Questa pagina è stata tradotta dall'API Cloud Translation.

Cloud External Key Manager

Questa pagina fornisce una panoramica di Cloud External Key Manager (Cloud EKM).

Terminologia

External Key Manager (EKM)

Il gestore chiavi utilizzato al di fuori di Google Cloud per gestire le chiavi.
Cloud External Key Manager (Cloud EKM)

Un Google Cloud servizio per l'utilizzo delle chiavi esterne gestite in un EKM supportato.
Cloud EKM tramite internet

Una versione di Cloud EKM in cui Google Cloud comunica con il tuo gestore delle chiavi esterno tramite internet.
Cloud EKM tramite un VPC

Una versione di Cloud EKM in cui Google Cloud comunica con il tuo gestore delle chiavi esterno tramite un Virtual Private Cloud (VPC). Per maggiori informazioni, consulta Panoramica della rete VPC.
Gestione delle chiavi EKM da Cloud KMS

Quando utilizzi Cloud EKM tramite un VPC con un partner di gestione delle chiavi esterne che supporta il piano di controllo Cloud EKM, puoi utilizzare la modalità di gestione EKM di Cloud KMS per semplificare il processo di gestione delle chiavi esterne nel partner di gestione delle chiavi esterne e in Cloud EKM. Per saperne di più, consulta Chiavi esterne coordinate e Gestione delle chiavi EKM da Cloud KMS in questa pagina.
Crypto Space

Un contenitore per le tue risorse all'interno del tuo partner esterno per la gestione delle chiavi. Il tuo spazio crittografico è identificato da un percorso univoco. Il formato del percorso Crypto Space varia a seconda del partner di gestione delle chiavi esterno, ad esempio, v0/cryptospaces/YOUR_UNIQUE_PATH.
EKM gestito dal partner

Un accordo in cui il tuo EKM viene gestito per tuo conto da un partner fidato. Per ulteriori informazioni, consulta la sezione EKM gestito dal partner in questa pagina.
Key Access Justifications

Quando utilizzi Cloud EKM con Key Access Justifications, ogni richiesta al tuo partner di gestione delle chiavi esterne include un campo che identifica il motivo di ogni richiesta. Puoi configurare il tuo partner esterno per la gestione delle chiavi in modo da consentire o negare le richieste in base al codice Key Access Justifications fornito. Per saperne di più su Key Access Justifications, consulta Panoramica di Key Access Justifications.

Panoramica

Con Cloud EKM puoi utilizzare le chiavi da te gestite in un partner di gestione delle chiavi esterne supportato per proteggere i dati in Google Cloud. Puoi proteggere i dati at-rest nei servizi di integrazione CMEK supportati o chiamando direttamente l'API Cloud Key Management Service.

Cloud EKM offre diversi vantaggi:

Provenienza delle chiavi:controlli la posizione e la distribuzione delle chiavi gestite esternamente. Le chiavi gestite esternamente non vengono mai memorizzate nella cache o archiviate in Google Cloud. Cloud EKM comunica direttamente con il partner esterno per la gestione delle chiavi per ogni richiesta.
Controllo dell'accesso:gestisci l'accesso alle chiavi gestite esternamente nel tuo gestore di chiavi esterno. Non puoi utilizzare una chiave gestita esternamente in Google Cloud senza prima concedere al progetto Google Cloud l'accesso alla chiave nel gestore di chiavi esterne. Puoi revocare l'accesso in qualsiasi momento.
Gestione centralizzata delle chiavi:puoi gestire le chiavi e le norme di accesso da un'unica interfaccia utente, indipendentemente dal fatto che i dati che proteggono risiedano nel cloud o on-premise.

In tutti i casi, la chiave si trova sul sistema esterno e non viene mai inviata a Google.

Puoi comunicare con il tuo gestore delle chiavi esterne tramite internet o tramite Virtual Private Cloud (VPC).

