Usar chaves de criptografia gerenciadas pelo cliente (CMEK)

Por padrão, o Eventarc criptografa o conteúdo do cliente em repouso. O Eventarc processa a criptografia para você sem que você precise fazer nada. Essa opção é chamada de Criptografia padrão do Google.

Se quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o Eventarc. O uso de chaves do Cloud KMS permite controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. O uso do Cloud KMS também permite visualizar registros de auditoria e controlar ciclos de vida importantes. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.

Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos do Eventarc é semelhante à criptografia padrão do Google. Para mais informações sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

As chaves de criptografia gerenciadas pelo cliente são armazenadas como chaves de software, em um cluster do Cloud HSM ou externamente, usando o Cloud External Key Manager.

O que é protegido com a CMEK

É possível configurar a CMEK para criptografar as mensagens de evento que passam pelos seguintes recursos avançados do Eventarc:

  • MessageBus: um barramento do Eventarc Advanced
  • Pipeline: um pipeline do Eventarc Advanced
  • GoogleApiSource: um recurso do Eventarc Advanced que representa uma assinatura de eventos da API do Google para um barramento específico.

Para mais informações, consulte a visão geral do Eventarc Advanced.

Quando você ativa a CMEK para um recurso, ela protege os dados associados a ele na região usando uma chave de criptografia que só você pode acessar.

O Cloud KMS e o Eventarc são serviços regionalizados. A região da chave do Cloud KMS e do recurso protegido do Eventarc Advanced precisa ser a mesma.

Antes de começar

Antes de usar esse recurso no Eventarc, faça o seguinte:

Console

  1. Enable the Cloud KMS and Eventarc APIs.

    Enable the APIs

  2. Crie um keyring.
  3. Crie uma chave para um keyring especificado.

gcloud

  1. Atualize os componentes gcloud. 
    gcloud components update
  2. Ative as APIs Cloud KMS e Eventarc no projeto que armazenará as chaves de criptografia. 
    gcloud services enable cloudkms.googleapis.com eventarc.googleapis.com
  3. Crie um keyring.
  4. Crie uma chave para um keyring especificado.

Para informações sobre todas as sinalizações e valores possíveis, execute o comando com a sinalização --help.

Conceder acesso a conta de serviço do Eventarc a uma chave

Para conceder à conta de serviço do Eventarc acesso à chave do Cloud KMS, adicione a conta de serviço como principal da chave e conceda à conta de serviço o papel Criptografador/descriptografador da CryptoKey do Cloud KMS:

Console

Ao ativar a CMEK para um barramento ou pipeline usando o console do Google Cloud , você precisa conceder o papel Criptografador/Descriptografador de CryptoKey do Cloud KMS à conta de serviço. Para mais informações, neste documento, consulte Ativar a CMEK para um barramento ou Ativar a CMEK para um pipeline.

gcloud 

 gcloud kms keys add-iam-policy-binding KEY_NAME \
     --keyring KEY_RING \
     --location REGION \
     --member serviceAccount:SERVICE_AGENT_EMAIL \
     --role roles/cloudkms.cryptoKeyEncrypterDecrypter

Substitua:

  • KEY_NAME: o nome da chave. Por exemplo, my-key
  • KEY_RING: o nome do keyring, por exemplo, my-keyring
  • REGION: o local da chave, por exemplo, us-central1

  • SERVICE_AGENT_EMAIL: o endereço de e-mail da conta de serviço com o papel eventarc.serviceAgent

    Por exemplo, service-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com. Para mais informações, consulte Agentes de serviço.

Ativar a CMEK para um barramento

Quando você ativa a CMEK para um barramento do Eventarc Advanced, todas as mensagens que passam pelo barramento são totalmente criptografadas com essa chave de CMEK.

