Questa pagina fornisce una panoramica di Cloud External Key Manager (Cloud EKM).
Terminologia
External Key Manager (EKM)
Il gestore delle chiavi utilizzato al di fuori di Google Cloud per gestire le chiavi.
Cloud External Key Manager (Cloud EKM)
Un servizio Google Cloud per l'utilizzo delle chiavi esterne gestite in un EKM supportato.
Cloud EKM tramite internet
Una versione di Cloud EKM in cui Google Cloud comunica con il tuo gestore delle chiavi esterno tramite internet.
Cloud EKM tramite un VPC
Una versione di Cloud EKM in cui Google Cloud comunica con il tuo gestore delle chiavi esterno tramite un Virtual Private Cloud (VPC). Per maggiori informazioni, consulta la panoramica della rete VPC.
Gestione delle chiavi EKM da Cloud KMS
Quando utilizzi Cloud EKM tramite un VPC con un partner di gestione delle chiavi esterne che supporta il piano di controllo Cloud EKM, puoi utilizzare la modalità di gestione EKM di Cloud KMS per semplificare la procedura di gestione delle chiavi esterne nel tuo partner di gestione delle chiavi esterne e in Cloud EKM. Per ulteriori informazioni, consulta Chiavi esterne coordinate e Gestione delle chiavi EKM da Cloud KMS in questa pagina.
Crypto Space
Un contenitore per le tue risorse all'interno del tuo partner esterno per la gestione delle chiavi. Il tuo crypto space è identificato da un percorso univoco. Il formato del percorso crypto space varia in base al partner di gestione delle chiavi esterne, ad esempio
v0/cryptospaces/YOUR_UNIQUE_PATH
.EKM gestito dal partner
Un accordo in cui il tuo EKM viene gestito per tuo conto da un partner affidabile. Per ulteriori informazioni, consulta EKM gestito dal partner in questa pagina.
Key Access Justifications
Quando utilizzi Cloud EKM con Key Access Justifications, ogni richiesta al tuo partner di gestione delle chiavi esterne include un campo che identifica il motivo della richiesta. Puoi configurare il tuo partner esterno per la gestione delle chiavi in modo che autorizzi o neghi le richieste in base al codice fornito da Key Access Justifications. Per ulteriori informazioni su Key Access Justifications, consulta la panoramica delle giustificazioni per l'accesso alle chiavi.
Panoramica
Con Cloud EKM puoi utilizzare le chiavi da te gestite in un partner di gestione delle chiavi esterne supportato per proteggere i dati in Google Cloud. Puoi proteggere i dati at-rest nei servizi di integrazione CMEK supportati o chiamando direttamente l'API Cloud Key Management Service.
Cloud EKM offre diversi vantaggi:
Origine delle chiavi: sei tu a controllare la posizione e la distribuzione delle chiavi gestite esternamente. Le chiavi gestite esternamente non vengono mai memorizzate nella cache o archiviate in Google Cloud. Cloud EKM, invece, comunica direttamente con il partner esterno per la gestione delle chiavi per ogni richiesta.
Controllo dell'accesso:gestisci l'accesso alle chiavi gestite esternamente nel tuo gestore chiavi esterno. Non puoi utilizzare una chiave gestita esternamente in Google Cloud senza prima concedere al progetto Google Cloud accesso alla chiave nel gestore di chiavi esterno. Puoi revocare questo accesso in qualsiasi momento.
Gestione delle chiavi centralizzata:puoi gestire le chiavi e i criteri di accesso da un'unica interfaccia utente, indipendentemente dal fatto che i dati protetti si trovino nel cloud o in locale.
In tutti i casi, la chiave si trova nel sistema esterno e non viene mai inviata a Google.
Puoi comunicare con il tuo gestore delle chiavi esterno tramite internet o tramite un Virtual Private Cloud (VPC).
Come funziona Cloud EKM
Le versioni delle chiavi Cloud EKM sono costituite dai seguenti componenti:
- Materiale della chiave esterno: il materiale della chiave esterno di una chiave Cloud EKM è il materiale crittografico creato e archiviato nel tuo EKM. Questo materiale non esce dal tuo EKM e non viene mai condiviso con Google.
- Riferimento chiave: ogni versione della chiave Cloud EKM contiene un URI chiave o un percorso della chiave. Si tratta di un identificatore univoco per il materiale della chiave esterno utilizzato da Cloud EKM quando richiede operazioni crittografiche utilizzando la chiave.