Come funziona Cloud EKM

Le versioni delle chiavi Cloud EKM sono costituite dai seguenti componenti:

Materiale della chiave esterna: il materiale della chiave esterna di una chiave Cloud EKM è materiale crittografico creato e archiviato nel tuo EKM. Questo materiale non lascia l'EKM e non viene mai condiviso con Google.
Riferimento alla chiave: ogni versione della chiave Cloud EKM contiene un URI della chiave o un percorso della chiave. Si tratta di un identificatore univoco per il materiale della chiave esterna che Cloud EKM utilizza quando richiede operazioni crittografiche utilizzando la chiave.
Materiale della chiave interna: quando viene creata una chiave Cloud EKM simmetrica, Cloud KMS crea materiale della chiave aggiuntivo in Cloud KMS, che non esce mai da Cloud KMS. Questo materiale della chiave viene utilizzato come livello di crittografia aggiuntivo quando comunichi con il tuo EKM. Questo materiale della chiave interna non si applica alle chiavi di firma asimmetrica.

Per utilizzare le chiavi Cloud EKM, Cloud EKM invia richieste di operazioni di crittografia al tuo EKM. Ad esempio, per criptare i dati con una chiave di crittografia simmetrica, Cloud EKM cripta prima i dati utilizzando il materiale della chiave interna. I dati criptati sono inclusi in una richiesta all'EKM. EKM esegue il wrapping dei dati criptati in un altro livello di crittografia utilizzando il materiale della chiave esterna e poi restituisce il testo cifrato risultante. I dati criptati utilizzando una chiave Cloud EKM non possono essere decriptati senza il materiale della chiave esterna e quello della chiave interna.

Se la tua organizzazione ha attivato Key Access Justifications, il partner di gestione delle chiavi esterne registra la giustificazione dell'accesso fornita e completa la richiesta solo per i codici motivo di giustificazione consentiti dalla policy Key Access Justifications sul partner di gestione delle chiavi esterne.

La creazione e la gestione delle chiavi Cloud EKM richiedono modifiche corrispondenti sia in Cloud KMS sia in EKM. Queste modifiche corrispondenti vengono gestite in modo diverso per le chiavi esterne gestite manualmente e per le chiavi esterne coordinate. Tutte le chiavi esterne a cui si accede tramite internet vengono gestite manualmente. Le chiavi esterne a cui si accede tramite una rete VPC possono essere gestite o coordinate manualmente, a seconda della modalità di gestione EKM della connessione EKM. La modalità di gestione EKM Manuale viene utilizzata per le chiavi gestite manualmente. La modalità di gestione EKM di Cloud KMS viene utilizzata per le chiavi esterne coordinate. Per saperne di più sulle modalità di gestione EKM, consulta Chiavi esterne gestite manualmente e Chiavi esterne coordinate in questa pagina.

Il seguente diagramma mostra come Cloud KMS si inserisce nel modello di gestione delle chiavi. Questo diagramma utilizza Compute Engine e BigQuery come due esempi; puoi anche visualizzare l'elenco completo dei servizi che supportano le chiavi Cloud EKM.

Diagramma che illustra la crittografia e la decrittografia con Cloud EKM

Puoi scoprire di più sulle considerazioni e sulle limitazioni relative all'utilizzo di Cloud EKM.

Chiavi esterne gestite manualmente

Questa sezione fornisce una panoramica generale di come funziona Cloud EKM con una chiave esterna gestita manualmente.

Crea o utilizza una chiave esistente in un sistema di gestione delle chiavi esterne supportato da un partner. Questa chiave ha un URI o un percorso della chiave univoco.
Concedi al tuo progetto Google Cloud l'accesso per utilizzare la chiave nel sistema del partner di gestione delle chiavi esterne.
Nel tuo progetto Google Cloud , crea una versione della chiave Cloud EKM utilizzando l'URI o il percorso della chiave gestita esternamente.
Le operazioni di manutenzione come rotazione della chiave devono essere gestite manualmente tra il tuo EKM e Cloud EKM. Ad esempio, le operazioni di rotazione o eliminazione delle versioni della chiave devono essere completate sia direttamente nell'EKM sia in Cloud KMS.

