Esta página foi traduzida pela API Cloud Translation.

Cloud External Key Manager

Nesta página, você encontra uma visão geral do Cloud External Key Manager (Cloud EKM).

Terminologia

Gerenciador de chaves externas (EKM)

O gerenciador de chaves usado fora do Google Cloud para gerenciar suas chaves.
Gerenciador de chaves externas do Cloud (Cloud EKM)

Um Google Cloud serviço para usar chaves externas gerenciadas em um EKM compatível.
Cloud EKM pela Internet

Uma versão do Cloud EKM em que o Google Cloud se comunica com seu gerenciador de chaves externo pela Internet.
Cloud EKM por uma VPC

Uma versão do Cloud EKM em que Google Cloud se comunica com seu gerenciador de chaves externo por uma nuvem privada virtual (VPC). Para mais informações, consulte Visão geral da rede VPC.
Gerenciamento de chaves do EKM no Cloud KMS

Ao usar o Cloud EKM em uma VPC com um parceiro de gerenciamento de chaves externas que oferece suporte ao plano de controle do Cloud EKM, é possível usar o modo de gerenciamento do EKM do Cloud KMS para simplificar o processo de manutenção de chaves externas no parceiro e no Cloud EKM. Para mais informações, consulte Chaves externas coordenadas e Gerenciamento de chaves do EKM no Cloud KMS nesta página.
Crypto Space

Um contêiner para seus recursos no parceiro de gerenciamento de chaves externas. Seu crypto space é identificado por um caminho exclusivo. O formato do caminho do espaço criptográfico varia de acordo com o parceiro externo de gerenciamento de chaves. Por exemplo, v0/cryptospaces/YOUR_UNIQUE_PATH.
EKM gerenciado pelo parceiro

Um acordo em que seu EKM é gerenciado por um parceiro de confiança. Para mais informações, consulte EKM gerenciado por parceiros nesta página.
Justificativas de acesso às chaves

Quando você usa o Cloud EKM com as Justificativas de acesso às chaves, cada solicitação ao parceiro de gerenciamento de chaves externas inclui um campo que identifica o motivo de cada solicitação. É possível configurar o parceiro de gerenciamento de chaves externas para permitir ou negar solicitações com base no código das justificativas de acesso às chaves fornecido. Para mais informações sobre as justificativas de acesso às chaves, consulte Visão geral das justificativas de acesso às chaves.

Visão geral

Com o Cloud EKM, você usa chaves gerenciadas em um parceiro externo de gerenciamento de chaves com suporte para proteger os dados em Google Cloud. É possível proteger os dados em repouso em serviços com suporte de integração de CMEKs ou chamando a API Cloud Key Management Service diretamente.

O Cloud EKM oferece vários benefícios:

Proveniência da chave:você controla a localização e a distribuição das suas chaves gerenciadas externamente. As chaves gerenciadas externamente nunca são armazenadas em cache ou da maneira convencional no Google Cloud. Em vez disso, o Cloud EKM se comunica diretamente com o parceiro de gerenciamento de chaves externas para cada solicitação.
Controle de acesso:você gerencia o acesso às chaves gerenciadas externamente no gerenciador de chaves externo. Não é possível usar uma chave gerenciada externamente em Google Cloud sem primeiro conceder ao projeto Google Cloud acesso à chave no gerenciador de chaves externo. Você pode revogar esse acesso a qualquer momento.
Gerenciamento centralizado de chaves:você pode gerenciar suas chaves e políticas de acesso em uma única interface do usuário, independentemente de os dados protegidos residirem na nuvem ou nas suas instalações.

Em todos os casos, a chave reside no sistema externo e nunca é enviada ao Google.

É possível se comunicar com o gerenciador de chaves externo pela Internet ou por uma nuvem privada virtual (VPC).

Como o Cloud EKM funciona

As versões de chave do Cloud EKM consistem nestas partes:

Material de chave externa: o material de chave externa de uma chave do Cloud EKM é um material criptográfico criado e armazenado no seu EKM. Esse material não sai do seu EKM e nunca é compartilhado com o Google.
Referência de chave: cada versão de chave do Cloud EKM contém um URI ou um caminho de chave. É um identificador exclusivo do material de chave externa que o Cloud EKM usa ao solicitar operações criptográficas com a chave.
Material de chave interna: quando uma chave simétrica do Cloud EKM é criada, o Cloud KMS cria outro material de chave no Cloud KMS, que nunca sai dele. Esse material de chave é usado como uma camada extra de criptografia ao se comunicar com seu EKM. Esse material de chave interna não se aplica a chaves de assinatura assimétricas.

