Cloud KMS Autokey semplifica la creazione e l'utilizzo delle chiavi di crittografia gestite dal cliente (CMEK) automatizzando il provisioning e l'assegnazione. Con Autokey, le chiavi e le chiavi automatizzate vengono generate on demand. I service account che utilizzano le chiavi per criptare e decriptare le risorse vengono creati e ricevono i ruoli IAM (Identity and Access Management) quando necessario. Gli amministratori di Cloud KMS mantengono il pieno controllo e la visibilità sulle chiavi create da Autokey, senza la necessità di pianificare e creare in anticipo ogni risorsa.
L'utilizzo di chiavi generate da Autokey può aiutarti ad allinearti costantemente agli standard di settore e alle pratiche consigliate per la sicurezza dei dati, tra cui il livello di protezione HSM, la separazione delle responsabilità, rotazione della chiave, la località e la specificità delle chiavi. Autokey crea chiavi che seguono sia le linee guida generali sia quelle specifiche per il tipo di risorsa per i servizi che si integrano con Cloud KMS Autokey. Google Cloud Una volta create, le chiavi richieste utilizzando Autokey funzionano in modo identico alle altre chiavi Cloud HSM con le stesse impostazioni.
Autokey può anche semplificare l'utilizzo di Terraform per la gestione delle chiavi, eliminando la necessità di eseguire Infrastructure as Code con privilegi elevati di creazione delle chiavi.
Per utilizzare Autokey, devi disporre di una risorsa organizzazione che contenga una risorsa cartella. Per saperne di più sulle risorse di organizzazione e cartella, consulta Gerarchia delle risorse.
Cloud KMS Autokey è disponibile in tutte le Google Cloud località in cui è disponibile Cloud HSM. Per ulteriori informazioni sulle località Cloud KMS, consulta Località di Cloud KMS. Non è previsto alcun costo aggiuntivo per l'utilizzo di Autokey di Cloud KMS. Le chiavi create utilizzando Autokey hanno lo stesso prezzo di qualsiasi altra chiave Cloud HSM. Per ulteriori informazioni sui prezzi, consulta Prezzi di Cloud Key Management Service.
Come funziona Autokey
Questa sezione spiega come funziona Autokey di Cloud KMS. I seguenti ruoli utente partecipano a questo processo:
- Amministratore della sicurezza
- L'amministratore della sicurezza è un utente responsabile della gestione della sicurezza a livello di cartella o organizzazione.
- Sviluppatore di Autokey
- Lo sviluppatore di Autokey è un utente responsabile della creazione di risorse utilizzando Autokey di Cloud KMS.
- Amministratore Cloud KMS
- L'amministratore Cloud KMS è un utente responsabile della gestione delle risorse Cloud KMS. Questo ruolo ha meno responsabilità quando si utilizzano chiavi Autokey rispetto a quando si utilizzano chiavi create manualmente.
A questo processo partecipano anche i seguenti agenti di servizio:
- Agente di servizio Cloud KMS
- L'agente di servizio per Cloud KMS in un determinato progetto di chiavi. Autokey dipende da questo service agent che dispone di privilegi elevati per creare chiavi e chiavi automatizzate Cloud KMS e per impostare i criteri IAM sulle chiavi, concedendo le autorizzazioni di crittografia e decrittografia per ogni service agent della risorsa.
- Agente di servizio risorse
- L'agente di servizio per un determinato servizio in un determinato progetto di risorse. Questo service agent deve disporre delle autorizzazioni di crittografia e decrittografia per qualsiasi chiave Cloud KMS prima di poterla utilizzare per la protezione CMEK di una risorsa. Autokey crea l'agente di servizio della risorsa quando necessario e gli concede le autorizzazioni necessarie per utilizzare la chiave Cloud KMS.
L'amministratore della sicurezza abilita Cloud KMS Autokey
Prima di poter utilizzare Autokey, l'amministratore della sicurezza deve completare le seguenti attività di configurazione una tantum:
Abilita Cloud KMS Autokey in una cartella di risorse e identifica il progetto Cloud KMS che conterrà le risorse Autokey per quella cartella.
