Cloud External Key Manager

Nesta página, você terá uma visão geral do Cloud External Key Manager (Cloud EKM).

Terminologia

  • Gerenciador de chaves externas (EKM)

    O gerenciador de chaves usado fora do Google Cloud para gerenciar suas chaves.

  • Gerenciador de chaves externas do Cloud (Cloud EKM)

    Um serviço do Google Cloud para usar chaves externas gerenciadas em um EKM compatível.

  • Cloud EKM pela Internet

    Uma versão do Cloud EKM na qual o Google Cloud se comunica seu gerenciador de chaves externo pela Internet.

  • Cloud EKM por uma VPC

    Uma versão do Cloud EKM na qual o Google Cloud se comunica gerenciador de chaves externo em uma nuvem privada virtual (VPC). Para mais consulte Visão geral de redes VPC.

  • O gerenciamento de chaves EKM Cloud KMS

    Ao usar o Cloud EKM por uma VPC com um parceiro de gerenciamento de chaves externo compatível com o Cloud EKM plano de controle, use o serviço EKM do Cloud KMS de gerenciamento de chaves externo para simplificar o processo de manutenção de chaves externas em seu parceiro de gerenciamento de chaves externo e no Cloud EKM. Para mais informações, consulte Chaves externas coordenadas e O gerenciamento de chaves EKM Cloud KMS nesta página.

  • Espaço criptográfico

    Um contêiner para seus recursos no parceiro de gerenciamento de chaves externo. Seu espaço criptográfico é identificada por um caminho exclusivo do espaço criptográfico. O formato do espaço criptográfico varia de acordo com o parceiro de gerenciamento de chaves externo, por exemplo, v0/cryptospaces/YOUR_UNIQUE_PATH:

  • EKM gerenciado por parceiro

    Um acordo em que um parceiro confiável gerencia seu EKM. Para mais informações, consulte EKM gerenciado por parceiro nesta página.

  • Justificativas de acesso às chaves

    Quando você usa o Cloud EKM com Justificativas de acesso às chaves, cada solicitação à sua parceiro de gerenciamento de chaves externo inclui um campo que identifica o motivo de cada solicitação. É possível configurar seu parceiro externo de gerenciamento de chaves para permitir ou negar solicitações com base no O código das justificativas de acesso às chaves fornecido. Para mais informações sobre Justificativas de acesso às chaves, consulte Justificativas de acesso às chaves geral do Google.

Visão geral

Com o Cloud EKM, é possível usar chaves gerenciadas em um parceiro de gerenciamento de chaves externo com suporte para proteger os dados no Google Cloud. É possível proteger os dados em repouso na integração de CMEK com suporte serviços ou chamando a API Cloud Key Management Service diretamente.

O Cloud EKM oferece vários benefícios:

  • Proveniência da chave:você controla o local e a distribuição dos com chaves gerenciadas externamente. As chaves gerenciadas externamente nunca são armazenadas em cache ou da maneira convencional no Google Cloud. Em vez disso, o Cloud EKM se comunica diretamente com o parceiro de gerenciamento de chaves externo para cada solicitação.

  • Controle de acesso: você gerencia o acesso às chaves gerenciadas externamente seu gerenciador de chaves externo. Não é possível usar uma chave gerenciada externamente no Google Cloud sem conceder primeiro ao projeto do Google Cloud acesso à chave no gerenciador de chaves externo. É possível revogar esse acesso a qualquer momento.

  • Gerenciamento centralizado de chaves:é possível gerenciar suas chaves e políticas de acesso. de uma única interface do usuário, mesmo que os dados protegidos na nuvem ou no seu local.

Em todos os casos, a chave reside no sistema externo e nunca é enviada ao Google.

É possível se comunicar com o gerenciador de chaves externo pela Internet ou por uma nuvem privada virtual (VPC).

Como o Cloud EKM funciona

As versões de chave do Cloud EKM consistem nestas partes:

  • Material de chave externo: o material de chave externo de uma chave do Cloud EKM é um material criptográfico criado e armazenado no EKM. Esse material não sai do EKM e nunca é compartilhado com o Google.
  • Referência de chave: cada versão da chave do Cloud EKM contém um URI de chave ou um caminho de chave. Este é um identificador exclusivo para o material da chave externa que o Cloud EKM usa ao solicitar operações criptográficas com a chave.
  • Material interno da chave: quando uma chave simétrica do Cloud EKM é é criado, o Cloud KMS cria material adicional de chave no Cloud KMS, que nunca sai do Cloud KMS. Esse material de chave é usado como uma camada extra de criptografia ao se comunicar com o EKM. Esse material de chave interna não se aplica a chaves de assinatura assimétricas.

