Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)

Per impostazione predefinita, Eventarc cripta i contenuti dei clienti at-rest. Eventarc gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google.

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con servizi integrati con CMEK, tra cui Eventarc. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la posizione, la pianificazione della rotazione, l'utilizzo e le autorizzazioni di accesso e i limiti crittografici. L'utilizzo di Cloud KMS consente anche di visualizzare i log di controllo e controllare i cicli di vita delle chiavi. Anziché essere di proprietà di Google e gestite da Google, le chiavi di crittografia delle chiavi (KEK) simmetriche che proteggono i tuoi dati sono controllate e gestite da te in Cloud KMS.

Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse Eventarc è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Le chiavi di crittografia gestite dal cliente vengono archiviate come chiavi software, in un cluster Cloud HSM o esternamente utilizzando Cloud External Key Manager.

Cosa viene protetto con CMEK

Puoi configurare CMEK per criptare i messaggi di eventi che passano attraverso le seguenti risorse Eventarc Advanced:

  • MessageBus: un bus Eventarc Advanced
  • Pipeline: una pipeline Eventarc Advanced
  • GoogleApiSource: una risorsa Eventarc Advanced che rappresenta un abbonamento agli eventi API di Google per un bus specifico

Per saperne di più, consulta la panoramica di Eventarc Advanced.

Quando abiliti CMEK per una risorsa, protegge i dati associati alla risorsa in quella regione utilizzando una chiave di crittografia a cui solo tu puoi accedere.

Cloud KMS ed Eventarc sono servizi regionalizzati. La regione per la chiave Cloud KMS e la risorsa Eventarc Advanced protetta deve essere la stessa.

Prima di iniziare

Prima di utilizzare questa funzionalità in Eventarc, devi eseguire le seguenti azioni:

Console

  1. Enable the Cloud KMS and Eventarc APIs.

    Enable the APIs

  2. Crea un keyring.
  3. Crea una chiave per un keyring specificato.

gcloud

  1. Aggiorna i componenti di gcloud.
    gcloud components update
  2. Abilita le API Cloud KMS ed Eventarc per il progetto che archivierà le chiavi di crittografia.
    gcloud services enable cloudkms.googleapis.com eventarc.googleapis.com
  3. Crea un keyring.
  4. Crea una chiave per un keyring specificato.

Per informazioni su tutti i flag e i valori possibili, esegui il comando con il flag --help.

Concedi al account di servizio Eventarc l'accesso a una chiave

Per concedere all'account di servizio Eventarc l'accesso alla chiave Cloud KMS, aggiungi l'account di servizio come entità della chiave e concedi all'account di servizio il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS:

Console

Quando abiliti CMEK per un bus o una pipeline utilizzando la console Google Cloud , ti viene chiesto di concedere il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS all'account di servizio. Per ulteriori informazioni, in questo documento, consulta Abilitare CMEK per un bus o Abilitare CMEK per una pipeline.

gcloud

 gcloud kms keys add-iam-policy-binding KEY_NAME \
     --keyring KEY_RING \
     --location REGION \
     --member serviceAccount:SERVICE_AGENT_EMAIL \
     --role roles/cloudkms.cryptoKeyEncrypterDecrypter

Sostituisci quanto segue:

  • KEY_NAME: il nome della chiave, ad esempio my-key
  • KEY_RING: il nome del portachiavi, ad esempio my-keyring
  • REGION: la posizione della chiave, ad esempio us-central1
  • SERVICE_AGENT_EMAIL: l'indirizzo email del account di serviziot con il ruolo eventarc.serviceAgent

    Ad esempio, service-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com. Per saperne di più, vedi Agenti di servizio.

Abilitare CMEK per un bus

Quando abiliti CMEK per un bus Eventarc Advanced, tutti i messaggi che passano attraverso il bus vengono criptati completamente con quella chiave CMEK.

Console

  1. Nella console Google Cloud , vai alla pagina Eventarc > Bus.

    Vai a Bus

  2. Puoi creare un bus o, se stai aggiornando un bus, fai clic sul nome del bus.

  3. Nella pagina Dettagli bus, fai clic su Modifica.

  4. Nella pagina Modifica bus, per Crittografia, seleziona Chiave Cloud KMS.

  5. Nell'elenco Tipo di chiave, seleziona un metodo per gestire le chiavi.

    Puoi gestire le chiavi manualmente o utilizzare Autokey, che ti consente di generare portachiavi e chiavi on demand. Se l'opzione Autokey è disattivata, significa che non è ancora integrata nel tipo di risorsa attuale.