Console

  1. No Google Cloud console, acesse a página Eventarc > Barramento.

    Acessar Bus

  2. Você pode criar um ônibus ou, se estiver atualizando um, clique no nome dele.

  3. Na página Detalhes do barramento, clique em Editar.

  4. Na página Editar barramento, em Criptografia, selecione Chave do Cloud KMS.

  5. Na lista Tipo de chave, selecione um método para gerenciar suas chaves.

    É possível gerenciar as chaves manualmente ou usar a chave automática para gerar keyrings e chaves sob demanda. Se a opção Autokey estiver desativada, ela ainda não estará integrada ao tipo de recurso atual.

  6. Na lista Selecionar uma chave do Cloud KMS, escolha uma chave.

  7. Opcional: para inserir manualmente o nome do recurso da chave, na lista Selecionar uma chave do Cloud KMS, clique em Inserir chave manualmente e insira o nome da chave no formato especificado.

  8. Se solicitado, conceda o papel cloudkms.cryptoKeyEncrypterDecrypter ao Agente de serviço do Eventarc.

  9. Clique em Salvar.

gcloud

Use o comando gcloud beta eventarc message-buses update para ativar a CMEK no seu barramento:

gcloud beta eventarc message-buses update BUS_NAME \
    --location=REGION \
    --crypto-key=KEY

Substitua:

  • BUS_NAME: o ID ou identificador totalmente qualificado do seu ônibus.
  • REGION: um local compatível do Eventarc Advanced.

  • KEY: o nome da chave do Cloud KMS totalmente qualificado no formato projects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME.

    O REGION da chave precisa corresponder ao local do barramento a ser protegido.

Verificar o uso do Cloud KMS

Verifique se o barramento agora está em conformidade com a CMEK.

Console

  1. No Google Cloud console, acesse a página Eventarc > Barramento.

    Acessar Bus

  2. Clique no nome do barramento que você protegeu com a CMEK.

  3. Na página Detalhes do barramento, o status Criptografia indica a chave de criptografia gerenciada pelo cliente em uso. Clique na chave para acessar o Security Command Center.

    Caso contrário, a mensagem de status será Event messages encrypted using Google-managed encryption keys.

gcloud

Use o comando gcloud beta eventarc message-buses describe para descrever o barramento:

 gcloud beta eventarc message-buses describe BUS_NAME \
     --location=REGION

A saída será semelhante a esta:

 cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
 name: projects/PROJECT_ID/locations/REGION/messageBuses/BUS_NAME
 updateTime: '2022-06-28T17:24:56.365866104Z'

O valor cryptokeyName mostra a chave do Cloud KMS usada para o ônibus.

Desativar a CMEK para um ônibus

É possível desativar a proteção de CMEK associada a um barramento. Os eventos entregues pelo barramento ainda estão protegidos por Google-owned and Google-managed encryption keys.

Console

  1. No Google Cloud console, acesse a página Eventarc > Barramento.

    Acessar Bus

  2. Clique no nome do ônibus.

  3. Na página Detalhes do barramento, clique em Editar.

  4. Na página Editar barramento, em Criptografia, selecione Chave de criptografia gerenciada pelo Google.

  5. Clique em Salvar.

gcloud

Use o comando gcloud beta eventarc message-buses update para desativar a CMEK no seu barramento:

gcloud beta eventarc message-buses update BUS_NAME \
    --location=REGION \
    --clear-crypto-key

Ativar a CMEK para um pipeline

Quando você ativa a CMEK para um pipeline do Eventarc Advanced, todas as mensagens que passam pelo pipeline são totalmente criptografadas com essa chave de CMEK.

Console

  1. No Google Cloud console, acesse a página Eventarc > Pipelines.

    Acessar "Pipelines"

  2. É possível criar um pipeline ou, se estiver atualizando um, clique no nome dele.

  3. Na página Detalhes do pipeline, clique em Editar.

  4. Na página Editar pipeline, em Criptografia, selecione Chave do Cloud KMS.

  5. Na lista Tipo de chave, selecione um método para gerenciar suas chaves.

    Você pode gerenciar as chaves manualmente ou usar o Autokey, que permite gerar keyrings e chaves sob demanda. Se a opção Autokey estiver desativada, ela ainda não estará integrada ao tipo de recurso atual.