Para usar as chaves do Cloud EKM, o serviço envia solicitações de operações criptográficas ao seu EKM. Por exemplo, para criptografar dados com uma chave de criptografia simétrica, o Cloud EKM primeiro criptografa os dados usando o material de chave interna. Os dados criptografados são incluídos em uma solicitação para o EKM. O EKM une os dados criptografados em outra camada de criptografia usando o material de chave externa e retorna o texto cifrado resultante. Os dados criptografados com uma chave do Cloud EKM não podem ser descriptografados sem o material da chave externa e o material da chave interna.

Se a sua organização tiver ativado as Justificativas de acesso às chaves, o parceiro externo de gerenciamento de chaves vai registrar a justificativa de acesso fornecida e concluir a solicitação apenas para códigos de motivo de justificativa permitidos pela política das Justificativas de acesso às chaves no parceiro externo de gerenciamento de chaves.

A criação e o gerenciamento de chaves do Cloud EKM exigem mudanças correspondentes no Cloud KMS e no EKM. Essas mudanças correspondentes são processadas de maneira diferente para chaves externas gerenciadas manualmente e para chaves externas coordenadas. Todas as chaves externas acessadas pela Internet são gerenciadas manualmente. As chaves externas acessadas por uma rede VPC podem ser gerenciadas ou coordenadas manualmente, dependendo do modo de gerenciamento da conexão EKM. O modo de gerenciamento EKM Manual é usado para chaves gerenciadas manualmente. O modo de gerenciamento do EKM do Cloud KMS é usado para chaves externas coordenadas. Para mais informações sobre os modos de gerenciamento do EKM, consulte Chaves externas gerenciadas manualmente e Chaves externas coordenadas nesta página.

O diagrama a seguir mostra como o Cloud KMS se encaixa no modelo de gerenciamento de chaves. O diagrama usa o Compute Engine e o BigQuery como exemplos. Confira também a lista completa de serviços com suporte às chaves do Cloud EKM.

Diagrama ilustrando criptografia e descriptografia com o Cloud EKM

Saiba mais sobre as considerações e as restrições ao usar o Cloud EKM.

Chaves externas gerenciadas manualmente

Nesta seção, fornecemos uma visão geral de como o Cloud EKM funciona com uma chave externa gerenciada manualmente.

Crie ou use uma chave em um sistema de parceiro de gerenciamento de chaves externas compatível. Essa chave tem um URI ou caminho exclusivo.
Conceda ao seu projeto Google Cloud acesso para usar a chave no sistema de parceiros de gerenciamento de chaves externas.
No projeto Google Cloud , crie uma versão da chave do Cloud EKM usando o URI ou caminho da chave gerenciada externamente.
As operações de manutenção, como a rotação de chaves, precisam ser gerenciadas manualmente entre o EKM e o Cloud EKM. Por exemplo, as operações de rotação ou destruição de versões de chaves precisam ser concluídas diretamente no EKM e no Cloud KMS.

Em Google Cloud, a chave aparece ao lado das outras chaves do Cloud KMS e do Cloud HSM, com nível de proteção EXTERNAL ou EXTERNAL_VPC. As chaves do Cloud EKM e do parceiro de gerenciamento de chaves externas trabalham juntas para proteger seus dados. O material da chave externa nunca é exposto ao Google.

Chaves externas coordenadas

Nesta seção, fornecemos uma visão geral de como o Cloud EKM funciona com chaves externas coordenadas.

Configure uma conexão do EKM, definindo o modo de gerenciamento do EKM como Cloud KMS. Durante a configuração, você precisa autorizar o EKM a acessar a rede VPC e a conta de serviço do projeto Google Cloud para acessar o espaço criptografado no EKM. Sua conexão EKM usa o nome do host do EKM e um caminho do espaço criptográfico que identifica seus recursos no EKM.
Você cria uma chave externa no Cloud KMS. Quando você cria uma chave do Cloud EKM usando uma conexão EKM por VPC com o modo de gerenciamento do EKM do Cloud KMS ativado, as seguintes etapas são realizadas automaticamente:
1. O Cloud EKM envia uma solicitação de criação de chave ao seu EKM.
2. O EKM cria o material de chave solicitado. Esse material de chave externa permanece no EKM e nunca é enviado ao Google.
3. Seu EKM retorna um caminho de chave para o Cloud EKM.
4. O Cloud EKM cria a versão da chave usando o caminho fornecido pelo EKM.
As operações de manutenção em chaves externas coordenadas podem ser iniciadas no Cloud KMS. Por exemplo, chaves externas coordenadas usadas para criptografia simétrica podem ser alternadas automaticamente em uma programação definida. A criação de novas versões de chave é coordenada no EKM pelo Cloud EKM. Também é possível acionar a criação ou destruição de versões de chaves no EKM pelo Cloud KMS usando o consoleGoogle Cloud , a CLI gcloud, a API do Cloud KMS ou as bibliotecas de cliente do Cloud KMS.