  6. Nell'elenco Seleziona una chiave Cloud KMS, seleziona una chiave.

  7. (Facoltativo) Per inserire manualmente il nome della risorsa della chiave, nell'elenco Seleziona una chiave Cloud KMS, fai clic su Inserisci chiave manualmente e inserisci il nome della chiave nel formato specificato.

  8. Se richiesto, concedi il ruolo cloudkms.cryptoKeyEncrypterDecrypter all'agente di servizio Eventarc.

  9. Fai clic su Salva.

gcloud

Utilizza il comando gcloud beta eventarc message-buses update per attivare CMEK per il bus:

gcloud beta eventarc message-buses update BUS_NAME \
    --location=REGION \
    --crypto-key=KEY

Sostituisci quanto segue:

  • BUS_NAME: l'ID o l'identificatore completo del bus
  • REGION: una posizione Eventarc Advanced supportata
  • KEY: il nome completo della chiave Cloud KMS nel formato projects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME

    Il REGION della chiave deve corrispondere alla posizione del bus da proteggere.

Verifica l'utilizzo di Cloud KMS

Verifica che il bus sia ora conforme a CMEK.

Console

  1. Nella console Google Cloud , vai alla pagina Eventarc > Bus.

    Vai a Bus

  2. Fai clic sul nome del bus che hai protetto utilizzando CMEK.

  3. Nella pagina Dettagli bus, lo stato Crittografia indica la chiave di crittografia gestita dal cliente in uso. Puoi fare clic sulla chiave per visualizzarla in Security Command Center.

    In caso contrario, il messaggio di stato è Event messages encrypted using Google-managed encryption keys.

gcloud

Utilizza il comando gcloud beta eventarc message-buses describe per descrivere il bus:

 gcloud beta eventarc message-buses describe BUS_NAME \
     --location=REGION

L'output dovrebbe essere simile al seguente:

 cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
 name: projects/PROJECT_ID/locations/REGION/messageBuses/BUS_NAME
 updateTime: '2022-06-28T17:24:56.365866104Z'

Il valore cryptokeyName mostra la chiave Cloud KMS utilizzata per il bus.

Disattivare CMEK per un bus

Puoi disattivare la protezione CMEK associata a un bus. Gli eventi distribuiti tramite il bus sono comunque protetti da Google-owned and Google-managed encryption keys.

Console

  1. Nella console Google Cloud , vai alla pagina Eventarc > Bus.

    Vai a Bus

  2. Fai clic sul nome dell'autobus.

  3. Nella pagina Dettagli bus, fai clic su Modifica.

  4. Nella pagina Modifica bus, seleziona Chiave di crittografia gestita da Google per Crittografia.

  5. Fai clic su Salva.

gcloud

Utilizza il comando gcloud beta eventarc message-buses update per disattivare CMEK per il bus:

gcloud beta eventarc message-buses update BUS_NAME \
    --location=REGION \
    --clear-crypto-key

Abilitare CMEK per una pipeline

Quando abiliti CMEK per una pipeline Eventarc Advanced, tutti i messaggi che passano attraverso la pipeline vengono criptati completamente con quella chiave CMEK.

Console

  1. Nella Google Cloud console, vai alla pagina Eventarc > Pipeline.

    Vai a Pipeline

  2. Puoi creare una pipeline oppure, se stai aggiornando una pipeline, fai clic sul nome della pipeline.

  3. Nella pagina Dettagli pipeline, fai clic su Modifica.

  4. Nella pagina Modifica pipeline, per Crittografia, seleziona Chiave Cloud KMS.

  5. Nell'elenco Tipo di chiave, seleziona un metodo per gestire le chiavi.

    Puoi gestire le chiavi manualmente o utilizzare Autokey, che ti consente di generare portachiavi e chiavi on demand. Se l'opzione Autokey è disattivata, significa che non è ancora integrata nel tipo di risorsa attuale.

