Panoramica di AutoKey

Autokey di Cloud KMS semplifica la creazione e l'utilizzo delle chiavi di crittografia gestite dal cliente (CMEK) automatizzando il provisioning e l'assegnazione. Con Autokey, le chiavi automatizzate e le chiavi vengono generate on demand. Gli account di servizio che utilizzano le chiavi per criptare e decriptare le risorse vengono creati e a cui vengono assegnati i ruoli IAM (Identity and Access Management) quando necessario. Gli amministratori di Cloud KMS mantengono il controllo e la visibilità completi sulle chiavi create da Autokey, senza dover pianificare e creare in anticipo ogni risorsa.

L'utilizzo delle chiavi generate da Autokey può aiutarti ad allinearti in modo coerente agli standard di settore e alle pratiche consigliate per la sicurezza dei dati, tra cui il livello di protezione dell'HSM, la separazione dei compiti, rotazione della chiave, la posizione e la specificità delle chiavi. Autokey crea chiavi che rispettano sia le linee guida generali sia quelle specifiche per il tipo di risorsa per i servizi Google Cloud integrati con Autokey di Cloud KMS. Una volta create, le chiavi richieste utilizzando la funzione Autokey sono identiche alle altre chiavi Cloud HSM con le stesse impostazioni.

Autokey può anche semplificare l'utilizzo di Terraform per la gestione delle chiavi, eliminando la necessità di eseguire Infrastructure as Code con privilegi elevati per la creazione di chiavi.

Per utilizzare Autokey, devi disporre di una risorsa organizzazione che contenga una risorsa cartella. Per ulteriori informazioni sulle risorse organizzazione e cartella, consulta Gerarchia delle risorse.

Cloud KMS Autokey è disponibile in tutte le località di Google Cloud in cui è disponibile Cloud HSM. Per ulteriori informazioni sulle località Cloud KMS, consulta Località di Cloud KMS. L'utilizzo di Autokey di Cloud KMS non comporta costi aggiuntivi. Le chiavi create utilizzando Autokey hanno lo stesso prezzo di qualsiasi altra chiave Cloud HSM. Per maggiori informazioni sui prezzi, consulta Prezzi di Cloud Key Management Service.

Come funziona Autokey

Questa sezione spiega come funziona Autokey di Cloud KMS. I seguenti ruoli utente partecipano a questo processo:

Amministratore della sicurezza

L'amministratore della sicurezza è un utente responsabile della gestione della sicurezza a livello di cartella o organizzazione.

Sviluppatore di Autokey

Lo sviluppatore Autokey è un utente responsabile della creazione di risorse utilizzando Cloud KMS Autokey.

Amministratore Cloud KMS

L'amministratore di Cloud KMS è un utente responsabile della gestione delle risorse Cloud KMS. Questo ruolo ha meno responsabilità quando si utilizza Autokey rispetto all'utilizzo di chiavi create manualmente.

A questo processo partecipano anche i seguenti agenti di servizio:

Agente di servizio Cloud KMS

L'agente di servizio per Cloud KMS in un determinato progetto di chiavi. Autokey dipende dal fatto che questo agente di servizio disponga di privilegi elevati per creare chiavi e chiavi automatizzate Cloud KMS e per impostare i criteri IAM sulle chiavi, concedendo autorizzazioni di crittografia e decrittografia per ogni agente di servizio delle risorse.

Agente di servizio delle risorse

L'agente di servizio per un determinato servizio in un determinato progetto di risorse. Questo agente di servizio deve disporre delle autorizzazioni di crittografia e decrittografia su qualsiasi chiave Cloud KMS prima di poter utilizzare la chiave per la protezione della chiave CMK in una risorsa. Autokey crea l'agente di servizio della risorsa quando necessario e gli concede le autorizzazioni necessarie per utilizzare la chiave Cloud KMS.

L'amministratore della sicurezza attiva Cloud KMS Autokey

Prima di poter utilizzare Autokey, l'amministratore della sicurezza deve completare le seguenti attività di configurazione una tantum:

1. Abilita Cloud KMS Autokey in una cartella di risorse e identifica il progetto Cloud KMS che conterrà le risorse Autokey per quella cartella.