- Materiale della chiave interno: quando viene creata una chiave EKM cloud simmetrica, Cloud KMS crea materiale della chiave aggiuntivo in Cloud KMS, che non esce mai da Cloud KMS. Questo materiale della chiave viene utilizzato come un ulteriore livello di crittografia durante la comunicazione con l'EKM. Questo materiale chiave interno non si applica alle chiavi di firma asimmetrica.
Per utilizzare le chiavi Cloud EKM, Cloud EKM invia richieste di operazioni di crittografia al tuo EKM. Ad esempio, per criptare i dati con una chiave di crittografia simmetrica, Cloud EKM li cripta innanzitutto utilizzando il materiale della chiave interno. I dati criptati sono inclusi in una richiesta all'EKM. L'EKM inserisce i dati criptati in un altro livello di crittografia utilizzando il materiale della chiave esterno e restituisce la crittografia risultante. I dati criptati con una chiave Cloud EKM non possono essere decriptati senza il materiale della chiave interna ed esterna.
Se la tua organizzazione ha attivato Key Access Justifications, il partner di gestione delle chiavi esterno registra la giustificazione dell'accesso fornita e completa la richiesta solo per i codici motivo giustificazione consentiti dal criterio Key Access Justifications sul partner di gestione delle chiavi esterno.
La creazione e la gestione delle chiavi EKM di Cloud richiedono modifiche corrispondenti sia in Cloud KMS sia nell'EKM. Queste modifiche corrispondenti vengono gestite diversamente per le chiavi esterne gestite manualmente e per le chiavi esterne coordinate. Tutte le chiavi esterne a cui si accede tramite internet sono gestite manualmente. Le chiavi esterne accedute tramite una rete VPC possono essere gestite o coordinate manualmente, a seconda della modalità di gestione dell'EKM della connessione EKM tramite VPC. La modalità di gestione EKM Manuale viene utilizzata per le chiavi gestite manualmente. La modalità di gestione EKM di Cloud KMS viene utilizzata per le chiavi esterne coordinate. Per ulteriori informazioni sulle modalità di gestione delle chiavi EKM, consulta Chiavi esterne gestite manualmente e Chiavi esterne coordinate in questa pagina.
Il seguente diagramma mostra come Cloud KMS si inserisce nel modello di gestione delle chiavi. Questo diagramma utilizza Compute Engine e BigQuery come due esempi. Puoi anche consultare l'elenco completo dei servizi che supportano le chiavi Cloud EKM.
Puoi scoprire le considerazioni e le limitazioni relative all'utilizzo di Cloud EKM.
Chiavi esterne gestite manualmente
Questa sezione fornisce una panoramica generale del funzionamento di Cloud EKM con una chiave esterna gestita manualmente.
- Creazione o utilizzo di una chiave esistente in un sistema di gestione delle chiavi esterne di un partner supportato. Questa chiave ha un URI o un percorso della chiave univoco.
- Concedi al tuo progetto Google Cloud l'accesso per utilizzare la chiave nel sistema del partner di gestione delle chiavi esterne.
- Nel tuo progetto Google Cloud, crea una versione della chiave Cloud EKM utilizzando l'URI o il percorso della chiave per la chiave gestita esternamente.
- Le operazioni di manutenzione come rotazione della chiave devono essere gestite manualmente tra il tuo EKM e Cloud EKM. Ad esempio, le operazioni di rotazione o di eliminazione delle versioni della chiave devono essere completate sia direttamente nell'EKM sia in Cloud KMS.
In Google Cloud, la chiave viene visualizzata insieme alle altre chiavi Cloud KMS e Cloud HSM, con il livello di protezione EXTERNAL
o EXTERNAL_VPC
. La chiave Cloud EKM e la chiave del partner di gestione delle chiavi esterne agiscono insieme per proteggere i tuoi dati. Il materiale delle chiavi esterno non viene mai esposto a Google.
Chiavi esterne coordinate
Questa sezione fornisce una panoramica del funzionamento di Cloud EKM con una chiave esterna coordinata.
Configuri una connessione EKM tramite VPC impostando la modalità di gestione EKM su Cloud KMS. Durante la configurazione, devi autorizzare l'EKM ad accedere alla tua rete VPC e autorizzare il tuo account di servizio del progetto Google Cloud ad accedere al tuo spazio crypto nell'EKM. La connessione EKM utilizza il nome host dell'EKM e un percorso dello spazio di crittografia che identifica le risorse all'interno dell'EKM.
Crea una chiave esterna in Cloud KMS. Quando crei una chiave Cloud EKM utilizzando un EKM tramite una connessione VPC con la modalità di gestione EKM Cloud KMS abilitata, vengono eseguiti automaticamente i seguenti passaggi:
- Cloud EKM invia una richiesta di creazione di chiavi al tuo EKM.