  6. Nell'elenco Seleziona una chiave Cloud KMS, seleziona una chiave.

  7. (Facoltativo) Per inserire manualmente il nome della risorsa della chiave, nell'elenco Seleziona una chiave Cloud KMS, fai clic su Inserisci chiave manualmente e inserisci il nome della chiave nel formato specificato.

  8. Se richiesto, concedi il ruolo cloudkms.cryptoKeyEncrypterDecrypter all'agente di servizio Eventarc.

  9. Fai clic su Salva.

gcloud

Utilizza il comando gcloud beta eventarc pipelines update per attivare CMEK per una pipeline:

 gcloud beta eventarc pipelines update PIPELINE_NAME \
     --location=REGION \
     --crypto-key=KEY

Sostituisci quanto segue:

  • PIPELINE_NAME: l'ID o l'identificatore completo della pipeline
  • REGION: una posizione Eventarc Advanced supportata
  • KEY: il nome completo della chiave Cloud KMS nel formato projects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME

    Il REGION della chiave deve corrispondere alla posizione della pipeline da proteggere.

Verifica l'utilizzo di Cloud KMS

Verifica che la pipeline sia ora conforme a CMEK.

Console

  1. Nella Google Cloud console, vai alla pagina Eventarc > Pipeline.

    Vai a Pipeline

  2. Fai clic sul nome della pipeline che hai protetto utilizzando CMEK.

  3. Nella pagina Dettagli pipeline, lo stato Crittografia indica la chiave di crittografia gestita dal cliente in uso. Puoi fare clic sulla chiave per visualizzarla in Security Command Center.

    In caso contrario, il messaggio di stato è Event messages encrypted using Google-managed encryption keys.

gcloud

Utilizza il comando gcloud beta eventarc pipelines describe per verificare CMEK per la tua pipeline:

 gcloud beta eventarc pipelines describe PIPELINE_NAME \
     --location=REGION

L'output dovrebbe essere simile al seguente:

 createTime: '2022-06-28T18:05:52.403999904Z'
 cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
 destinations: ...
 name: projects/PROJECT_ID/locations/REGION/pipelines/PIPELINE_NAME
 uid: 5ea277f9-b4b7-4e7f-a8e0-6ca9d7204fa3
 updateTime: '2022-06-28T18:09:18.650727516Z'

Il valore cryptokeyName mostra la chiave Cloud KMS utilizzata per la pipeline.

Disattivare CMEK per una pipeline

Puoi disattivare la protezione CMEK associata a una pipeline. Gli eventi distribuiti tramite la pipeline sono comunque protetti da Google-owned and Google-managed encryption keys.

Console

  1. Nella Google Cloud console, vai alla pagina Eventarc > Pipeline.

    Vai a Pipeline

  2. Fai clic sul nome della pipeline.

  3. Nella pagina Dettagli pipeline, fai clic su Modifica.

  4. Nella pagina Modifica pipeline, per Crittografia, seleziona Chiave di crittografia gestita da Google.

  5. Fai clic su Salva.

gcloud

Utilizza il comando gcloud beta eventarc pipelines update per disattivare CMEK per la pipeline:

gcloud beta eventarc pipelines update PIPELINE_NAME \
    --location=REGION \
    --clear-crypto-key

Abilita CMEK per le origini API Google

Quando abiliti CMEK per una risorsa GoogleApiSource, tutti i messaggi raccolti per quella risorsa vengono criptati completamente con la chiave CMEK.

Console

  1. Nella console Google Cloud , vai alla pagina Eventarc > Bus.

    Vai a Bus

  2. Puoi creare un bus oppure, se stai aggiornando un bus, fai clic sul nome del bus.

  3. Nella pagina Dettagli bus, fai clic su Modifica.

  4. Per aggiungere un'origine del messaggio, fai clic su Aggiungi origine.

    Se esiste già un'origine messaggi, devi prima eliminarla e poi aggiungerne una nuova.

  5. Nel riquadro Aggiungi origine messaggio, per il provider di messaggi dell'API Google, accetta il valore predefinito google-api-source.