Para usar as chaves do Cloud EKM, ele envia solicitações operações criptográficas com seu EKM. Por exemplo, para criptografar dados com uma chave de criptografia simétrica, o Cloud EKM primeiro criptografa os dados usando o material da chave interna. Os dados criptografados são incluídos em uma solicitação ao EKM. O EKM agrupa os dados criptografados em outra camada de criptografia usando o material de chave externa e retorna o texto criptografado resultante. Dados criptografados usando uma chave do Cloud EKM não pode ser descriptografado sem a chave externa e o material da chave interna.

Caso sua organização tenha ativado as Justificativas de acesso às chaves, o parceiro externo de gerenciamento de chaves registra a justificativa de acesso fornecida e conclui a solicitação apenas para conferir os códigos de motivo da justificativa permitidos pela sua Política de justificativas de acesso às chaves no parceiro de gerenciamento de chaves externo.

A criação e o gerenciamento de chaves do Cloud EKM exigem alterações correspondentes no o Cloud KMS e o EKM. Essas mudanças correspondentes são tratadas de maneira diferente para chaves externas gerenciadas manualmente e para chaves externas coordenadas. Tudo e chaves externas acessadas pela Internet são gerenciadas manualmente. Chaves externas os acessos por uma rede VPC podem ser gerenciados ou coordenados manualmente, o modo de gerenciamento do EKM via conexão VPC. O EKM manual é usado para chaves gerenciadas manualmente. O O modo de gerenciamento EKM do Cloud KMS é usado para chaves externas coordenadas. Para mais informações sobre os modos de gerenciamento de EKM, consulte Gerenciamento externo de chaves e chaves externas coordenadas nesta página.

O diagrama a seguir mostra como o Cloud KMS se encaixa no modelo de gerenciamento de chaves. Este diagrama usa o Compute Engine e o BigQuery como exemplos. confira a lista completa de serviços com suporte ao Cloud EKM chaves.

Diagrama ilustrando criptografia e descriptografia com o Cloud EKM

Saiba mais sobre as considerações e as restrições ao usar o Cloud EKM.

Chaves externas gerenciadas manualmente

Nesta seção, apresentamos uma visão geral de como o Cloud EKM funciona com um uma chave externa gerenciada manualmente.

  1. Você cria ou usa uma chave atual em um parceiro de gerenciamento de chaves externo compatível. Google Workspace. Essa chave tem um URI ou caminho exclusivo.
  2. Você concede ao seu projeto do Google Cloud acesso para usar a chave, no sistema de gerenciamento de chaves externas do parceiro.
  3. No projeto do Google Cloud, você cria uma chave do Cloud EKM versão, usando o URI ou caminho da chave gerenciada externamente.
  4. Operações de manutenção, como a rotação de chaves, devem ser gerenciadas manualmente entre no EKM e no Cloud EKM. Por exemplo, as operações de rotação ou destruição de versões de chave precisam ser concluídas diretamente no EKM e no Cloud KMS.

No Google Cloud, a chave aparece ao lado das outras Chaves do Cloud KMS e do Cloud HSM, com nível de proteção EXTERNAL ou EXTERNAL_VPC. As chaves do Cloud EKM e do parceiro de gerenciamento de chaves externas trabalham juntas para proteger seus dados. O material da chave externa nunca é exposto ao Google.

Chaves externas coordenadas

Esta seção fornece uma visão geral de como o Cloud EKM funciona com uma chave externa coordenada.

  1. Você configura um EKM via VPC conexão, defina o modo de gerenciamento EKM como Cloud KMS. Durante a configuração, você precisa autorizar o EKM a acessar a rede VPC e autorizar o conta de serviço do projeto do Google Cloud para acessar seu espaço criptográfico no no EKM. A conexão do EKM usa o nome do host do EKM e um caminho de espaço criptográfico que identifica seus recursos no EKM.

  2. Você cria uma chave externa no no Cloud KMS. Quando você cria uma chave do Cloud EKM usando um EKM via conexão VPC com o modo de gerenciamento EKM do Cloud KMS ativado, o etapas a seguir ocorrem automaticamente:

    1. O Cloud EKM envia uma solicitação de criação de chave para o EKM.
    2. O EKM cria o material de chave solicitado. Este material de chave externa permanece no EKM e nunca é enviado ao Google.
    3. O EKM retorna um caminho de chave para o Cloud EKM.
    4. O Cloud EKM cria a versão da chave usando o o caminho da chave fornecido pelo EKM.
  3. As operações de manutenção em chaves externas coordenadas podem ser iniciadas no Cloud KMS. Por exemplo, chaves externas coordenadas usadas para a criptografia simétrica pode ser alternada automaticamente de acordo com uma programação definida. O a criação de novas versões de chaves é coordenada no EKM pela o Cloud EKM. Você também pode acionar a criação ou destruição de chaves no EKM pelo Cloud KMS usando o o console do Google Cloud, a CLI gcloud, o Cloud KMS ou bibliotecas de cliente do Cloud KMS.