Crea l'agente di servizio Cloud KMS e poi concedi i privilegi di creazione e assegnazione delle chiavi all'agente di servizio.
Concedi i ruoli utente Autokey agli utenti sviluppatori Autokey.
Una volta completata questa configurazione, gli sviluppatori di Autokey possono attivare la creazione di chiavi Cloud HSM on demand. Per visualizzare le istruzioni di configurazione complete per Cloud KMS Autokey, consulta Abilitare Cloud KMS Autokey.
Gli sviluppatori di Autokey utilizzano Cloud KMS Autokey
Una volta configurato correttamente Autokey, gli sviluppatori Autokey autorizzati possono creare risorse protette utilizzando le chiavi create per loro su richiesta. I dettagli della procedura di creazione delle risorse dipendono dalla risorsa che stai creando, ma la procedura segue questo flusso:
Lo sviluppatore di Autokey inizia a creare una risorsa in un servizio Google Cloud compatibile. Durante la creazione della risorsa, lo sviluppatore richiede una nuova chiave all'agente di servizio Autokey.
L'agente di servizio Autokey riceve la richiesta dello sviluppatore e completa i seguenti passaggi:
- Crea una chiave automatizzata nel progetto di chiavi nella posizione selezionata, a meno che non esista già.
- Crea una chiave nella chiave automatizzata con la granularità appropriata per il tipo di risorsa, a meno che non esista già una chiave di questo tipo.
- Crea il account di servizio per progetto e per servizio, a meno che non esista già.
- Concedi le autorizzazioni di criptaggio e decriptaggio peraccount di serviziot per progetto e per servizio sulla chiave.
- Fornisci i dettagli chiave allo sviluppatore in modo che possa completare la creazione della risorsa.
Con i dettagli della chiave restituiti correttamente dall'agente del servizio Autokey, lo sviluppatore può completare immediatamente la creazione della risorsa protetta.
Cloud KMS Autokey crea chiavi con gli attributi descritti nella sezione successiva. Questo flusso di creazione delle chiavi preserva la separazione dei compiti. L'amministratore di Cloud KMS continua ad avere piena visibilità e controllo sulle chiavi create da Autokey.
Per iniziare a utilizzare Autokey dopo averlo abilitato in una cartella, consulta Creare risorse protette utilizzando Cloud KMS Autokey.
Informazioni sulle chiavi create da Autokey
Le chiavi create da Cloud KMS Autokey hanno i seguenti attributi:
- Livello di protezione:HSM.
- Algoritmo:AES-256 GCM.
Periodo di rotazione:un anno.
Dopo la creazione di una chiave da parte di Autokey, un amministratore Cloud KMS può modificare il periodo di rotazione rispetto a quello predefinito.
- Separazione dei compiti:
- All'account di servizio per il servizio vengono concesse automaticamente le autorizzazioni di crittografia e decrittografia sulla chiave.
- Le autorizzazioni di amministratore Cloud KMS vengono applicate come di consueto alle chiavi create da Autokey. Gli amministratori di Cloud KMS possono visualizzare, aggiornare, abilitare o disabilitare ed eliminare le chiavi create da Autokey. Gli amministratori Cloud KMS non dispongono delle autorizzazioni di crittografia e decrittografia.
- Gli sviluppatori di Autokey possono richiedere solo la creazione e l'assegnazione di chiavi. Non possono visualizzare o gestire le chiavi.
- Specificità o granularità della chiave:le chiavi create da Autokey hanno una granularità che varia in base al tipo di risorsa. Per dettagli specifici del servizio sulla granularità delle chiavi, vedi Servizi compatibili in questa pagina.
Località:Autokey crea chiavi nella stessa località della risorsa da proteggere.
Se devi creare risorse protette da CMEK in località in cui Cloud HSM non è disponibile, devi creare manualmente la chiave CMEK.
- Stato della versione della chiave: le chiavi appena create richieste utilizzando Autokey vengono create come versione della chiave primaria nello stato abilitato.
