Proteggere i dati con CMEK
Questa pagina fornisce informazioni supplementari per proteggere i tuoi dati con le chiavi di crittografia gestite dal cliente (CMEK) per le funzioni create utilizzando i comandi gcloud functions o l'API Cloud Functions v2.
Per una descrizione dettagliata di CMEK, inclusa la configurazione manuale, l'utilizzo di Autokey e il test della protezione CMEK, consulta la documentazione di Cloud Run.
I seguenti tipi di dati delle funzioni Cloud Run vengono criptati quando si utilizza una chiave CMEK:
- Codice sorgente della funzione caricato per il deployment e archiviato da Google in Cloud Storage, utilizzato nel processo di compilazione.
- I risultati del processo di compilazione della funzione, tra cui:
- L'immagine container creata dal codice sorgente della funzione.
- Ogni istanza della funzione di cui è stato eseguito il deployment.
Il processo di compilazione della funzione stessa è protetto da una chiave temporanea generata in modo univoco per ogni compilazione. Per ulteriori informazioni, consulta la sezione Conformità CMEK in Cloud Build. Inoltre, tieni presente quanto segue:
I metadati dei file, ad esempio i percorsi del file system o i timestamp di modifica, non vengono criptati.
Se una chiave è disattivata, l'immagine del contenitore non può essere dispiattata e le nuove istanze non possono essere avviate.
La protezione CMEK delle funzioni Cloud Run si applica solo alle risorse delle funzioni Cloud Run gestite da Google. Sei responsabile della protezione dei dati e delle risorse gestite da te, come i repository di codice sorgente, i canali di eventi presenti nel progetto del cliente o qualsiasi servizio utilizzato dalle tue funzioni.
Prima di iniziare
Crea una chiave per una singola regione da utilizzare per criptare le funzioni. Per scoprire come creare una chiave, consulta la pagina relativa alla creazione di chiavi di crittografia simmetrica.
Crea un repository Artifact Registry con CMEK abilitato. Devi utilizzare la stessa chiave per il repository Artifact Registry che utilizzi per attivare la CMEK per una funzione.
Per le funzioni basate su eventi, segui i passaggi di configurazione aggiuntivi illustrati in Attivare CMEK per un canale Google.
Concedere agli account di servizio l'accesso alla chiave
Per tutte le funzioni, devi concedere alla chiave l'accesso ai seguenti service account:
Agente di servizio Cloud Run Functions (
service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com)Agente di servizio Artifact Registry (
service-PROJECT_NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com)Agente di servizio Cloud Storage (
service-PROJECT_NUMBER@gs-project-accounts.iam.gserviceaccount.com)Agente di servizio Cloud Run (
service-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com)Agente di servizio Eventarc (
service-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com)
Per concedere a questi account di servizio l'accesso alla chiave, aggiungi ogni account di servizio come entità della chiave e poi concedi all'account di servizio il ruolo Cloud KMS CryptoKey Encrypter/Decrypter:
Console
Vai alla pagina Cloud Key Management Service nella Google Cloud console:
Vai alla pagina Cloud KMSFai clic sul nome del mazzo di chiavi che contiene la chiave scelta.
Fai clic sul nome della chiave per visualizzarne i dettagli.
Nella scheda Autorizzazioni, fai clic su Concedi accesso.
Nel campo Nuove entità, inserisci gli indirizzi email di tutti e tre gli account di servizio discussi in precedenza per assegnare le autorizzazioni a tutti e tre gli account contemporaneamente.
Nel menu Seleziona un ruolo, seleziona Autore crittografia/decrittografia CryptoKey Cloud KMS.
Fai clic su Salva.
gcloud
Per ogni account di servizio discusso in precedenza, esegui il seguente comando:
gcloud kms keys add-iam-policy-binding KEY \ --keyring KEY_RING \ --location LOCATION \ --member serviceAccount:SERVICE_AGENT_EMAIL \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter
Sostituisci quanto segue:
KEY: il nome della chiave. Ad esempio,my-key.KEY_RING: il nome del mazzo di chiavi. Ad esempio,my-keyring.LOCATION: la posizione della chiave. Ad esempio,us-central1.SERVICE_AGENT_EMAIL: l'indirizzo email dell'account di servizio.
Attivazione di CMEK per una funzione
Dopo aver configurato un repository Artifact Registry con CMEK abilitato e aver concesso alle funzioni Cloud Run l'accesso alla chiave, puoi abilitare CMEK per la tua funzione.
Per abilitare CMEK per una funzione, esegui il seguente comando:
gcloud functions deploy FUNCTION \ --kms-key=KEY \ --docker-repository=REPOSITORY \ --source=YOUR_SOURCE_LOCATION FLAGS...
Sostituisci quanto segue:
FUNCTION: il nome della funzione per attivare CMEK. Ad esempio,cmek-function.KEY: il nome della chiave completo, nel seguente formato:projects/PROJECT_NAME/locations/LOCATION/keyRings/KEYRING_NAME/cryptoKeys/KEY_NAME.REPOSITORY: il nome del repository Artifact Registry completamente qualificato, nel seguente formato:projects/PROJECT_NAME/locations/LOCATION/repositories/REPOSITORY.YOUR_SOURCE_LOCATION: quando attivi il CMEK per una funzione preesistente, assicurati che il codice sorgente previsto venga reimplementato specificando questo parametro esplicitamente.FLAGS...: flag aggiuntivi che potrebbero essere necessari per eseguire il deployment della funzione, in particolare per creare i deployment. Per maggiori dettagli, consulta Eseguire il deployment di una funzione Cloud Run.
CMEK è attivato per la funzione. Se vuoi, attiva le policy dell'organizzazione CMEK per applicare a tutte le nuove funzioni la conformità a CMEK.
Tieni presente che le funzioni Cloud Run utilizzano sempre la versione principale di una chiave per la protezione CMEK. Non puoi specificare una versione della chiave specifica da utilizzare quando attivi CMEK per le tue funzioni.
Se una chiave viene eliminata o disattivata o se le autorizzazioni richieste vengono revocate, le istanze attive delle funzioni protette da quella chiave non vengono arrestate. Le esecuzioni di funzioni già in corso continueranno a essere eseguite, ma le nuove esecuzioni non andranno a buon fine finché le funzioni Cloud Run non avranno accesso alla chiave.