No Google Cloud, a chave aparece ao lado das outras chaves do Cloud KMS e do Cloud HSM, com nível de proteção EXTERNAL_VPC. A chave do Cloud EKM e a chave do parceiro de gerenciamento de chaves externas funcionam para proteger seus dados. O material da chave externa nunca é exposto a Google.

O gerenciamento de chaves do EKM Cloud KMS

As chaves externas coordenadas são possibilitadas pelo EKM via conexões VPC que usam O gerenciamento de chaves do EKM no Cloud KMS. Se o EKM for compatível com o Cloud EKM plano de controle, ative o gerenciamento de chaves do EKM o Cloud KMS para sua usando conexões VPC para criar chaves externas coordenadas. Com o gerenciamento de chaves do EKM do Cloud KMS ativado, o Cloud EKM pode solicitar as seguintes mudanças no EKM:

  • Criar uma chave: quando você cria uma chave gerenciada externamente o Cloud KMS usando um EKM compatível via conexão VPC; O Cloud EKM envia a solicitação de criação de chave para o EKM. Quando bem-sucedido, o EKM cria a chave e o material dela e retorna caminho da chave a ser usado pelo Cloud EKM para acessar a chave.

  • Rotação de uma chave: quando você rotaciona uma chave gerenciada externamente o Cloud KMS usando um EKM compatível via conexão VPC; O Cloud EKM envia a solicitação de rotação para o EKM. Quando bem-sucedido, o EKM cria um novo material de chave e retorna o caminho da Cloud EKM a ser usado para acessar a nova versão da chave.

  • Destruir uma chave: ao destruir uma versão de uma chave gerenciada externamente no Cloud KMS usando um EKM compatível via conexão VPC, O Cloud KMS programa a destruição da versão da chave em no Cloud KMS. Se a versão da chave não for restaurada antes do evento programado para destruição, o Cloud EKM vai destruir a parte o material criptográfico da chave e envia uma solicitação de destruição ao EKM.

    Os dados criptografados com essa versão da chave não podem ser descriptografados depois que a versão for destruída no Cloud KMS, mesmo que o EKM ainda não tenha destruído a versão da chave. É possível conferir se o EKM destruiu a versão da chave com sucesso acessando os detalhes dela no Cloud KMS.

Quando as chaves no EKM são gerenciadas no Cloud KMS, o material ainda reside no EKM. O Google não pode fazer solicitações de gerenciamento de chaves para sua o EKM sem permissão explícita. O Google não pode alterar permissões nem Políticas de justificativas de acesso às chaves no sistema do parceiro de gerenciamento de chaves externas. Se você revogar As permissões do Google no EKM, tentativas de gerenciamento de chaves em vai falhar no Cloud KMS.

Compatibilidade

Gerentes de chave compatíveis

É possível armazenar chaves externas nos seguintes sistemas de parceiros de gerenciamento de chaves externas:

Serviços compatíveis com CMEK com o Cloud EKM

Os serviços a seguir oferecem suporte à integração com o Cloud KMS para chaves externas (Cloud EKM):

Considerações

  • Quando você usa uma chave do Cloud EKM, o Google não tem controle sobre o a disponibilidade da sua chave gerenciada externamente no sistema de gerenciamento de chaves externas do parceiro. Se você perder as chaves gerenciadas fora do Google Cloud, o Google não poderá recuperar seus dados.

  • Consulte as diretrizes sobre regiões e parceiros de gerenciamento de chaves externas ao escolher os locais das chaves do Cloud EKM.

  • Consulte o Contrato de nível de serviço (SLA) do Cloud EKM.

  • A comunicação com um serviço externo pela Internet pode levar a problemas de confiabilidade, disponibilidade e latência. Para aplicativos com baixa tolerância a esses tipos de risco, considere usar o Cloud HSM ou o Cloud KMS para armazenar seu material de chave.

    • Se uma chave externa não estiver disponível, o Cloud KMS retornará um erro FAILED_PRECONDITION e fornecerá detalhes no detalhe do erro PreconditionFailure.

      Ative o registro de auditoria de dados para manter um registro de todas erros relacionados ao Cloud EKM. As mensagens de erro contêm informações informações para ajudar a identificar a origem do erro. Um exemplo de erro comum é quando um parceiro de gerenciamento de chaves externo não responde a uma solicitação dentro de um prazo razoável.