Em Google Cloud, a chave aparece ao lado das outras chaves do Cloud KMS e do Cloud HSM, com nível de proteção EXTERNAL_VPC. As chaves do Cloud EKM e do parceiro de gerenciamento de chaves externas trabalham juntas para proteger seus dados. O material da chave externa nunca é exposto ao Google.

Gerenciamento de chaves do EKM no Cloud KMS

As chaves externas coordenadas são possíveis graças às conexões do EKM que usam o gerenciamento de chaves do EKM no Cloud KMS. Se o EKM for compatível com o plano de controle do Cloud EKM, será possível ativar o gerenciamento de chaves do EKM no Cloud KMS para que as conexões do EKM criem chaves externas coordenadas. Com o gerenciamento de chaves do EKM do Cloud KMS ativado, o Cloud EKM pode solicitar as seguintes mudanças no seu EKM:

Criar uma chave: quando você cria uma chave gerenciada externamente no Cloud KMS usando uma conexão EKM compatível, o Cloud EKM envia sua solicitação de criação de chave ao EKM. Quando bem-sucedido, o EKM cria a nova chave e o material da chave e retorna o caminho da chave para o Cloud EKM usar no acesso.
Fazer a rotação de uma chave: quando você faz a rotação de uma chave gerenciada externamente no Cloud KMS usando uma conexão EKM compatível, o Cloud EKM envia sua solicitação de rotação para o EKM. Se a operação for bem-sucedida, o EKM vai criar um novo material de chave e retornar o caminho da chave para o Cloud EKM usar e acessar a nova versão da chave.
Destruir uma chave: quando você destrói uma versão de chave para uma chave gerenciada externamente no Cloud KMS usando uma conexão EKM compatível, o Cloud KMS programa a versão da chave para destruição no Cloud KMS. Se a versão da chave não for restaurada antes do fim do período programado para destruição, o Cloud EKM vai destruir a parte dele do material criptográfico da chave e enviar uma solicitação de destruição ao seu EKM.

Os dados criptografados com essa versão da chave não poderão ser descriptografados depois que ela for destruída no Cloud KMS, mesmo que o EKM ainda não tenha feito isso. Para verificar se o EKM destruiu a versão da chave, consulte os detalhes dela no Cloud KMS.

Quando as chaves no EKM são gerenciadas pelo Cloud KMS, o material de chave ainda reside no EKM. O Google não pode fazer solicitações de gerenciamento de chaves ao seu EKM sem permissão explícita. O Google não pode mudar permissões ou políticas das Justificativas de acesso às chaves no seu sistema de parceiro de gerenciamento de chaves externas. Se você revogar as permissões do Google no EKM, as operações de gerenciamento de chaves tentadas no Cloud KMS vão falhar.

Compatibilidade

Gerentes de chave compatíveis

É possível armazenar chaves externas nos seguintes sistemas de parceiros de gerenciamento de chaves externas:

Compatível hoje:
- Fortanix
- Futurex
- Thales

Serviços que oferecem suporte a CMEK com o Cloud EKM

Os seguintes serviços são compatíveis com a integração ao Cloud KMS para chaves externas (Cloud EKM):

Agent Assist
AlloyDB para PostgreSQL
Hub de APIs da Apigee
Application Integration
Artifact Registry
Backup para GKE
BigQuery
Bigtable
Cloud Composer
Cloud Data Fusion
API Cloud Healthcare
Cloud Logging: Dados no Log Router e Dados no armazenamento do Logging
Cloud Run
Funções do Cloud Run
Cloud SQL
Cloud Storage
Cloud Tasks
Cloud Workstations
Compute Engine: Discos permanentes, Snapshots, Imagens personalizadas, e Imagens de máquina
Insights de conversação
Database Migration Service: Migrações do MySQL: dados gravados em bancos de dados, Migrações do PostgreSQL: dados gravados em bancos de dados, Migrações do PostgreSQL para o AlloyDB: dados gravados em bancos de dados, Migrações do SQL Server: dados gravados em bancos de dados, e Dados em repouso do Oracle para o PostgreSQL
Dataflow
Dataform
Dataplex Universal Catalog
Dataproc: Dados de clusters do Dataproc em discos de VM e dados do Dataproc sem servidor em discos de VM
Metastore do Dataproc
Dialogflow CX
Document AI
Eventarc Standard
Filestore
Firestore
Google Cloud Managed Service para Apache Kafka
Google Distributed Cloud
Google Kubernetes Engine: dados em discos de VM e secrets da camada de aplicativos
Conectores de integração
Looker (Google Cloud Core)
Memorystore para Redis
Migrate to Virtual Machines: Dados migrados de origens de VM do VMware, da AWS e do Azure e Dados migrados de origens de imagem de disco e máquina
Gerenciador de parâmetros
Pub/Sub
Secret Manager
Secure Source Manager
Spanner
Speaker ID (GA restrita)
Speech-to-Text
Vertex AI
Instâncias do Vertex AI Workbench
Workflows