  6. Na lista Selecionar uma chave do Cloud KMS, escolha uma chave.

  7. Opcional: para inserir manualmente o nome do recurso da chave, na lista Selecionar uma chave do Cloud KMS, clique em Inserir chave manualmente e insira o nome da chave no formato especificado.

  8. Se solicitado, conceda o papel cloudkms.cryptoKeyEncrypterDecrypter ao Agente de serviço do Eventarc.

  9. Clique em Salvar.

gcloud

Use o comando gcloud beta eventarc pipelines update para ativar a CMEK em um pipeline:

 gcloud beta eventarc pipelines update PIPELINE_NAME \
     --location=REGION \
     --crypto-key=KEY

Substitua:

  • PIPELINE_NAME: o ID ou identificador totalmente qualificado do seu pipeline.
  • REGION: um local compatível do Eventarc Advanced.

  • KEY: o nome da chave do Cloud KMS totalmente qualificado no formato projects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME.

    O REGION da chave precisa corresponder ao local do pipeline a ser protegido.

Verificar o uso do Cloud KMS

Verifique se o pipeline agora está em conformidade com a CMEK.

Console

  1. No Google Cloud console, acesse a página Eventarc > Pipelines.

    Acessar "Pipelines"

  2. Clique no nome do pipeline que você protegeu com a CMEK.

  3. Na página Detalhes do pipeline, o status Criptografia indica a chave de criptografia gerenciada pelo cliente em uso. Clique na chave para acessar o Security Command Center.

    Caso contrário, a mensagem de status será Event messages encrypted using Google-managed encryption keys.

gcloud

Use o comando gcloud beta eventarc pipelines describe para verificar a CMEK do pipeline:

 gcloud beta eventarc pipelines describe PIPELINE_NAME \
     --location=REGION

A saída será semelhante a esta:

 createTime: '2022-06-28T18:05:52.403999904Z'
 cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
 destinations: ...
 name: projects/PROJECT_ID/locations/REGION/pipelines/PIPELINE_NAME
 uid: 5ea277f9-b4b7-4e7f-a8e0-6ca9d7204fa3
 updateTime: '2022-06-28T18:09:18.650727516Z'

O valor cryptokeyName mostra a chave do Cloud KMS usada para o pipeline.

Desativar a CMEK para um pipeline

É possível desativar a proteção de CMEK associada a um pipeline. Os eventos entregues pelo pipeline ainda estão protegidos por Google-owned and Google-managed encryption keys.

Console

  1. No Google Cloud console, acesse a página Eventarc > Pipelines.

    Acessar "Pipelines"

  2. Clique no nome do pipeline.

  3. Na página Detalhes do pipeline, clique em Editar.

  4. Na página Editar pipeline, em Criptografia, selecione Chave de criptografia gerenciada pelo Google.

  5. Clique em Salvar.

gcloud

Use o comando gcloud beta eventarc pipelines update para desativar a CMEK no pipeline:

gcloud beta eventarc pipelines update PIPELINE_NAME \
    --location=REGION \
    --clear-crypto-key

Ativar a CMEK para fontes de API do Google

Quando você ativa a CMEK para um recurso do GoogleApiSource, todas as mensagens coletadas para esse recurso são totalmente criptografadas com a chave de CMEK.

Console

  1. No Google Cloud console, acesse a página Eventarc > Barramento.

    Acessar Bus

  2. Você pode criar um ônibus ou, se estiver atualizando um, clique no nome dele.

  3. Na página Detalhes do barramento, clique em Editar.

  4. Para adicionar uma fonte de mensagem, clique em Adicionar fonte.

    Se uma origem de mensagens já existir, primeiro exclua-a e adicione uma nova.

  5. No painel Adicionar origem da mensagem, para o provedor de mensagens da API do Google, aceite o padrão google-api-source.