  6. Per Crittografia, seleziona Chiave Cloud KMS e procedi come segue:

    1. Nell'elenco Tipo di chiave, seleziona un metodo per gestire le chiavi.

      Puoi gestire le chiavi manualmente o utilizzare Autokey, che ti consente di generare chiavi e chiavi automatizzate on demand. Se l'opzione Autokey è disattivata, significa che non è ancora integrata nel tipo di risorsa attuale.

    2. In Seleziona una chiave Cloud KMS, seleziona una chiave.

      Devi selezionare una regione prima di poter visualizzare le chiavi gestite dal cliente.

    3. (Facoltativo) Per inserire manualmente il nome della risorsa della chiave, nell'elenco Seleziona una chiave Cloud KMS, fai clic su Inserisci chiave manualmente e inserisci il nome della chiave nel formato specificato.

    4. Se richiesto, concedi il ruolo cloudkms.cryptoKeyEncrypterDecrypter all'agente di servizio Eventarc.

  7. Fai clic su Crea.

    In questo modo viene attivata la raccolta automatica degli eventi provenienti direttamente dalle origini Google e tutti i messaggi di evento vengono criptati completamente con la chiave CMEK.

    Vengono pubblicati solo gli eventi delle risorse nello stesso progetto Google Cloud di GoogleApiSource. Per ulteriori informazioni, vedi Pubblicare eventi da origini Google.

  8. Fai clic su Salva.

gcloud

Utilizza il comando gcloud beta eventarc google-api-sources update per abilitare CMEK per la risorsa GoogleApiSource:

gcloud beta eventarc google-api-sources update GOOGLE_API_SOURCE_NAME \
    --location=REGION \
    --crypto-key=KEY

Sostituisci quanto segue:

  • GOOGLE_API_SOURCE_NAME: l'ID o l'identificatore completo della risorsa GoogleApiSource
  • REGION: una posizione Eventarc Advanced supportata
  • KEY: il nome completo della chiave Cloud KMS nel formato projects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME

    Il REGION della chiave deve corrispondere alla posizione della risorsa da proteggere.

Verifica l'utilizzo di Cloud KMS

Verifica che la risorsa sia ora conforme a CMEK.

Console

  1. Nella console Google Cloud , vai alla pagina Eventarc > Bus.

    Vai a Bus

  2. Fai clic sul nome del bus la cui origine del messaggio è stata protetta utilizzando una chiave Cloud KMS.

  3. Nella pagina Dettagli bus, fai clic su Modifica.

    Dovrebbe essere elencata la chiave che cripta l'origine del messaggio. Puoi fare clic sulla chiave per visualizzarla in Security Command Center.

    In caso contrario, il messaggio di stato Crittografia è Event messages encrypted using Google-managed encryption keys.

gcloud

Utilizza il comando gcloud beta eventarc google-api-sources describe per verificare CMEK per la risorsa GoogleApiSource:

  gcloud beta eventarc google-api-sources describe GOOGLE_API_SOURCE_NAME \
      --location=REGION

L'output dovrebbe essere simile al seguente:

  createTime: '2022-06-28T18:05:52.403999904Z'
  cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
  destination: projects/PROJECT_ID/locations/REGION/messageBuses/BUS_NAME
  name: projects/PROJECT_ID/locations/REGION/googleApiSources/GOOGLE_API_SOURCE_NAME
  uid: 5ea277f9-b4b7-4e7f-a8e0-6ca9d7204fa3
  updateTime: '2022-06-28T18:09:18.650727516Z'

Il valore cryptokeyName mostra la chiave Cloud KMS utilizzata per la pipeline.

Disattivare CMEK per le origini API Google

Puoi disattivare la protezione CMEK associata alle origini API di Google. Gli eventi raccolti tramite la risorsa GoogleApiSource sono comunque protetti da Google-owned and Google-managed encryption keys.