Considerações

Quando você usa uma chave do Cloud EKM, o Google não tem controle sobre a disponibilidade da sua chave gerenciada externamente no sistema de parceiros de gerenciamento de chaves externas. Se você perder chaves gerenciadas fora do Google Cloud, o Google não poderá recuperar seus dados.
Consulte as diretrizes sobre regiões e parceiros de gerenciamento de chaves externas ao escolher os locais das chaves do Cloud EKM.
Consulte o Contrato de nível de serviço (SLA) do Cloud EKM.
A comunicação com um serviço externo pela Internet pode levar a problemas de confiabilidade, disponibilidade e latência. Para aplicativos com baixa tolerância a esses tipos de risco, considere usar o Cloud HSM ou o Cloud KMS para armazenar seu material de chave.
- Se uma chave externa não estiver disponível, o Cloud KMS retornará um erro FAILED_PRECONDITION e fornecerá detalhes no detalhe do erro PreconditionFailure.
  
  Ative a geração de registros de auditoria de dados para manter um registro de todos os erros relacionados ao Cloud EKM. As mensagens de erro contêm informações detalhadas para ajudar a identificar a origem do erro. Um exemplo de erro comum é quando um parceiro de gerenciamento de chaves externas não responde a uma solicitação dentro de um prazo razoável.
- Você precisa de um contrato de suporte com o parceiro externo de gerenciamento de chaves. O suporte doGoogle Cloud só pode ajudar com problemas nos serviços do Google Cloud e não pode ajudar diretamente com problemas em sistemas externos. Às vezes, é necessário trabalhar com o suporte em ambos os lados para solucionar problemas de interoperabilidade.
O Cloud EKM pode ser usado com o HSM de rack Bare Metal para criar uma solução de HSM de locatário único integrada ao Cloud KMS. Para saber mais, escolha um parceiro do Cloud EKM que ofereça suporte a HSMs de locatário único e consulte os requisitos para HSMs de rack bare metal.
Ative o registro de auditoria no gerenciador de chaves externas para capturar o acesso e o uso das chaves do EKM.

Atenção: quando você usa chaves do Cloud EKM, há o risco de que a chave fique indisponível. Dependendo dos serviços que você está usando, isso pode causar erros fatais ou dados inacessíveis. Por exemplo, se você usar uma chave CMEK externa para criptografar segredos da camada de aplicativo do Google Kubernetes Engine, seus nós poderão ficar indisponíveis se não puderem descriptografar os segredos. A incapacidade de acessar a chave externa também pode causar perda permanente de dados. Por exemplo, se a chave CMEK usada para criptografar um banco de dados do Spanner permanecer indisponível por mais de 30 dias consecutivos, o Spanner vai excluir automaticamente o banco de dados. Quando a versão atual da chave não está disponível, não é possível recuperar os dados alternando para uma nova versão. Para melhor disponibilidade, considere usar chaves do Cloud EKM em vez de VPC ou Cloud HSM.

Restrições

Quando você cria uma chave do Cloud EKM usando a API ou a Google Cloud CLI, ela não pode ter uma versão de chave inicial. Isso não se aplica às chaves do Cloud EKM criadas usando oGoogle Cloud console.
A rotação automática não é compatível com chaves externas gerenciadas manualmente.
As operações do Cloud EKM estão sujeitas a cotas específicas, além das cotas nas operações do Cloud KMS.

Chaves de criptografia simétricas

As chaves de criptografia simétricas são compatíveis apenas com o seguinte:
- Chaves de criptografia gerenciadas pelo cliente (CMEKs) em serviços de integração compatíveis.
- Criptografia e descriptografia simétricas usando o Cloud KMS diretamente.
Os dados criptografados pelo Cloud EKM usando uma chave gerenciada externamente não podem ser descriptografados sem usar o Cloud EKM.