- Denominazione del keyring:tutte le chiavi create da Autokey vengono create in un keyring chiamato
autokeynel progetto Autokey nella località selezionata. I keyring nel progetto Autokey vengono creati quando uno sviluppatore Autokey richiede la prima chiave in una determinata località. - Denominazione delle chiavi:le chiavi create da Autokey seguono questa convenzione di denominazione:
PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX - Esportazione delle chiavi:come tutte le chiavi Cloud KMS, le chiavi create da Autokey non possono essere esportate.
- Monitoraggio delle chiavi:come tutte le chiavi Cloud KMS utilizzate nei servizi integrati CMEK compatibili con il monitoraggio delle chiavi, le chiavi create da Autokey vengono monitorate nella dashboard Cloud KMS.
Applicazione di Autokey
Se vuoi applicare l'utilizzo di Autokey all'interno di una cartella, puoi farlo combinando i controlli dell'accesso IAM con le policy dell'organizzazione CMEK. Questa operazione viene eseguita rimuovendo le autorizzazioni di creazione delle chiavi dalle entità diverse dall'agente di servizio Autokey e richiedendo che tutte le risorse siano protette da CMEK utilizzando il progetto chiave Autokey. Per istruzioni dettagliate sull'applicazione dell'utilizzo di Autokey, consulta Applicare l'utilizzo di Autokey.
Servizi compatibili
La tabella seguente elenca i servizi compatibili con Cloud KMS Autokey:
| Servizio | Risorse protette | Granularità della chiave |
|---|---|---|
| Artifact Registry |
Autokey crea chiavi durante la creazione del repository, utilizzate per tutti gli artefatti archiviati. |
Una chiave per risorsa |
| BigQuery |
Autokey crea chiavi predefinite per i set di dati. Tabelle, modelli, query e tabelle temporanee all'interno di un set di dati utilizzano la chiave predefinita del set di dati. Autokey non crea chiavi per le risorse BigQuery diverse dai set di dati. Per proteggere le risorse che non fanno parte di un set di dati, devi creare chiavi predefinite personalizzate a livello di progetto o organizzazione. |
Una chiave per risorsa |
| Bigtable |
Autokey crea chiavi per i cluster. Autokey non crea chiavi per le risorse Bigtable diverse dai cluster. Bigtable è compatibile solo con Autokey di Cloud KMS quando crei risorse utilizzando Terraform o Google Cloud SDK. |
Una chiave per cluster |
| AlloyDB per PostgreSQL |
AlloyDB per PostgreSQL è compatibile solo con Cloud KMS Autokey quando crei risorse utilizzando Terraform o l'API REST. |
Una chiave per risorsa |
| Cloud Run |
|
Una chiave per risorsa |
| Cloud SQL |
Autokey non crea chiavi per le risorse Cloud SQL
Cloud SQL è compatibile con Autokey di Cloud KMS solo quando crei risorse utilizzando Terraform o l'API REST. |
Una chiave per risorsa |
| Cloud Storage |
Gli oggetti all'interno di un
bucket di archiviazione utilizzano la chiave predefinita del bucket. Autokey non crea
chiavi per le risorse |
Una chiave per bucket |
| Compute Engine |
Gli snapshot utilizzano la chiave del disco di cui stai creando uno snapshot.
Autokey non crea chiavi per le risorse |
Una chiave per risorsa |
| Pub/Sub |
|
Una chiave per risorsa |
| Secret Manager |
Secret Manager è compatibile solo con Cloud KMS Autokey quando crei risorse utilizzando Terraform o l'API REST. |
Una chiave per località all'interno di un progetto |
| Spanner |
Spanner è compatibile solo con Autokey di Cloud KMS quando crei risorse utilizzando Terraform o l'API REST. |
Una chiave per risorsa |
| Dataflow |
|
Una chiave per risorsa |
Limitazioni
- gcloud CLI non è disponibile per le risorse Autokey.
- Gli handle delle chiavi non sono in Cloud Asset Inventory.
Passaggi successivi
- Per iniziare a utilizzare Cloud KMS Autokey, un amministratore della sicurezza deve abilitare Cloud KMS Autokey.
- Per utilizzare Cloud KMS Autokey dopo l'attivazione, uno sviluppatore può creare risorse protette da CMEK utilizzando Autokey.
- Scopri di più sulle best practice per CMEK.