All'interno di Google Cloud, la chiave viene visualizzata insieme alle altre chiavi Cloud KMS e Cloud HSM, con il livello di protezione EXTERNAL o EXTERNAL_VPC. La chiave Cloud EKM e la chiave del partner di gestione delle chiavi esterne funzionano insieme per proteggere i tuoi dati. Il materiale delle chiavi esterno non viene mai esposto a Google.

Chiavi esterne coordinate

Questa sezione fornisce una panoramica del funzionamento di Cloud EKM con le chiavi esterne coordinate.

Configura una connessione EKM, impostando la modalità di gestione EKM su Cloud KMS. Durante la configurazione, devi autorizzare EKM ad accedere alla tua rete VPC e autorizzare il account di servizio del tuo progetto ad accedere al tuo spazio di archiviazione delle chiavi in EKM.Google Cloud La connessione EKM utilizza il nome host di EKM e un percorso dello spazio crittografico che identifica le tue risorse all'interno di EKM.
Crea una chiave esterna in Cloud KMS. Quando crei una chiave Cloud EKM utilizzando una connessione EKM tramite VPC con la modalità di gestione EKM Cloud KMS abilitata, vengono eseguiti automaticamente i seguenti passaggi:
1. Cloud EKM invia una richiesta di creazione della chiave al tuo EKM.
2. EKM crea il materiale della chiave richiesto. Questo materiale delle chiavi esterno rimane in EKM e non viene mai inviato a Google.
3. Il tuo EKM restituisce un percorso della chiave a Cloud EKM.
4. Cloud EKM crea la versione della chiave Cloud EKM utilizzando il percorso della chiave fornito dall'EKM.
Le operazioni di manutenzione sulle chiavi esterne coordinate possono essere avviate da Cloud KMS. Ad esempio, le chiavi esterne coordinate utilizzate per la crittografia simmetrica possono essere ruotate automaticamente in base a una pianificazione prestabilita. La creazione di nuove versioni della chiave viene coordinata nel tuo EKM da Cloud EKM. Puoi anche attivare la creazione o l'eliminazione di versioni della chiave nel tuo EKM da Cloud KMS utilizzando la consoleGoogle Cloud , la CLI gcloud, l'API Cloud KMS o le librerie client Cloud KMS.

All'interno di Google Cloud, la chiave viene visualizzata insieme alle altre chiavi Cloud KMS e Cloud HSM, con il livello di protezione EXTERNAL_VPC. La chiave Cloud EKM e la chiave del partner di gestione delle chiavi esterne funzionano insieme per proteggere i tuoi dati. Il materiale delle chiavi esterno non viene mai esposto a Google.

Gestione delle chiavi EKM da Cloud KMS

Le chiavi esterne coordinate sono rese possibili dalle connessioni EKM che utilizzano la gestione delle chiavi EKM da Cloud KMS. Se EKM supporta il piano di controllo Cloud EKM, puoi abilitare la gestione delle chiavi EKM da Cloud KMS per le tue connessioni EKM per creare chiavi esterne coordinate. Con la gestione delle chiavi EKM da Cloud KMS abilitata, Cloud EKM può richiedere le seguenti modifiche nel tuo EKM:

Crea una chiave: quando crei una chiave gestita esternamente in Cloud KMS utilizzando una connessione EKM compatibile, Cloud EKM invia la richiesta di creazione della chiave al tuo EKM. In caso di esito positivo, l'EKM crea la nuova chiave e il nuovo materiale della chiave e restituisce il percorso della chiave che Cloud EKM deve utilizzare per accedere alla chiave.
Esegui la rotazione di una chiave: quando esegui la rotazione di una chiave gestita esternamente in Cloud KMS utilizzando una connessione EKM compatibile, Cloud EKM invia la richiesta di rotazione al tuo EKM. In caso di esito positivo, il tuo EKM crea nuovo materiale della chiave e restituisce il percorso della chiave che Cloud EKM deve utilizzare per accedere alla nuova versione della chiave.
Elimina una chiave: quando elimini una versione della chiave per una chiave gestita esternamente in Cloud KMS utilizzando una connessione EKM compatibile, Cloud KMS pianifica l'eliminazione della versione della chiave in Cloud KMS. Se la versione della chiave non viene ripristinata prima della fine del periodo pianificato per l'eliminazione, Cloud EKM elimina la sua parte del materiale crittografico della chiave e invia una richiesta di eliminazione al tuo EKM.