  6. Em Criptografia, selecione Chave do Cloud KMS e faça o seguinte:

    1. Na lista Tipo de chave, selecione um método para gerenciar suas chaves.

      É possível gerenciar as chaves manualmente ou usar a chave automática, que permite gerar keyrings e chaves sob demanda. Se a opção Autokey estiver desativada, ela ainda não estará integrada ao tipo de recurso atual.

    2. Em Selecionar uma chave do Cloud KMS, escolha uma chave.

      Selecione uma região antes de visualizar as chaves gerenciadas pelo cliente.

    3. Opcional: para inserir manualmente o nome do recurso da chave, na lista Selecionar uma chave do Cloud KMS, clique em Inserir chave manualmente e insira o nome da chave no formato especificado.

    4. Se solicitado, conceda o papel cloudkms.cryptoKeyEncrypterDecrypter ao Agente de serviço do Eventarc.

  7. Clique em Criar.

    Isso permite a coleta automática de eventos diretamente de fontes do Google, e todas as mensagens de evento são totalmente criptografadas com a chave CMEK.

    Somente eventos de recursos no mesmo projeto Google Cloud que o GoogleApiSource são publicados. Para mais informações, consulte Publicar eventos de fontes do Google.

  8. Clique em Salvar.

gcloud

Use o comando gcloud beta eventarc google-api-sources update para ativar a CMEK no recurso GoogleApiSource:

gcloud beta eventarc google-api-sources update GOOGLE_API_SOURCE_NAME \
    --location=REGION \
    --crypto-key=KEY

Substitua:

  • GOOGLE_API_SOURCE_NAME: o ID ou identificador totalmente qualificado do recurso GoogleApiSource.
  • REGION: um local compatível do Eventarc Advanced.

  • KEY: o nome da chave do Cloud KMS totalmente qualificado no formato projects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME.

    O REGION da chave precisa corresponder ao local do recurso a ser protegido.

Verificar o uso do Cloud KMS

Verifique se o recurso agora está em conformidade com a CMEK.

Console

  1. No Google Cloud console, acesse a página Eventarc > Barramento.

    Acessar Bus

  2. Clique no nome do barramento cuja origem de mensagem você protegeu usando uma chave do Cloud KMS.

  3. Na página Detalhes do barramento, clique em Editar.

    A chave que criptografa a origem da mensagem precisa estar listada. Clique na chave para acessar o Security Command Center.

    Caso contrário, a mensagem de status Criptografia será Event messages encrypted using Google-managed encryption keys.

gcloud

Use o comando gcloud beta eventarc google-api-sources describe para verificar a CMEK do recurso GoogleApiSource:

  gcloud beta eventarc google-api-sources describe GOOGLE_API_SOURCE_NAME \
      --location=REGION

A saída será semelhante a esta:

  createTime: '2022-06-28T18:05:52.403999904Z'
  cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
  destination: projects/PROJECT_ID/locations/REGION/messageBuses/BUS_NAME
  name: projects/PROJECT_ID/locations/REGION/googleApiSources/GOOGLE_API_SOURCE_NAME
  uid: 5ea277f9-b4b7-4e7f-a8e0-6ca9d7204fa3
  updateTime: '2022-06-28T18:09:18.650727516Z'

O valor cryptokeyName mostra a chave do Cloud KMS usada para o pipeline.

Desativar a CMEK para fontes da API Google

É possível desativar a proteção de CMEK associada a fontes de API do Google. Os eventos coletados pelo recurso GoogleApiSource ainda são protegidos pelo Google-owned and Google-managed encryption keys.

