Chiavi di crittografia gestite dal cliente

Per impostazione predefinita, Integration Connectors cripta i contenuti dei clienti at-rest. Integration Connectors gestisce la crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata Crittografia predefinita di Google.

Se vuoi controllare le tue chiavi di crittografia, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) in Cloud KMS con servizi integrati con CMEK, inclusi Integration Connectors. L'utilizzo delle chiavi Cloud KMS ti consente di controllare il livello di protezione, la posizione, la pianificazione della rotazione, l'utilizzo e le autorizzazioni di accesso e i limiti crittografici. L'utilizzo di Cloud KMS consente anche di visualizzare i log di controllo e controllare i cicli di vita delle chiavi. Anziché essere di proprietà di Google e gestite da Google, le chiavi di crittografia delle chiavi (KEK) simmetriche che proteggono i tuoi dati sono controllate e gestite da te in Cloud KMS.

Dopo aver configurato le risorse con le chiavi CMEK, l'esperienza di accesso alle risorse di Integration Connectors è simile all'utilizzo della crittografia predefinita di Google. Per saperne di più sulle opzioni di crittografia, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Prima di iniziare

Prima di utilizzare CMEK per Integration Connectors, assicurati che siano state completate le seguenti attività:

  1. Abilita l'API Cloud KMS per il progetto che archivierà le chiavi di crittografia.

    Abilita l'API Cloud KMS

  2. Assegna il ruolo IAM Amministratore Cloud KMS o concedi le seguenti autorizzazioni IAM per il progetto che archivierà le chiavi di crittografia:
    • cloudkms.cryptoKeys.setIamPolicy
    • cloudkms.keyRings.create
    • cloudkms.cryptoKeys.create

    Per informazioni sulla concessione di ruoli o autorizzazioni aggiuntivi, consulta Concessione, modifica e revoca dell'accesso.

  3. Crea un keyring e una chiave.

Aggiungere il account di servizio alla chiave CMEK

Per utilizzare una chiave CMEK in Integration Connectors, devi assicurarti che il tuo account di servizio predefinito (con il formato service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com) sia aggiunto e che gli sia assegnato il ruolo IAM Autore crittografia/decriptazione CryptoKey per quella chiave CMEK.

  1. Nella console Google Cloud , vai alla pagina Inventario chiavi.

    Vai alla pagina Inventario chiavi

  2. Seleziona la casella di controllo relativa alla chiave CMEK desiderata.

    La scheda Autorizzazioni nel riquadro di destra della finestra diventa disponibile.

  3. Fai clic su Aggiungi entità e inserisci l'indirizzo email del account di servizio predefinito.
  4. Fai clic su Seleziona un ruolo e seleziona il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS dall'elenco a discesa disponibile.
  5. Fai clic su Salva.

Abilitare la crittografia CMEK per una regione Integration Connectors esistente

Puoi utilizzare CMEK per criptare e decriptare i dati supportati memorizzati in una regione (chiamata anche località). Per attivare la crittografia CMEK per una regione Integration Connectors esistente, segui questi passaggi:

  1. Nella console Google Cloud , vai alla pagina Integration Connectors > Connections.

    Vai alla pagina Tutte le connessioni.

  2. Filtra le connessioni per la Posizione richiesta.

    Verrà visualizzato un elenco di tutte le connessioni per la località (regione) specificata.

  3. Sospendi tutte le connessioni nella regione.
  4. Vai alla pagina Integration Connectors > Regions (Integration Connectors > Regioni). Elenca tutte le regioni in cui è disponibile Integration Connectors.
  5. Per la regione in cui vuoi attivare CMEK, fai clic su Modifica crittografia nel menu Azioni. Viene visualizzato il riquadro Modifica crittografia.
  6. Seleziona Chiave di crittografia gestita dal cliente (CMEK), quindi seleziona la chiave richiesta dall'elenco a discesa Chiave gestita dal cliente.

    Potrebbe esserti chiesto di concedere il ruolo cloudkms.cryptoKeyEncrypterDecrypter al account di servizio. Fai clic su Concedi.

  7. Fai clic su Fine.

Abilita la crittografia CMEK per una nuova regione di Integration Connectors

Puoi utilizzare CMEK per criptare e decriptare i dati supportati memorizzati in una regione (chiamata anche località). Per attivare la crittografia CMEK per una nuova regione di Integration Connectors, segui questi passaggi:

  1. Nella console Google Cloud , vai alla pagina Integration Connectors > Regioni.

    Vai alla pagina Regioni.

  2. Fai clic su Provision new region (Esegui provisioning nuova regione). Viene visualizzata la pagina di creazione della regione.
  3. Seleziona la regione richiesta dall'elenco a discesa Regione.
  4. Nella sezione Impostazioni avanzate, seleziona Chiave di crittografia gestita dal cliente (CMEK), quindi seleziona la chiave richiesta dall'elenco a discesa Chiave gestita dal cliente.

    Potrebbe esserti chiesto di concedere il ruolo cloudkms.cryptoKeyEncrypterDecrypter al account di servizio. Fai clic su Concedi.

  5. Fai clic su Fine.

Quote di Cloud KMS e Integration Connectors

Quando utilizzi CMEK in Integration Connectors, i tuoi progetti possono utilizzare le quote per le richieste crittografiche di Cloud KMS. Ad esempio, le chiavi CMEK possono consumare queste quote per ogni chiamata di crittografia e decriptazione.

Le operazioni di crittografia e decriptazione che utilizzano chiavi CMEK influiscono sulle quote di Cloud KMS nei seguenti modi:

  • Per le chiavi CMEK software generate in Cloud KMS, non viene consumata alcuna quota Cloud KMS.
  • Per le chiavi CMEK hardware, a volte chiamate chiavi Cloud HSM, le operazioni di crittografia e decrittografia vengono conteggiate in base alle quote Cloud HSM nel progetto che contiene la chiave.
  • Per le chiavi CMEK esterne, a volte chiamate chiavi Cloud EKM, le operazioni di crittografia e decrittografia vengono conteggiate in base alle quote Cloud EKM nel progetto che contiene la chiave.

Per ulteriori informazioni, consulta Quote di Cloud KMS.