- L'EKM crea il materiale della chiave richiesto. Questo materiale delle chiavi esterno rimane nell'EKM e non viene mai inviato a Google.
- Il tuo EKM restituisce un percorso della chiave a Cloud EKM.
- Cloud EKM crea la versione della chiave Cloud EKM utilizzando il percorso della chiave fornito dall'EKM.
Le operazioni di manutenzione sulle chiavi esterne coordinate possono essere avviate da Cloud KMS. Ad esempio, le chiavi esterne coordinate utilizzate per la crittografia simmetrica possono essere ruotate automaticamente in base a una pianificazione impostata. La creazione di nuove versioni delle chiavi è coordinata nel tuo EKM da Cloud EKM. Puoi anche attivare la creazione o l'eliminazione di versioni delle chiavi nell'EKM da Cloud KMS utilizzando la console Google Cloud, gcloud CLI, l'API Cloud KMS o le librerie client Cloud KMS.
In Google Cloud, la chiave viene visualizzata insieme alle altre chiavi Cloud KMS e Cloud HSM, con il livello di protezione EXTERNAL_VPC
. La chiave Cloud EKM e la chiave del partner di gestione delle chiavi esterne lavorano insieme per proteggere i tuoi dati. Il materiale delle chiavi esterno non viene mai esposto a Google.
Gestione delle chiavi EKM da Cloud KMS
Le chiavi esterne coordinate sono rese possibili dalle connessioni EKM tramite VPC che utilizzano la gestione delle chiavi EKM da Cloud KMS. Se il tuo EKM supporta il piano di controllo Cloud EKM, puoi attivare la gestione delle chiavi EKM da Cloud KMS per le tue connessioni EKM tramite VPC per creare chiavi esterne coordinate. Se la gestione delle chiavi EKM di Cloud KMS è attivata, Cloud EKM può richiedere le seguenti modifiche nel tuo EKM:
Crea una chiave: quando crei una chiave con gestione esterna in Cloud KMS utilizzando un EKM compatibile tramite una connessione VPC, Cloud EKM invia la richiesta di creazione della chiave al tuo EKM. Se l'operazione va a buon fine, l'EKM crea la nuova chiave e il relativo materiale e restituisce il percorso della chiave da utilizzare per accedere alla chiave da Cloud EKM.
Ruota una chiave: quando ruoti una chiave gestita esternamente in Cloud KMS utilizzando un EKM compatibile tramite una connessione VPC, Cloud EKM invia la richiesta di rotazione al tuo EKM. In caso di esito positivo, il gestore di chiavi esterno crea nuovo materiale della chiave e restituisce il percorso della chiave da utilizzare per accedere alla nuova versione della chiave.
Elimina una chiave: quando elimini una versione della chiave per una chiave gestita esternamente in Cloud KMS utilizzando un EKM compatibile tramite una connessione VPC, Cloud KMS pianifica l'eliminazione della versione della chiave in Cloud KMS. Se la versione della chiave non viene ripristinata prima del termine del periodo pianificato per l'eliminazione, Cloud EKM distrugge la propria parte del materiale crittografico della chiave e invia una richiesta di eliminazione al tuo EKM.
I dati criptati con questa versione della chiave non possono essere decriptati dopo l'eliminazione della versione della chiave in Cloud KMS, anche se la chiave EKM non l'ha ancora eliminata. Puoi vedere se l'EKM ha distrutto correttamente la versione della chiave visualizzando i dettagli della chiave in Cloud KMS.
Quando le chiavi nel tuo EKM vengono gestite da Cloud KMS, il materiale delle chiavi rimane nel tuo EKM. Google non può inviare richieste di gestione delle chiavi al tuo EKM senza autorizzazione esplicita. Google non può modificare le autorizzazioni o i criteri di giustificazione dell'accesso alle chiavi nel sistema del partner di gestione delle chiavi esterno. Se revochi le autorizzazioni di Google nel tuo EKM, le operazioni di gestione delle chiavi tentate in Cloud KMS non riescono.