Console

  1. Nella console Google Cloud , vai alla pagina Eventarc > Bus.

    Vai a Bus

  2. Fai clic sul nome del bus la cui origine dei messaggi è stata protetta utilizzando CMEK.

  3. Nella pagina Dettagli bus, fai clic su Modifica.

  4. Per eliminare l'origine del messaggio criptata da una chiave Cloud KMS, fai clic su Elimina risorsa.

  5. Se necessario, aggiungi di nuovo l'origine del messaggio.

gcloud

Utilizza il comando gcloud beta eventarc google-api-sources update per disattivare CMEK per la risorsa GoogleApiSource:

gcloud beta eventarc google-api-sources update GOOGLE_API_SOURCE_NAME \
    --location=REGION \
    --clear-crypto-key

Applica una policy dell'organizzazione CMEK

Eventarc è integrato con due vincoli di policy dell'organizzazione per contribuire a garantire l'utilizzo di CMEK in un'organizzazione:

  • constraints/gcp.restrictNonCmekServices viene utilizzato per richiedere la protezione CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects viene utilizzato per limitare le chiavi Cloud KMS utilizzate per la protezione CMEK.
Google Cloud

Questa integrazione ti consente di specificare i seguenti requisiti di conformità alla crittografia per le risorse Eventarc nella tua organizzazione:

Considerazioni sull'applicazione dei criteri dell'organizzazione

Prima di applicare le policy dell'organizzazione CMEK, tieni presente quanto segue.

  • Preparati a un ritardo di propagazione

    Dopo aver impostato o aggiornato una norma dell'organizzazione, l'applicazione della nuova norma può richiedere fino a 15 minuti.

  • Considera le risorse esistenti

    Le risorse esistenti non sono soggette alle policy dell'organizzazione appena create. Ad esempio, un criterio dell'organizzazione non viene applicato retroattivamente alle pipeline esistenti. Queste risorse sono ancora accessibili senza una chiave CMEK e, se applicabile, sono ancora criptate con le chiavi esistenti.

  • Verificare le autorizzazioni necessarie per impostare un criterio dell'organizzazione

    L'autorizzazione per impostare o aggiornare la policy dell'organizzazione potrebbe essere difficile da ottenere a scopo di test. Devi disporre del ruolo Amministratore criteri dell'organizzazione, che può essere concesso solo a livello di organizzazione (anziché a livello di progetto o cartella).

    Sebbene il ruolo debba essere concesso a livello di organizzazione, è comunque possibile specificare un criterio che si applichi solo a un progetto o a una cartella specifici.

Richiedi chiavi CMEK per le nuove risorse Eventarc

Puoi utilizzare il vincolo constraints/gcp.restrictNonCmekServices per richiedere che le chiavi CMEK vengano utilizzate per proteggere le nuove risorse Eventarc in un'organizzazione.

Se impostato, questo criterio dell'organizzazione causa l'esito negativo di tutte le richieste di creazione di risorse senza una chiave Cloud KMS specificata.

Dopo aver impostato questo criterio, questo si applica solo alle nuove risorse del progetto. Tutte le risorse esistenti senza chiavi Cloud KMS applicate continuano a esistere e sono accessibili senza problemi.

Console

  1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Utilizzando il filtro, cerca il seguente vincolo:

    constraints/gcp.restrictNonCmekServices
    
  3. Nella colonna Nome, fai clic su Limita i servizi che possono creare risorse senza CMEK.

  4. Fai clic su Gestisci criterio.

  5. Nella pagina Modifica policy, in Origine policy, seleziona Esegui override della policy dell'unità organizzativa principale.

  6. In Regole, fai clic su Aggiungi una regola.

  7. Nell'elenco Valori policy, seleziona Personalizzato.

  8. Nell'elenco Tipo di criterio, seleziona Rifiuta.

  9. Nel campo Valori personalizzati, inserisci quanto segue:

    is:eventarc.googleapis.com
    
  10. Fai clic su Fine, quindi su Imposta policy.

gcloud

  1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:

      name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
      spec:
        rules:
        - values:
            deniedValues:
            - is:eventarc.googleapis.com

    Sostituisci PROJECT_ID con l'ID del progetto in cui stai applicando questo vincolo.

  2. Esegui il comando org-policies set-policy:

    gcloud org-policies set-policy /tmp/policy.yaml

Per verificare che il criterio sia stato applicato correttamente, puoi provare a creare una pipeline avanzata Eventarc nel progetto. Il processo non va a buon fine a meno che tu non specifichi una chiave Cloud KMS.

Limitare le chiavi Cloud KMS per un progetto Eventarc

Puoi utilizzare il vincolo constraints/gcp.restrictCmekCryptoKeyProjects per limitare le chiavi Cloud KMS che puoi utilizzare per proteggere una risorsa in un progetto Eventarc.

