Chaves de criptografia gerenciadas pelo cliente

Por padrão, o Integration Connectors criptografa o conteúdo do cliente em repouso. O Integration Connectors processa a criptografia para você sem que você precise fazer nada. Essa opção é chamada de Criptografia padrão do Google.

Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o Integration Connectors. O uso de chaves do Cloud KMS permite controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. O uso do Cloud KMS também permite visualizar registros de auditoria e controlar ciclos de vida importantes. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.

Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos do Integration Connectors é semelhante à criptografia padrão do Google. Para mais informações sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

Antes de começar

Verifique se as seguintes tarefas foram concluídas antes de usar a CMEK para o Integration Connectors:

  1. Ative a API Cloud KMS para o projeto que armazenará as chaves de criptografia.

    Ativar a API Cloud KMS

  2. Atribua o papel do IAM Administrador do Cloud KMS ou conceda as seguintes permissões do IAM para o projeto que vai armazenar suas chaves de criptografia:
    • cloudkms.cryptoKeys.setIamPolicy
    • cloudkms.keyRings.create
    • cloudkms.cryptoKeys.create

    Para informações sobre como conceder mais papéis ou permissões, consulte Como conceder, alterar e revogar acesso.

  3. Crie um keyring e uma chave.

Adicionar conta de serviço à chave CMEK

Para usar uma chave CMEK no Integration Connectors, verifique se a conta de serviço padrão (com o formato service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com) foi adicionada e atribuída ao papel do IAM Criptografador/descriptografador de CryptoKey para essa chave CMEK.

  1. No console Google Cloud , acesse a página Inventário de chaves.

    Acessar a página "Inventário de chaves"

  2. Marque a caixa de seleção da chave de CMEK desejada.

    A guia Permissões fica disponível no painel da janela à direita.

  3. Clique em Adicionar principal e insira o endereço de e-mail da conta de serviço padrão.
  4. Clique em Selecionar uma função e escolha Criptografador/Descriptografador de CryptoKey do Cloud KMS na lista suspensa disponível.
  5. Clique em Salvar.

Ativar a criptografia CMEK para uma região do Integration Connectors

É possível usar a CMEK para criptografar e descriptografar os dados compatíveis armazenados em uma região (também chamada de local). Para ativar a criptografia CMEK em uma região dos Integration Connectors, siga estas etapas:

  1. No console do Google Cloud , acesse a página Conectores de integração > Conexões.

    Acesse a página Todas as conexões.

  2. Filtre as conexões pelo Local necessário.

    Você vai receber uma lista de todas as conexões do local (região) especificado.

  3. Suspenda todas as conexões na região.
  4. Acesse a página Conectores de integração > Regiões. Isso lista todas as regiões em que os Integration Connectors estão disponíveis.
  5. Na região em que você quer ativar a CMEK, clique em Editar criptografia no menu Ações. O painel Editar criptografia é exibido.
  6. Selecione Chave de criptografia gerenciada pelo cliente (CMEK) e escolha a chave necessária na lista suspensa Chave gerenciada pelo cliente.

    Isso pode exigir que você conceda o papel cloudkms.cryptoKeyEncrypterDecrypter à conta de serviço. Clique em Conceder.

  7. Clique em Concluído.

Ativar a criptografia CMEK para uma nova região dos Integration Connectors

É possível usar a CMEK para criptografar e descriptografar os dados compatíveis armazenados em uma região (também chamada de local). Para ativar a criptografia CMEK em uma nova região do Integration Connectors, siga estas etapas:

  1. No console do Google Cloud , acesse a página Conectores de integração > Regiões.

    Acesse a página "Regiões".

  2. Clique em Provisionar nova região. A página "Criar região" vai aparecer.
  3. Selecione a região na lista suspensa Região.
  4. Na seção Configurações avançadas, selecione Chave de criptografia gerenciada pelo cliente (CMEK) e escolha a chave necessária na lista suspensa Chave gerenciada pelo cliente.

    Isso pode exigir que você conceda o papel cloudkms.cryptoKeyEncrypterDecrypter à conta de serviço. Clique em Conceder.

  5. Clique em Concluído.

Cotas do Cloud KMS e do Integration Connectors

Ao usar a CMEK nos Conectores de integração, seus projetos podem consumir cotas de solicitações criptográficas do Cloud KMS. Por exemplo, as chaves da CMEK podem consumir essas cotas em cada chamada de criptografia e descriptografia.

As operações de criptografia e descriptografia com chaves CMEK afetam as cotas do Cloud KMS destas maneiras:

  • Para chaves CMEK de software geradas no Cloud KMS, nenhuma cota do Cloud KMS é consumida.
  • Para chaves CMEK de hardware, às vezes chamadas de chaves do Cloud HSM, as operações de criptografia e descriptografia são descontadas das cotas do Cloud HSM no projeto que contém a chave.
  • Para chaves CMEK externas, às vezes chamadas de chaves do Cloud EKM, as operações de criptografia e descriptografia são descontadas das cotas do Cloud EKM no projeto que contém a chave.

Para mais informações, consulte Cotas do Cloud KMS.