Console

  1. No Google Cloud console, acesse a página Eventarc > Barramento.

    Acessar Bus

  2. Clique no nome do barramento cuja origem da mensagem você protegeu usando a CMEK.

  3. Na página Detalhes do barramento, clique em Editar.

  4. Para excluir a origem da mensagem criptografada por uma chave do Cloud KMS, clique em Excluir recurso.

  5. Se necessário, adicione a fonte da mensagem novamente.

gcloud

Use o comando gcloud beta eventarc google-api-sources update para desativar a CMEK no recurso GoogleApiSource:

gcloud beta eventarc google-api-sources update GOOGLE_API_SOURCE_NAME \
    --location=REGION \
    --clear-crypto-key

Aplicar uma política de CMEK da organização

O Eventarc está integrado a duas restrições de política da organização para ajudar a garantir o uso da CMEK em uma organização:

  • constraints/gcp.restrictNonCmekServices é usado para exigir proteção de CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects é usado para limitar quais chaves do Cloud KMS são usadas para proteção com CMEK.

Com essa integração, é possível especificar os seguintes requisitos de conformidade de criptografia para recursos do Eventarc na sua organização:

Considerações ao aplicar políticas da organização

Antes de aplicar qualquer políticas da organização de CMEK, saiba o seguinte:

  • Prepare-se para um atraso na propagação

    Depois que você define ou atualiza uma política da organização, pode levar até 15 minutos para a nova política entrar em vigor.

  • Considere os recursos atuais

    Os recursos atuais não estão sujeitos às políticas da organização recém-criadas. Por exemplo, uma política da organização não é aplicada retroativamente a pipelines existentes. Esses recursos ainda podem ser acessados sem uma CMEK e, se aplicável, ainda são criptografados com as chaves atuais.

  • Verificar as permissões necessárias para definir uma política da organização

    Pode ser difícil obter a permissão para definir ou atualizar a política da organização para fins de teste. É necessário receber o papel de administrador da política da organização, que só pode ser concedido no nível da organização, não no nível do projeto ou da pasta.

    Embora o papel precise ser concedido no nível da organização, ainda é possível especificar uma política que se aplica apenas a um projeto ou pasta específicos.

Exigir CMEKs para novos recursos do Eventarc

É possível usar a restrição constraints/gcp.restrictNonCmekServices para exigir que as CMEKs sejam usadas para proteger novos recursos do Eventarc em uma organização.

Se definida, essa política da organização faz com que todas as solicitações de criação de recursos sem uma chave especificada do Cloud KMS falhem.

Após definir essa política, ela será aplicada somente a novos recursos no projeto. Os recursos atuais sem as chaves do Cloud KMS aplicadas continuam existindo e podem ser acessados sem problemas.

Console

  1. No console Google Cloud , acesse a página Políticas da organização.

    Acessar as políticas da organização

  2. Usando o Filtro, pesquise a seguinte restrição:

    constraints/gcp.restrictNonCmekServices

  3. Na coluna "Nome", clique em Restringir quais serviços podem criar recursos sem CMEK.

  4. Clique em Gerenciar política.

  5. Na página Editar política, em Origem da política, selecione Substituir política principal.

  6. Em Regras, clique em Adicionar uma regra.

  7. Na lista Valores da política, selecione Personalizado.

  8. Na lista Tipo de política, selecione Negar.

  9. No campo Valores personalizados, insira o seguinte:

    is:eventarc.googleapis.com

  10. Clique em Concluído e em Definir política.

gcloud

  1. Crie um arquivo temporário /tmp/policy.yaml para armazenar a política:

      name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
  spec:
    rules:
    - values:
        deniedValues:
        - is:eventarc.googleapis.com

    Substitua PROJECT_ID pelo ID do projeto em que você está aplicando essa restrição.

  2. Execute o comando org-policies set-policy:

    gcloud org-policies set-policy /tmp/policy.yaml

Para verificar se a política foi aplicada, tente criar um pipeline avançado do Eventarc no projeto. O processo falhará a menos que você especifique uma chave do Cloud KMS.

Restringir chaves do Cloud KMS para um projeto do Eventarc

É possível usar a restrição constraints/gcp.restrictCmekCryptoKeyProjects para restringir as chaves do Cloud KMS que podem ser usadas para proteger um recurso em um projeto do Eventarc.