2. Crea l'agente di servizio Cloud KMS e poi concedi all'agente di servizio i privilegi di creazione e assegnazione delle chiavi.

3. Concedi i ruoli utente di Autokey agli utenti sviluppatori di Autokey.

Una volta completata questa configurazione, gli sviluppatori di Autokey possono ora attivare la creazione on demand delle chiavi Cloud HSM. Per visualizzare le istruzioni di configurazione complete di Cloud KMS Autokey, consulta Abilitare Cloud KMS Autokey.

Gli sviluppatori di Autokey utilizzano Autokey di Cloud KMS

Una volta configurato Autokey, gli sviluppatori autorizzati di Autokey possono creare risorse protette utilizzando le chiavi create per loro su richiesta. I dettagli della procedura di creazione della risorsa dipendono dalla risorsa che stai creando, ma la procedura segue questo flusso:

1. Lo sviluppatore di Autokey inizia a creare una risorsa in un servizio Google Cloud compatibile. Durante la creazione della risorsa, lo sviluppatore richiede una nuova chiave all'agente di servizio Autokey.

2. L'agente del servizio Autokey riceve la richiesta dello sviluppatore e completa i seguenti passaggi:

   1. Crea una chiave automatizzata nel progetto di chiavi nella posizione selezionata, a meno che la chiave automatizzata non esista già.
   2. Crea una chiave nel keyring con la granularità appropriata per il tipo di risorsa, a meno che questa chiave non esista già.
   3. Crea l'account di servizio per progetto e per servizio, a meno che non esista già.
   4. Concedi all'account di servizio le autorizzazioni di crittografia e decrittografia per progetto e servizio sulla chiave.
   5. Fornisci allo sviluppatore i dettagli chiave per consentirgli di completare la creazione della risorsa.

3. Con i dettagli della chiave restituiti correttamente dall'agente di servizio Autokey, lo sviluppatore può completare immediatamente la creazione della risorsa protetta.

Cloud KMS Autokey crea chiavi con gli attributi descritti nella sezione successiva. Questo flusso di creazione delle chiavi preserva la separazione delle responsabilità. L'amministratore di Cloud KMS continua ad avere piena visibilità e controllo sulle chiavi create da Autokey.

Per iniziare a utilizzare Autokey dopo averlo attivato in una cartella, consulta Creare risorse protette utilizzando Cloud KMS Autokey.

Informazioni sulle chiavi create da Autokey

Le chiavi create da Cloud KMS Autokey hanno i seguenti attributi:

• Livello di protezione: HSM.
• Algoritmo: AES-256 GCM.

• Periodo di rotazione: un anno.

  Dopo che una chiave è stata creata da Autokey, un amministratore Cloud KMS può modificare il periodo di rotazione rispetto al valore predefinito.

• Separazione dei compiti:
  • All'account di servizio del servizio vengono concesse automaticamente le autorizzazioni di crittografia e decrittografia per la chiave.
  • Le autorizzazioni di amministratore Cloud KMS si applicano come di consueto alle chiavi create da Autokey. Gli amministratori di Cloud KMS possono visualizzare, aggiornare, attivare o disattivare e distruggere le chiavi create da Autokey. Agli amministratori di Cloud KMS non vengono assegnate autorizzazioni di crittografia e decrittografia.
  • Gli sviluppatori di Autokey possono richiedere solo la creazione e l'assegnazione delle chiavi. Non possono visualizzare o gestire le chiavi.
• Specificità o granularità della chiave: le chiavi create da Autokey hanno una granularità che varia in base al tipo di risorsa. Per dettagli specifici del servizio sulla granularità delle chiavi, consulta Servizi compatibili in questa pagina.

• Posizione:Autokey crea le chiavi nella stessa posizione della risorsa da proteggere.

  Se devi creare risorse protette da CMEK in località in cui Cloud HSM non è disponibile, devi creare il CMEK manualmente.

