro, cerca il seguente vincolo:
constraints/gcp.restrictCmekCryptoKeyProjectsNella colonna Nome, fai clic su Limita i progetti che possono fornire CryptoKey KMS per CMEK.
Fai clic su Gestisci criterio.
Nella pagina Modifica policy, in Origine policy, seleziona Esegui override della policy dell'unità organizzativa principale.
In Regole, fai clic su Aggiungi una regola.
Nell'elenco Valori policy, seleziona Personalizzato.
Nell'elenco Tipo di policy, seleziona Consenti.
Nel campo Valori personalizzati, inserisci quanto segue:
under:projects/KMS_PROJECT_IDSostituisci
KMS_PROJECT_IDcon l'ID del progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare.Ad esempio,
under:projects/my-kms-project.Fai clic su Fine, quindi su Imposta policy.
gcloud
Crea un file temporaneo
/tmp/policy.yamlper archiviare il criterio:name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects spec: rules: - values: allowedValues: - under:projects/KMS_PROJECT_ID
Sostituisci quanto segue
PROJECT_ID: l'ID del progetto in cui applichi questo vincolo.KMS_PROJECT_ID: l'ID del progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare.
Esegui il comando
org-policies set-policy:gcloud org-policies set-policy /tmp/policy.yaml
Per verificare che il criterio sia stato applicato correttamente, puoi provare a creare una pipeline avanzata Eventarc utilizzando una chiave Cloud KMS di un progetto diverso. Il processo non andrà a buon fine.
Disattivazione e attivazione delle chiavi Cloud KMS
Una versione della chiave memorizza il materiale della chiave di crittografia che utilizzi per criptare, decriptare, firmare e verificare i dati. Puoi disattivare questa versione della chiave in modo che non sia possibile accedere ai dati criptati con la chiave.
Quando Eventarc non può accedere alle chiavi Cloud KMS, il routing degli eventi non riesce a causa di errori FAILED_PRECONDITION e la distribuzione degli eventi si interrompe. Puoi abilitare una chiave nello stato Disabilitata in modo che sia possibile accedere di nuovo ai dati criptati.
Disattivare le chiavi Cloud KMS
Per impedire a Eventarc di utilizzare la chiave per criptare o decriptare i dati degli eventi, esegui una delle seguenti operazioni:
- Ti consigliamo di disattivare la versione della chiave che hai configurato per il bus o la pipeline. Questo avviso riguarda solo il bus o la pipeline Eventarc Advanced associati alla chiave specifica.
- (Facoltativo) Revoca il ruolo
cloudkms.cryptoKeyEncrypterDecrypterdal account di servizio Eventarc. Ciò influisce su tutte le risorse Eventarc del progetto che supportano gli eventi criptati utilizzando CMEK.
Sebbene nessuna operazione garantisca la revoca immediata dell'accesso, le modifiche di Identity and Access Management (IAM) vengono propagate più rapidamente. Per ulteriori informazioni, consulta Coerenza delle risorse Cloud KMS e Propagazione della modifica di accesso.
Riattivare le chiavi Cloud KMS
Per riprendere la distribuzione e il routing degli eventi, ripristina l'accesso a Cloud KMS.
Audit logging e risoluzione dei problemi
Cloud KMS produce audit log quando le chiavi vengono attivate, disattivate o utilizzate dalle risorse avanzate di Eventarc per criptare e decriptare i messaggi. Per ulteriori informazioni, consulta le informazioni sui log di controllo di Cloud KMS.
Per risolvere i problemi che potresti riscontrare quando utilizzi Cloud KMS con Eventarc, consulta la sezione Risolvere i problemi.
Per risolvere i problemi che potresti riscontrare quando utilizzi chiavi gestite esternamente tramite Cloud External Key Manager (Cloud EKM), consulta Messaggio di errore Cloud EKM.
Prezzi
L'integrazione del bus non comporta costi aggiuntivi oltre alle operazioni chiave, che vengono fatturate al tuo progetto Google Cloud . L'utilizzo di CMEK per una pipeline comporta addebiti per l'accesso al servizio Cloud KMS in base ai prezzi di Pub/Sub.
Per ulteriori informazioni sui prezzi più recenti, consulta Prezzi di Cloud KMS.