I dati criptati con questa versione della chiave non possono essere decriptati dopo l'eliminazione della versione della chiave in Cloud KMS, anche se EKM non l'ha ancora eliminata. Puoi verificare se EKM ha distrutto correttamente la versione della chiave visualizzando i dettagli della chiave in Cloud KMS.

Quando le chiavi nel tuo EKM vengono gestite da Cloud KMS, il materiale della chiave risiede ancora nel tuo EKM. Google non può effettuare richieste di gestione delle chiavi al tuo EKM senza un'autorizzazione esplicita. Google non può modificare le autorizzazioni o le policy Key Access Justifications nel sistema del partner di gestione delle chiavi esterno. Se revochi le autorizzazioni di Google nel tuo EKM, le operazioni di gestione delle chiavi tentate in Cloud KMS non vanno a buon fine.

Compatibilità

Gestori delle chiavi supportati

Puoi archiviare le chiavi esterne nei seguenti sistemi di partner esterni per la gestione delle chiavi:

Supportati oggi:
- Fortanix
- Futurex
- Thales

Servizi che supportano CMEK con Cloud EKM

I seguenti servizi supportano l'integrazione con Cloud KMS per le chiavi esterne (Cloud EKM):

Agent Assist
AlloyDB per PostgreSQL
Hub API Apigee
Application Integration
Artifact Registry
Backup per GKE
BigQuery
Bigtable
Cloud Composer
Cloud Data Fusion
API Cloud Healthcare
Cloud Logging: Dati nel router di logging e Dati nell'archivio Logging
Cloud Run
Cloud Run Functions
Cloud SQL
Cloud Storage
Cloud Tasks
Cloud Workstations
Compute Engine: Dischi permanenti, Snapshot, Immagini personalizzate, e immagini macchina
Conversational Insights
Database Migration Service: Migrazioni MySQL - Dati scritti nei database, Migrazioni PostgreSQL - Dati scritti nei database, Migrazioni da PostgreSQL ad AlloyDB - Dati scritti nei database, Migrazioni SQL Server - Dati scritti nei database, e dati Oracle a PostgreSQL a riposo
Dataflow
Dataform
Dataplex Universal Catalog
Dataproc: Dati dei cluster Dataproc sui dischi VM e dati di Dataproc serverless sui dischi VM
Dataproc Metastore
Dialogflow CX
Document AI
Eventarc Standard
Filestore
Firestore
Google Cloud Managed Service per Apache Kafka
Google Distributed Cloud
Google Kubernetes Engine: Dati sui dischi VM e secret a livello di applicazione
Integration Connectors
Looker (Google Cloud core)
Memorystore for Redis
Migrate to Virtual Machines: Dati di cui è stata eseguita la migrazione dalle origini VM VMware, AWS e Azure e Dati di cui è stata eseguita la migrazione dalle origini di immagini disco e macchina
Parameter Manager
Pub/Sub
Secret Manager
Secure Source Manager
Spanner
Speaker ID (GA con limitazioni)
Speech-to-Text
Vertex AI
Istanze Vertex AI Workbench
Workflows

Considerazioni

Quando utilizzi una chiave Cloud EKM, Google non ha alcun controllo sulla disponibilità della chiave gestita esternamente nel sistema del partner di gestione delle chiavi esterne. Se perdi le chiavi gestite al di fuori di Google Cloud, Google non potrà recuperare i tuoi dati.
Esamina le linee guida relative a partner esterni per la gestione delle chiavi e regioni quando scegli le posizioni per le chiavi Cloud EKM.
Esamina l'accordo sul livello del servizio (SLA) di Cloud EKM.
La comunicazione con un servizio esterno su internet può causare problemi di affidabilità, disponibilità e latenza. Per le applicazioni con bassa tolleranza a questi tipi di rischi, valuta la possibilità di utilizzare Cloud HSM o Cloud KMS per archiviare il materiale delle chiavi.
- Se una chiave esterna non è disponibile, Cloud KMS restituisce un errore FAILED_PRECONDITION e fornisce i dettagli nell'errore PreconditionFailure.
  
