Eseguire l'onboarding di Cloud HSM per Google Workspace

Questa pagina descrive come eseguire l'onboarding di Cloud HSM per Google Workspace (CHGWS), il servizio chiavi di crittografia per Google Workspace offerto da Cloud Key Management Service (Cloud KMS). Cloud HSM per Google Workspace fornisce controlli della privacy avanzati per Google Workspace, aiutandoti a raggiungere standard normativi come DISA IL5 e a migliorare la sicurezza dei dati. Cloud HSM è un Key Management Service conforme agli standard, a disponibilità elevata e completamente gestito, operato su scala cloud con chiavi supportate dall'hardware archiviate in HSM (moduli di sicurezza hardware) conformi a FIPS 140-2 di livello 3.

Prima di iniziare

Prima di eseguire l'onboarding di Cloud HSM per Google Workspace, completa i seguenti prerequisiti:

  • Configura un account Google Workspace.
  • Attiva la crittografia lato client di Google Workspace in Google Workspace.
  • Configura il tuo provider di identità (IdP) in Client-Side Encryption di Google Workspace. Prendi nota dell'ID client del tuo IdP. Se utilizzi Google Identity Platform, trova l'ID client nel tuo progetto Google Cloud .
  • (Facoltativo) Se consenti l'accesso ai contenuti criptati con CSE su applicazioni della piattaforma diverse dal web (ad esempio mobile o desktop), aggiungi gli ID client per queste piattaforme nelle impostazioni del tuo IdP nella Console di amministrazione Google Workspace. Prendi nota di tutti gli ID client per questo IdP. Se utilizzi Google Identity Platform, trova questi ID client nel tuo progetto Google Cloud . Per altri provider di identità, crea questi ID client separatamente.

Richiedere l'onboarding di Google Workspace

Per eseguire l'onboarding a Cloud HSM per Google Workspace, invia una richiesta di onboarding. Fornisci le seguenti informazioni:

  • ID Google Workspace: il tuo ID Google Workspace. Trova il tuo ID Google Workspace seguendo le istruzioni riportate in Trovare l'ID cliente.

  • Indirizzi email dell'amministratore di Google Workspace: fornisci un elenco di indirizzi email dell'amministratore separati da virgole.

  • Dettagli del provider di identità (IdP) principale:

    • URL del set di chiavi web JSON (JWKS) dell'IdP: per Google Identity Platform, utilizza https://www.googleapis.com/oauth2/v3/certs.
    • Emittente di token JSON Web Token (JWT): per Google Identity Platform, utilizza https://accounts.google.com.
    • Destinatario JWT: l'ID client dell'IdP per le applicazioni web.
    • Segmenti di pubblico JWT aggiuntivi: facoltativo. Fornisci gli ID client per le applicazioni delle piattaforme non web, se configurati. Per Google Identity Platform, utilizza gli ID client forniti in Se utilizzi l'identità Google per la crittografia lato client.

  • Dettagli dell'IdP ospite: facoltativi. Completa questa sezione se utilizzi un IdP ospite.

    • URL JWKS dell'IdP ospite: l'URL JWKS dell'IdP ospite.
    • Emittente del token JWT ospite: l'emittente del token JWT del tuo IdP ospite.
    • Pubblico JWT ospite: l'ID client dell'IdP ospite per le applicazioni web, ad eccezione di Google Meet.
    • Segmenti di pubblico JWT aggiuntivi per gli ospiti: facoltativi. Se configuri un ID client web Google Meet o altri ID client applicazione non web, fornisci gli ID client per ciascuno. Per Google Identity Platform, utilizza gli ID client forniti in Se utilizzi l'identità Google per la crittografia lato client.

  • Località dell'endpoint: us-central1.

  • Numero previsto di utenti: fornisci il numero previsto di utenti nella tua istanza di Google Workspace.

Verifica che l'URL JWKS del tuo IdP sia accessibile pubblicamente. Conferma i valori dell'emittente del token JWT e del pubblico JWT con l'amministratore IdP.

Il team CHGWS risponde entro 24-48 ore con lo stato della configurazione di Google Workspace. Dopo l'onboarding riuscito, procedi alla configurazione del tuo Google Cloud progetto per Cloud KMS.

Configura un progetto Google Cloud per Cloud KMS

Cloud HSM per gli endpoint Google Workspace si basa sulle chiavi Cloud KMS per le operazioni crittografiche. Configura un nuovo progetto Google Cloud per ospitare le chiavi Cloud KMS.

  1. Crea un Google Cloud progetto. Questo è il tuo progetto chiave. Prendi nota dell'ID progetto e del numero di progetto, in quanto ti serviranno per completare la configurazione.