    • Você precisa de um contrato de suporte com o parceiro externo de gerenciamento de chaves. O suporte do Google Cloud só pode ajudar com problemas em serviços do Google Cloud e não pode ajudar diretamente com problemas sistemas externos. Às vezes, você precisa trabalhar com o suporte de ambos os lados para resolver problemas de interoperabilidade.

  • O Cloud EKM pode ser usado com HSM Rack Bare Metal para criar um locatário único Solução HSM integrada ao Cloud KMS. Para saber mais, escolha um parceiro do Cloud EKM compatível com HSMs de locatário único e consulte os requisitos para HSMs Bare Metal Rack.

  • Ative o registro de auditoria no gerenciador de chaves externo para capturar o acesso e às chaves EKM.

Restrições

  • A rotação automática não é compatível.
  • Quando você cria uma chave do Cloud EKM usando a API ou A Google Cloud CLI não pode ter uma versão inicial da chave. Isso não são aplicadas às chaves do Cloud EKM criadas com o console do Google Cloud.
  • As operações do Cloud EKM estão sujeitas a requisitos específicos cotas além das cotas nas operações do Cloud KMS.

Chaves de criptografia simétricas

Chaves de assinatura assimétricas

Principais gerentes e regiões externas

O Cloud EKM precisa ser capaz de acessar suas chaves rapidamente para evitar um erro. Ao criar uma chave do Cloud EKM, escolha um local do Google Cloud que esteja geograficamente perto do local da chave do parceiro de gerenciamento externo. Consulte a documentação do parceiro para detalhes sobre a disponibilidade desse local.

  • Cloud EKM pela Internet: disponível em qualquer local do Google Cloud com suporte para o Cloud KMS, exceto global e nam-eur-asia1.
  • Cloud EKM via VPC: disponível apenas em locais regionais compatíveis com Cloud KMS

Consulte a documentação do seu parceiro de gerenciamento de chaves externo para determinar os locais compatíveis.

Uso multirregional

Quando você usa uma chave gerenciada externamente com uma multirregião, os metadados da chave estão disponíveis em vários data centers na multirregião. Esses metadados inclui as informações necessárias para se comunicar com o parceiro externo de gerenciamento de chaves. Se as o aplicativo faz o failover de um data center para outro dentro da multirregião, o novo data center inicia solicitações importantes. O novo data center pode ter características de rede diferentes do anterior, incluindo a distância do parceiro de gerenciamento de chaves externo e a probabilidade de tempos limite. Recomendamos usando apenas uma multirregião com o Cloud EKM se a chave externa escolhida de rede fornece baixa latência em todas as áreas dessa multirregião.

EKM gerenciado por parceiro

O EKM gerenciado por parceiros permite usar o Cloud EKM por um parceiro soberano confiável que gerencia seu sistema de EKM. Com o EKM gerenciado pelo parceiro, seu parceiro cria e gerencia as chaves que você usa no Cloud EKM. O parceiro garante que seu EKM esteja em conformidade com soberania de dados.

Quando você integra seu parceiro soberano, ele provisiona recursos no Google Cloud e no EKM. Esses recursos incluem um Projeto do Cloud KMS para gerenciar as chaves do Cloud EKM e um EKM via Conexão VPC configurada para gerenciamento de chaves EKM pela no Cloud KMS. Seu parceiro cria recursos nos locais do Google Cloud de acordo com seus requisitos de residência de dados.

Cada chave do Cloud EKM inclui Metadados do Cloud KMS, que permitem que o Cloud EKM envie solicitações ao o EKM para executar operações criptográficas usando o material de chave externo que nunca saia do seu EKM. As chaves simétricas do Cloud EKM também incluem Material da chave interna do Cloud KMS que nunca sai do Google Cloud. Para mais informações sobre os lados interno e externo do Cloud EKM consulte Como o Cloud EKM funciona nesta página.

Para mais informações sobre o EKM gerenciado por parceiro, consulte Configurar o EKM gerenciado pelo parceiro Cloud KMS.

Monitorar o uso do Cloud EKM

É possível usar o Cloud Monitoring para monitorar sua conexão EKM. O seguinte podem ajudar a entender o uso do EKM:

  • cloudkms.googleapis.com/ekm/external/request_latencies
  • cloudkms.googleapis.com/ekm/external/request_count

Para mais informações sobre essas métricas, consulte Métricas do cloudkms. É possível criar um para acompanhar essas métricas. Para saber como configurar um painel para monitorar sua conexão EKM, consulte Monitorar o uso do EKM.

Como receber suporte

Se você tiver um problema com o Cloud EKM, entre em contato com o suporte.

A seguir