Chaves de assinatura assimétricas

As chaves de assinatura assimétricas são limitadas a um subconjunto de algoritmos do Cloud KMS.
As chaves de assinatura assimétricas só são compatíveis com os seguintes casos de uso:
- Assinatura assimétrica usando o Cloud KMS diretamente.
- Chave de assinatura personalizada com Aprovação de acesso.
Depois que um algoritmo de assinatura assimétrica é definido em uma chave do Cloud EKM, ele não pode ser modificado.
A assinatura precisa ser feita no campo data.

Principais gerentes e regiões externas

O Cloud EKM precisa ser capaz de acessar suas chaves rapidamente para evitar um erro. Ao criar uma chave do Cloud EKM, escolha um localGoogle Cloud que esteja geograficamente perto do local da chave do parceiro de gerenciamento de chaves externas. Consulte a documentação do seu parceiro de gerenciamento de chaves externas para determinar os locais compatíveis.

Cloud EKM pela Internet: disponível na maioria dos locais Google Cloud em que o Cloud KMS está disponível, incluindo locais regionais e multirregionais.
Cloud EKM em uma VPC: disponível na maioria dos locais regionais em que o Cloud KMS está disponível. O Cloud EKM em uma VPC não está disponível em locais multirregionais.

Alguns locais, incluindo global e nam-eur-asia1, não estão disponíveis para o Cloud EKM. Para saber quais locais oferecem suporte ao Cloud EKM, consulte Locais do Cloud KMS.

Uso multirregional

Quando você usa uma chave gerenciada externamente com uma multirregião, os metadados da chave estão disponíveis em vários data centers dentro da multirregião. Esses metadados incluem as informações necessárias para se comunicar com o parceiro de gerenciamento de chaves externas. Se o aplicativo fizer o failover de um data center para outro na multirregião, o novo data center iniciará solicitações de chave. O novo data center pode ter características de rede diferentes do anterior, incluindo a distância do parceiro de gerenciamento de chaves externas e a probabilidade de tempos limite. Recomendamos usar uma multirregião com o Cloud EKM somente se o gerenciador de chaves externo escolhido fornecer baixa latência para todas as áreas dessa multirregião.

EKM gerenciado pelo parceiro

Com o EKM gerenciado por parceiros, você usa o Cloud EKM por um parceiro soberano confiável que gerencia seu sistema de EKM. Com o EKM gerenciado pelo parceiro, ele cria e gerencia as chaves que você usa no Cloud EKM. O parceiro garante que seu EKM esteja em conformidade com os requisitos de soberania.

Quando você faz a integração com seu parceiro soberano, ele provisiona recursos no Google Cloud e no EKM. Esses recursos incluem um projeto do Cloud KMS para gerenciar as chaves do Cloud EKM e uma conexão do EKM configurada para o gerenciamento de chaves do EKM no Cloud KMS. O parceiro cria recursos em locais Google Cloud de acordo com seus requisitos de residência de dados.

Cada chave do Cloud EKM inclui metadados do Cloud KMS, que permitem que o Cloud EKM envie solicitações ao seu EKM para realizar operações criptográficas usando o material de chave externa que nunca sai do EKM. As chaves simétricas do Cloud EKM também incluem material de chave interna do Cloud KMS que nunca sai do Google Cloud. Para mais informações sobre os lados interno e externo das chaves do Cloud EKM, consulte Como o Cloud EKM funciona nesta página.

Para mais informações sobre o EKM gerenciado pelo parceiro, consulte Configurar o Cloud KMS gerenciado pelo parceiro.

Monitorar o uso do Cloud EKM

É possível usar o Cloud Monitoring para monitorar sua conexão do EKM. As métricas a seguir podem ajudar você a entender o uso do EKM:

cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count

Para mais informações sobre essas métricas, consulte métricas do Cloud KMS. Crie um painel para acompanhar essas métricas. Para saber como configurar um painel para monitorar sua conexão do EKM, consulte Monitorar o uso do EKM.

Como receber suporte

Se você tiver um problema com o Cloud EKM, entre em contato com o suporte.

A seguir

Comece a usar a API.
Configure o Cloud EKM pela Internet.
Crie uma conexão EKM para usar o EKM na VPC.
Leia a Referência da API do Cloud KMS.
Saiba mais sobre a geração de registros no Cloud KMS. A geração de registros é baseada em operações e se aplica a chaves com níveis de proteção de HSM e software.
Consulte Arquiteturas de referência para implantação confiável dos serviços do Cloud EKM e confira recomendações sobre como configurar uma implantação de serviço do External Key Manager (EKM) integrada ao Cloud EKM.