• Stato della versione della chiave: le chiavi appena create richieste utilizzando la funzionalità Autokey vengono create come versione della chiave primaria nello stato abilitato.
• Nomi dei keyring: tutte le chiavi create da Autokey vengono create in un keyring denominato autokey nel progetto Autokey nella località selezionata. I keyring nel progetto Autokey vengono creati quando un sviluppatore Autokey richiede la prima chiave in una determinata posizione.
• Nomi delle chiavi: le chiavi create da Autokey seguono questa convenzione di denominazione: PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
• Esportazione delle chiavi: come tutte le chiavi Cloud KMS, le chiavi create da Autokey non possono essere esportate.
• Monitoraggio delle chiavi: come tutte le chiavi Cloud KMS utilizzate nei servizi integrati CMEK compatibili con il monitoraggio delle chiavi, le chiavi create da Autokey vengono monitorate nella dashboard di Cloud KMS.

Applicazione di Autokey

Se vuoi applicare l'utilizzo di Autokey all'interno di una cartella, puoi farlo combinando i controlli dell'accesso IAM con i criteri dell'organizzazione CMEK. Questo funziona rimuovendo le autorizzazioni di creazione delle chiavi da entità diverse dall'agente di servizio Autokey e richiedendo quindi che tutte le risorse siano protette da CMEK utilizzando il progetto di chiavi Autokey. Per istruzioni dettagliate sull'applicazione dell'utilizzo di Autokey, consulta Applicare l'utilizzo di Autokey.

Servizi compatibili

Nella tabella seguente sono elencati i servizi compatibili con Cloud KMS Autokey:

Servizio	Risorse protette	Granularità delle chiavi
Cloud Storage	storage.googleapis.com/Bucket Gli oggetti all'interno di un bucket di archiviazione utilizzano la chiave predefinita del bucket. Autokey non crea chiavi per le risorse storage.object.	Una chiave per bucket
Compute Engine	compute.googleapis.com/Disk compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/MachineImage Gli snapshot utilizzano la chiave del disco di cui stai creando uno snapshot. Autokey non crea chiavi per le risorse compute.snapshot.	Una chiave per risorsa
BigQuery	bigquery.googleapis.com/Dataset Autokey crea chiavi predefinite per i set di dati. Le tabelle, i modelli, le query e le tabelle temporanee all'interno di un set di dati utilizzano la chiave predefinita del set di dati. La funzionalità Autokey non crea chiavi per le risorse BigQuery diverse dai set di dati. Per proteggere le risorse che non fanno parte di un set di dati, devi creare le tue chiavi predefinite a livello di progetto o dell'organizzazione.	Una chiave per risorsa
Secret Manager	secretmanager.googleapis.com/Secret Secret Manager è compatibile con Cloud KMS Autokey solo per la creazione di risorse utilizzando Terraform o l'API REST.	Una chiave per località all'interno di un progetto
Cloud SQL	sqladmin.googleapis.com/Instance Autokey non crea chiavi per le risorse Cloud SQL.BackupRun Quando crei un backup di un'istanza Cloud SQL, il backup viene criptato con la chiave gestita dal cliente dell'istanza principale. Cloud SQL è compatibile con Autokey di Cloud KMS solo quando si creano risorse utilizzando Terraform o l'API REST.	Una chiave per risorsa
Spanner	spanner.googleapis.com/Database Spanner è compatibile con Cloud KMS Autokey solo quando si creano risorse utilizzando Terraform o l'API REST.	Una chiave per risorsa

Limitazioni

• Gcloud CLI non è disponibile per le risorse Autokey.
• Gli handle delle chiavi non sono in Cloud Asset Inventory.

Passaggi successivi

• Per iniziare a utilizzare Cloud KMS Autokey, un amministratore della sicurezza deve abilitare Cloud KMS Autokey.
• Per utilizzare Cloud KMS Autokey dopo averlo abilitato, uno sviluppatore può creare risorse protette da CMEK utilizzando Autokey.
• Scopri le best practice per CMEK.