Por exemplo, é possível especificar uma regra semelhante a esta: "Para recursos aplicáveis do Eventarc em projects/my-company-data-project, as chaves do Cloud KMS usadas neste projeto precisam vir de projects/my-company-central-keys OU projects/team-specific-keys".

Console

  1. No console Google Cloud , acesse a página Políticas da organização.

    Acessar as políticas da organização

  2. Usando o Filtro, pesquise a seguinte restrição:

    constraints/gcp.restrictCmekCryptoKeyProjects

  3. Na coluna "Nome", clique em Restringir quais projetos podem fornecer CryptoKeys do KMS para CMEK.

  4. Clique em Gerenciar política.

  5. Na página Editar política, em Origem da política, selecione Substituir política principal.

  6. Em Regras, clique em Adicionar uma regra.

  7. Na lista Valores da política, selecione Personalizado.

  8. Na lista Tipo de política, selecione Permitir.

  9. No campo Valores personalizados, insira o seguinte:

    under:projects/KMS_PROJECT_ID

    Substitua KMS_PROJECT_ID pelo ID do projeto em que as chaves do Cloud KMS que você quer usar estão localizadas.

    Por exemplo, under:projects/my-kms-project

  10. Clique em Concluído e em Definir política.

gcloud

  1. Crie um arquivo temporário /tmp/policy.yaml para armazenar a política:

      name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
  spec:
    rules:
    - values:
        allowedValues:
        - under:projects/KMS_PROJECT_ID

    Substitua:

    • PROJECT_ID: o ID do projeto em que você está aplicando essa restrição.
    • KMS_PROJECT_ID: o ID do projeto em que as chaves do Cloud KMS que você quer usar estão localizadas.

  2. Execute o comando org-policies set-policy:

    gcloud org-policies set-policy /tmp/policy.yaml

Para verificar se a política foi aplicada, tente criar um pipeline avançado do Eventarc usando uma chave do Cloud KMS de um projeto diferente. O processo falhará.

Como desativar e ativar chaves do Cloud KMS

A versão da chave armazena o material da chave criptográfica usado para criptografar, descriptografar, assinar e verificar dados. Desative essa versão da chave para que os dados criptografados com a chave não sejam acessados.

Quando o Eventarc não consegue acessar as chaves do Cloud KMS, o roteamento de eventos falha com erros FAILED_PRECONDITION e a entrega de eventos é interrompida. É possível ativar uma chave no estado Disabled para que os dados criptografados possam ser acessados novamente.

Desativar chaves do Cloud KMS

Para impedir que o Eventarc use a chave para criptografar ou descriptografar os dados de eventos, siga um destes procedimentos:

Embora nenhuma das operações garanta a revogação instantânea do acesso, as alterações do Identity and Access Management (IAM) geralmente são propagadas mais rapidamente. Para mais informações, consulte Consistência de recursos do Cloud KMS e Propagação de alterações no acesso.

Reativar as chaves do Cloud KMS

Para retomar a entrega e o roteamento de eventos, restaure o acesso ao Cloud KMS.

Geração de registros de auditoria e solução de problemas

O Cloud KMS produz registros de auditoria quando as chaves são ativadas, desativadas ou usadas por recursos avançados do Eventarc para criptografar e descriptografar mensagens. Para mais informações, consulte as informações sobre registros de auditoria do Cloud KMS.

Para resolver problemas que podem ser encontrados ao usar o Cloud KMS com o Eventarc, consulte Resolver problemas.

Para resolver problemas que podem ser encontrados ao usar chaves gerenciadas externamente por meio do Cloud External Key Manager (Cloud EKM), consulte a Referência de erros do Cloud EKM.

Preços

A integração do barramento não gera custos adicionais além das operações principais, que são faturadas para seu projeto Google Cloud . O uso da CMEK em um pipeline gera cobranças pelo acesso ao serviço do Cloud KMS com base nos preços do Pub/Sub.

Para mais informações sobre os preços mais atuais, consulte Preços do Cloud KMS.

A seguir