  Abilita il logging di controllo dei dati per mantenere un record di tutti gli errori relativi a Cloud EKM. I messaggi di errore contengono informazioni dettagliate per aiutarti a individuare l'origine dell'errore. Un esempio di errore comune si verifica quando un partner esterno di gestione delle chiavi non risponde a una richiesta entro un periodo di tempo ragionevole.
- Devi disporre di un contratto di assistenza con il partner esterno per la gestione delle chiavi. L'assistenzaGoogle Cloud può aiutarti solo con i problemi relativi ai serviziGoogle Cloud e non può fornire assistenza diretta per i problemi relativi ai sistemi esterni. A volte, devi collaborare con l'assistenza di entrambe le parti per risolvere i problemi di interoperabilità.
Cloud EKM può essere utilizzato con Bare Metal Rack HSM per creare una soluzione HSM single-tenant integrata con Cloud KMS. Per saperne di più, scegli un partner Cloud EKM che supporti gli HSM con singolo tenant e consulta i requisiti per gli HSM Bare Metal Rack.
Abilita l'audit logging nel tuo gestore chiavi esterno per acquisire l'accesso e l'utilizzo delle tue chiavi EKM.

Attenzione: quando utilizzi le chiavi Cloud EKM, esiste il rischio che la chiave diventi non disponibile. A seconda dei servizi che utilizzi, ciò può causare errori irreversibili o dati inaccessibili. Ad esempio, se utilizzi una chiave CMEK esterna per criptare i secret a livello di applicazione di Google Kubernetes Engine, i nodi possono diventare non disponibili se non riescono a decriptare i secret. L'impossibilità di accedere alla chiave esterna può anche causare la perdita permanente di dati. Ad esempio, se la chiave CMEK utilizzata per criptare un database Spanner rimane non disponibile per più di 30 giorni consecutivi, Spanner elimina automaticamente il database. Quando la versione della chiave corrente non è disponibile, non puoi recuperare i dati eseguendo la rotazione a una nuova versione della chiave. Per una migliore disponibilità, valuta la possibilità di utilizzare Cloud EKM tramite VPC o chiavi Cloud HSM.

Limitazioni

Quando crei una chiave Cloud EKM utilizzando l'API o Google Cloud CLI, non deve avere una versione iniziale della chiave. Ciò non si applica alle chiavi Cloud EKM create utilizzando la consoleGoogle Cloud .
La rotazione automatica non è supportata per le chiavi esterne gestite manualmente.
Le operazioni Cloud EKM sono soggette a quote specifiche, oltre alle quote per le operazioni Cloud KMS.

Chiavi di crittografia simmetrica

Le chiavi di crittografia simmetrica sono supportate solo per quanto segue:
- Chiavi di crittografia gestite dal cliente (CMEK) nei servizi di integrazione supportati.
- Crittografia e decrittografia simmetriche utilizzando Cloud KMS direttamente.
I dati criptati da Cloud EKM utilizzando una chiave gestita esternamente non possono essere decriptati senza utilizzare Cloud EKM.

Chiavi di firma asimmetriche

Le chiavi di firma asimmetriche sono limitate a un sottoinsieme di algoritmi Cloud KMS.
Le chiavi di firma asimmetriche sono supportate solo per i seguenti casi d'uso:
- Firma asimmetrica utilizzando Cloud KMS direttamente.
- Chiave di firma personalizzata con Approvazione accesso.
Una volta impostato un algoritmo di firma asimmetrica su una chiave Cloud EKM, non può essere modificato.
La firma deve essere apposta nel campo data.