Compatibilità
Gestori delle chiavi supportati
Puoi archiviare le chiavi esterne nei seguenti sistemi partner di gestione delle chiavi esterne:
Servizi che supportano CMEK con Cloud EKM
I seguenti servizi supportano l'integrazione con Cloud KMS per le chiavi esterne (Cloud EKM):
- Agent Assist
- AlloyDB per PostgreSQL
- Hub API Apigee
- Artifact Registry
- Backup per GKE
- BigQuery
- Bigtable
- Cloud Composer
- Cloud Data Fusion
- API Cloud Healthcare
- Cloud Logging: Dati nel Log Router e Dati nello spazio di archiviazione di Logging
- Cloud Run
- Funzioni Cloud Run
- Cloud SQL
- Cloud Storage
- Cloud Tasks
- Cloud Workstations
- Compute Engine: Dischi permanenti , Snapshot , e Immagini personalizzate , e Immagini macchina
- Conversational Insights
- Database Migration Service: Migrazioni MySQL: dati scritti nei database , Migrazioni PostgreSQL: dati scritti nei database , Migrazioni da PostgreSQL ad AlloyDB: dati scritti nei database , e Dati a riposo da Oracle a PostgreSQL
- Dataflow
- Dataform
- Dataproc: Dati dei cluster Dataproc sui dischi VM e Dati di Dataproc Serverless sui dischi VM
- Dataproc Metastore
- Dialogflow CX
- Document AI
- Eventarc Standard
- Filestore
- Firestore
- Google Cloud Managed Service per Apache Kafka
- Google Distributed Cloud
- Google Kubernetes Engine: Dati sui dischi VM e Secret a livello di applicazione
- Looker (Google Cloud core)
- Memorystore for Redis
- Migrate to Virtual Machines: Dati di cui è stata eseguita la migrazione da origini VM VMware, AWS e Azure e Dati di cui è stata eseguita la migrazione da origini di immagini macchina e disco
- Pub/Sub
- Secret Manager
- Secure Source Manager
- Spanner
- Speaker ID (GA con limitazioni)
- Speech-to-Text
- Vertex AI
- Istanze Vertex AI Workbench
- Workflows
Considerazioni
Quando utilizzi una chiave Cloud EKM, Google non ha alcun controllo sulla disponibilità della chiave gestita esternamente nel sistema del partner di gestione delle chiavi esterne. Se perdi le chiavi gestite al di fuori di Google Cloud, Google non potrà recuperare i tuoi dati.
Consulta le linee guida relative a regioni e partner per la gestione delle chiavi esterne quando scegli le posizioni per le chiavi Cloud EKM.
Esamina l'accordo sul livello del servizio (SLA) di Cloud EKM.
La comunicazione con un servizio esterno tramite internet può comportare problemi di affidabilità, disponibilità e latenza. Per le applicazioni con una bassa tolleranza per questi tipi di rischi, valuta la possibilità di utilizzare Cloud HSM o Cloud KMS per memorizzare il materiale delle chiavi.
Se una chiave esterna non è disponibile, Cloud KMS restituisce un errore
FAILED_PRECONDITION
e fornisce i dettagli nell'elementoPreconditionFailure
dettagli errore.Abilita la registrazione degli audit dei dati per mantenere un record di tutti gli errori relativi all'EKM Cloud. I messaggi di errore contengono informazioni dettagliate per aiutarti a individuare l'origine dell'errore. Un esempio di errore comune si verifica quando un partner di gestione delle chiavi esterno non risponde a una richiesta entro un periodo di tempo ragionevole.
Devi avere un contratto di assistenza con il partner esterno per la gestione delle chiavi. L'assistenza Google Cloud può aiutarti solo per i problemi relativi ai servizi Google Cloud e non può fornire assistenza diretta per i problemi relativi ai sistemi esterni. A volte, per risolvere i problemi di interoperabilità, devi collaborare con l'assistenza di entrambe le parti.
Cloud EKM può essere utilizzato con Bare Metal Rack HSM per creare una soluzione HSM monoutente integrata con Cloud KMS. Per saperne di più, scegli un partner Cloud EKM che supporti gli HSM con singolo tenant e consulta i requisiti per gli HSM Bare Metal Rack.
Attiva la registrazione degli audit nel tuo gestore chiavi esterno per acquisire l'accesso e l'utilizzo delle chiavi EKM.
Limitazioni
- La rotazione automatica non è supportata.
- Quando crei una chiave EKM di Cloud utilizzando l'API o Google Cloud CLI, non deve avere una versione iniziale della chiave. Questo non si applica alle chiavi Cloud EKM create utilizzando la console Google Cloud.
- Le operazioni di Cloud EKM sono soggette a quote specifiche oltre alle quote per le operazioni di Cloud KMS.
Chiavi di crittografia simmetrica
- Le chiavi di crittografia simmetrica sono supportate solo per quanto segue:
- Chiavi di crittografia gestite dal cliente (CMEK) nei servizi di integrazione supportati.
- Crittografia e decrittografia simmetrica utilizzando direttamente Cloud KMS.
- I dati criptati da Cloud EKM utilizzando una chiave gestita esternamente non possono essere decriptati senza utilizzare Cloud EKM.