Ad esempio, puoi specificare una regola simile alla seguente: "Per le risorse Eventarc applicabili in projects/my-company-data-project, le chiavi Cloud KMS utilizzate in questo progetto devono provenire da projects/my-company-central-keys O projects/team-specific-keys".

Console

  1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Utilizzando il filtro, cerca il seguente vincolo:

    constraints/gcp.restrictCmekCryptoKeyProjects
    
  3. Nella colonna Nome, fai clic su Limita i progetti che possono fornire CryptoKey KMS per CMEK.

  4. Fai clic su Gestisci criterio.

  5. Nella pagina Modifica policy, in Origine policy, seleziona Esegui override della policy dell'unità organizzativa principale.

  6. In Regole, fai clic su Aggiungi una regola.

  7. Nell'elenco Valori policy, seleziona Personalizzato.

  8. Nell'elenco Tipo di policy, seleziona Consenti.

  9. Nel campo Valori personalizzati, inserisci quanto segue:

    under:projects/KMS_PROJECT_ID
    

    Sostituisci KMS_PROJECT_ID con l'ID del progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare.

    Ad esempio, under:projects/my-kms-project.

  10. Fai clic su Fine, quindi su Imposta policy.

gcloud

  1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:

      name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
      spec:
        rules:
        - values:
            allowedValues:
            - under:projects/KMS_PROJECT_ID

    Sostituisci quanto segue

    • PROJECT_ID: l'ID del progetto in cui applichi questo vincolo.
    • KMS_PROJECT_ID: l'ID del progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare.
  2. Esegui il comando org-policies set-policy:

    gcloud org-policies set-policy /tmp/policy.yaml

Per verificare che il criterio sia stato applicato correttamente, puoi provare a creare una pipeline avanzata Eventarc utilizzando una chiave Cloud KMS di un progetto diverso. Il processo non andrà a buon fine.

Disattivazione e attivazione delle chiavi Cloud KMS

Una versione della chiave memorizza il materiale della chiave di crittografia che utilizzi per criptare, decriptare, firmare e verificare i dati. Puoi disattivare questa versione della chiave in modo che non sia possibile accedere ai dati criptati con la chiave.

Quando Eventarc non può accedere alle chiavi Cloud KMS, il routing degli eventi non riesce a causa di errori FAILED_PRECONDITION e la distribuzione degli eventi si interrompe. Puoi abilitare una chiave nello stato Disabilitata in modo che sia possibile accedere di nuovo ai dati criptati.

Disattivare le chiavi Cloud KMS

Per impedire a Eventarc di utilizzare la chiave per criptare o decriptare i dati degli eventi, esegui una delle seguenti operazioni:

Sebbene nessuna operazione garantisca la revoca immediata dell'accesso, le modifiche di Identity and Access Management (IAM) vengono propagate più rapidamente. Per ulteriori informazioni, consulta Coerenza delle risorse Cloud KMS e Propagazione della modifica di accesso.

Riattivare le chiavi Cloud KMS

Per riprendere la distribuzione e il routing degli eventi, ripristina l'accesso a Cloud KMS.

Audit logging e risoluzione dei problemi

Cloud KMS produce audit log quando le chiavi vengono attivate, disattivate o utilizzate dalle risorse avanzate di Eventarc per criptare e decriptare i messaggi. Per ulteriori informazioni, consulta le informazioni sui log di controllo di Cloud KMS.

Per risolvere i problemi che potresti riscontrare quando utilizzi Cloud KMS con Eventarc, consulta la sezione Risolvere i problemi.

Per risolvere i problemi che potresti riscontrare quando utilizzi chiavi gestite esternamente tramite Cloud External Key Manager (Cloud EKM), consulta Messaggio di errore Cloud EKM.

Prezzi

L'integrazione del bus non comporta costi aggiuntivi oltre alle operazioni chiave, che vengono fatturate al tuo progetto Google Cloud . L'utilizzo di CMEK per una pipeline comporta addebiti per l'accesso al servizio Cloud KMS in base ai prezzi di Pub/Sub.

Per ulteriori informazioni sui prezzi più recenti, consulta Prezzi di Cloud KMS.

Passaggi successivi