Gestori di chiavi esterni e regioni

Cloud EKM deve essere in grado di raggiungere rapidamente le chiavi per evitare errori. Quando crei una chiave Cloud EKM, scegli una posizioneGoogle Cloud geograficamente vicina a quella della chiave del partner di gestione delle chiavi esterne. Consulta la documentazione del tuo partner esterno per la gestione delle chiavi per determinare le località che supporta.

Cloud EKM su internet: disponibile nella maggior parte delle Google Cloud località in cui è disponibile Cloud KMS, incluse le località regionali e multiregionali.
Cloud EKM su un VPC: disponibile nella maggior parte delle località regionali in cui è disponibile Cloud KMS. Cloud EKM su un VPC non è disponibile in località multiregionali.

Alcune località, tra cui global e nam-eur-asia1, non sono disponibili per Cloud EKM. Per scoprire quali località supportano Cloud EKM, consulta la sezione Località di Cloud KMS.

Utilizzo multiregionale

Quando utilizzi una chiave gestita esternamente con una regione multipla, i metadati della chiave sono disponibili in più data center all'interno della regione multipla. Questi metadati includono le informazioni necessarie per comunicare con il partner esterno per la gestione delle chiavi. Se la tua applicazione esegue il failover da un data center a un altro all'interno della multiregione, il nuovo data center avvia le richieste di chiavi. Il nuovo data center potrebbe avere caratteristiche di rete diverse rispetto al precedente, tra cui la distanza dal partner esterno di gestione delle chiavi e la probabilità di timeout. Ti consigliamo di utilizzare una regione multipla con Cloud EKM solo se il gestore di chiavi esterno scelto fornisce una bassa latenza a tutte le aree della regione multipla.

EKM gestito dal partner

EKM gestito dal partner ti consente di utilizzare Cloud EKM tramite un partner sovrano attendibile che gestisce il tuo sistema EKM. Con EKM gestito dal partner, il partner crea e gestisce le chiavi che utilizzi in Cloud EKM. Il partner garantisce che la tua EKM sia conforme ai requisiti di sovranità.

Quando esegui l'onboarding con il tuo partner sovrano, quest'ultimo esegue il provisioning delle risorse in Google Cloud e nel tuo EKM. Queste risorse includono un progetto Cloud KMS per gestire le chiavi Cloud EKM e una connessione EKM configurata per la gestione delle chiavi EKM da Cloud KMS. Il partner crea risorse nelle posizioni Google Cloud in base ai requisiti di residenza dei dati.

Ogni chiave Cloud EKM include metadati Cloud KMS, che consentono a Cloud EKM di inviare richieste al tuo EKM per eseguire operazioni di crittografia utilizzando il materiale della chiave esterna che non esce mai dal tuo EKM. Le chiavi Cloud EKM simmetriche includono anche il materiale delle chiavi interno di Cloud KMS che non esce mai da Google Cloud. Per saperne di più sui lati interno ed esterno delle chiavi Cloud EKM, consulta Come funziona Cloud EKM in questa pagina.

Per saperne di più su EKM gestito dal partner, consulta Configura Cloud KMS gestito dal partner.

Monitorare l'utilizzo di Cloud EKM

Puoi utilizzare Cloud Monitoring per monitorare la connessione EKM. Le seguenti metriche possono aiutarti a comprendere l'utilizzo di EKM:

cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count

Per saperne di più su queste metriche, consulta Metriche cloudkms. Puoi creare una dashboard per monitorare queste metriche. Per scoprire come configurare una dashboard per monitorare la connessione EKM, consulta Monitorare l'utilizzo di EKM.

Richiedere assistenza

Se riscontri un problema con Cloud EKM, contatta l'assistenza.

Passaggi successivi

Inizia a utilizzare l'API.
Configura Cloud EKM su internet.
Crea una connessione EKM per utilizzare EKM tramite VPC.
Leggi il riferimento dell'API Cloud KMS.
Scopri di più su Logging in Cloud KMS. La registrazione si basa sulle operazioni e si applica alle chiavi con livelli di protezione HSM e software.
Consulta Architetture di riferimento per il deployment affidabile dei servizi Cloud EKM per consigli sulla configurazione di un deployment del servizio External Key Manager (EKM) integrato con Cloud EKM.