Chiavi di firma asimmetriche
- Le chiavi di firma asimmetriche sono limitate a un sottoinsieme di algoritmi Cloud KMS.
- Le chiavi di firma asimmetrica sono supportate solo per i seguenti casi d'uso:
- Una volta impostato un algoritmo di firma asimmetrica su una chiave Cloud EKM, non può essere modificato.
- La firma deve essere eseguita nel campo
data
.
Gestori delle chiavi e regioni esterni
Cloud EKM deve essere in grado di raggiungere rapidamente le tue chiavi per evitare un errore. Quando crei una chiave Cloud EKM, scegli una località Google Cloud geograficamente vicina alla località della chiave del partner di gestione delle chiavi esterne. Consulta la documentazione del tuo partner esterno per la gestione delle chiavi per determinare le località supportate.
- Cloud EKM via internet: disponibile nella maggior parte delle località Google Cloud in cui è disponibile Cloud KMS, incluse località regionali e multiregionali.
- Cloud EKM tramite una VPC: disponibile nella maggior parte delle località regionali in cui è disponibile Cloud KMS. Cloud EKM tramite una VPC non è disponibile in località con più regioni.
Alcune località, tra cui global
e nam-eur-asia1
, non sono disponibili per Cloud EKM. Per scoprire quali località supportano Cloud EKM, consulta
Località di Cloud KMS.
Utilizzo in più regioni
Quando utilizzi una chiave gestita esternamente con una protezione a più regioni, i metadati della chiave sono disponibili in più data center all'interno della protezione a più regioni. Questi metadati includeranno le informazioni necessarie per comunicare con il partner esterno per la gestione delle chiavi. Se il failover dell'applicazione da un data center all'altro all'interno della regione multipla avviene, il nuovo data center avvia le richieste di chiavi. Il nuovo data center potrebbe avere caratteristiche di rete diverse rispetto al data center precedente, inclusa la distanza dal partner di gestione delle chiavi esterno e la probabilità di timeout. Ti consigliamo di utilizzare una configurazione multi-regione con Cloud EKM solo se il gestore delle chiavi esterno scelto offre una latenza ridotta a tutte le aree della regione.
EKM gestita dal partner
L'EKM gestita dal partner ti consente di utilizzare Cloud EKM tramite un partner sovrano di fiducia che gestisce il tuo sistema EKM per tuo conto. Con EKM gestito dal partner, il tuo partner crea e gestisce le chiavi che utilizzi in Cloud EKM. Il partner garantisce che la tua EKM sia conforme ai requisiti di sovranità.
Quando esegui l'onboarding con il tuo partner sovrano, il partner esegue il provisioning delle risorse in Google Cloud e nella tua EKM. Queste risorse includono un progetto Cloud KMS per gestire le chiavi Cloud EKM e una connessione EKM tramite VPC configurata per la gestione delle chiavi EKM da Cloud KMS. Il partner crea risorse nelle località di Google Cloud in base ai tuoi requisiti di residenza dei dati.
Ogni chiave Cloud EKM include i metadati di Cloud KMS, che consentono a Cloud EKM di inviare richieste al tuo EKM per eseguire operazioni di crittografia utilizzando il materiale delle chiavi esterne che non esce mai dal tuo EKM. Le chiavi EKM cloud simmetriche includono anche il materiale delle chiavi interno di Cloud KMS che non esce mai da Google Cloud. Per saperne di più sui lati interno ed esterno delle chiavi Cloud EKM, consulta Come funziona Cloud EKM in questa pagina.
Per ulteriori informazioni sulle chiavi EKM gestite dal partner, consulta Configura Cloud KMS gestito dal partner.
Monitorare l'utilizzo di Cloud EKM
Puoi utilizzare Cloud Monitoring per monitorare la connessione EKM. Le seguenti metriche possono aiutarti a comprendere l'utilizzo di EKM:
cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count
Per ulteriori informazioni su queste metriche, consulta Metriche cloudkms. Puoi creare una dashboard per monitorare queste metriche. Per scoprire come configurare una dashboard per monitorare la connessione EKM, consulta Monitorare l'utilizzo di EKM.
Richiedere assistenza
Se riscontri un problema con Cloud EKM, contatta l'assistenza.
Passaggi successivi
Crea una connessione EKM per utilizzare EKM tramite VPC.
Inizia a utilizzare l'API.
Scopri di più su Logging in Cloud KMS. Il logging si basa sulle operazioni e si applica alle chiavi con livelli di protezione sia hardware sia software.
Consulta le Architetture di riferimento per il deployment affidabile dei servizi Cloud EKM per consigli sulla configurazione del deployment di un servizio External Key Manager (EKM) integrato con Cloud EKM.