  2. Attiva la fatturazione per il progetto che hai creato.

  3. Abilita l'API Cloud KMS nel progetto Google Cloud chiave.

    Abilitare l'API

  4. Nella console Google Cloud , fai clic su terminale Attiva Cloud Shell.

  5. Verifica di essere nel progetto corretto confrontando il tuo ID progetto con l'ID progetto nel prompt di Cloud Shell.

  6. Utilizzando Cloud Shell, crea l'account di servizio Cloud HSM per Google Workspace:

    gcloud beta services identity create --service=cloudkmskacls-pa.googleapis.com

    Prendi nota dell'identità del servizio creata da questo comando. Ti servirà il nome dell'identità del servizio nel passaggio successivo.

  7. Concedi il ruolo Agente di servizio chiave CHGWS all'account di servizio che hai creato:

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER>@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \
    --role=roles/cloudkmskacls.serviceAgent

    Sostituisci quanto segue:

    • PROJECT_ID: l'ID progetto del tuo progetto chiave.
    • PROJECT_NUMBER: Il numero di progetto del tuo progetto chiave.

Gestisci l'endpoint di servizio CHGWS

Le sezioni seguenti mostrano come configurare e gestire gli endpoint CHGWS.

Configura le chiavi Cloud KMS

Configura le risorse Cloud KMS per l'endpoint del servizio di chiavi CHGWS.

  1. Crea un keyring nella regione us-central1:

    gcloud kms keyrings create KEY_RING --location us-central1

    Sostituisci KEY_RING con il nome che vuoi utilizzare per il portachiavi CHGWS, ad esempio CHGWS_KEY_RING.

  2. Crea una chiave Cloud HSM:

    gcloud kms keys create KEY_NAME \
--protection-level "hsm" \
--keyring KEY_RING \
--location us-central1 \
--purpose "encryption" \
--rotation-period ROTATION_PERIOD \
--next-rotation-time NEXT_ROTATION_TIME

    Sostituisci quanto segue:

    • KEY_NAME: il nome che vuoi utilizzare per la chiave, ad esempio CHGWS_KEY_RING.
    • KEY_RING: il nome del tuo portachiavi, ad esempio CHGWS_KEY.
    • ROTATION_PERIOD: la frequenza con cui vuoi ruotare le chiavi, ad esempio 7d.
    • NEXT_ROTATION_TIME: la data e l'ora in cui si verifica la successiva rotazione della chiave, ad esempio 2024-03-20T01:00:00.

Creazione dell'endpoint di richiesta

Per richiedere la creazione di un endpoint, invia una richiesta di creazione dell'endpoint. Fornisci le seguenti informazioni:

  • ID workspace: <var>GOOGLE_WORKSPACE_ID</var>
  • ID progetto Google Cloud: PROJECT_ID
  • Numero di progetto Google Cloud: PROJECT_NUMBER
  • Nome del keyring Cloud KMS: KEY_RING
  • Posizione del keyring Cloud KMS: us-central1
  • Nome della chiave Cloud KMS: KEY_NAME
  • URL di base di CHGWS: facoltativo. Un elenco di URL per attivare la migrazione delle chiavi. Se configuri CHGWS per la prima volta per questo Google Workspace, lascia vuoto questo campo.

Il team CHGWS risponde entro 24-48 ore con l'URL dell'endpoint CHGWS dopo che l'endpoint diventa disponibile.

Configurare l'endpoint CHGWS in Google Workspace CSE

Configura la crittografia lato client di Google Workspace in modo che utilizzi l'URL CHGWS generato quando hai creato l'endpoint CHGWS. Segui le istruzioni riportate in Aggiungere e gestire i servizi chiavi per la crittografia lato client.

Esegui la migrazione degli endpoint

CHGWS offre la flessibilità di spostare il servizio chiavi su CHGWS o da CHGWS. Per avviare una migrazione di CHGWS, invia una richiesta di migrazione. Nella richiesta, includi le seguenti informazioni:

  • ID endpoint: l'ID endpoint di CHGWS.
  • URL di base di CHGWS: un elenco di URL per attivare la migrazione delle chiavi CHGWS.
    • Se esegui la migrazione a Cloud HSM per Google Workspace, fornisci l'URL di base di ogni endpoint CHGWS da cui esegui la migrazione.
    • Se esegui la migrazione da Cloud HSM per Google Workspace, fornisci gli URL di base degli endpoint CHGWS di cui vuoi eseguire la migrazione.

Se esegui la migrazione tra due endpoint Cloud HSM per Google Workspace diversi, invia due richieste separate: una dall'endpoint precedente e l'altra al nuovo endpoint.

Il team CHGWS risponde entro 24-48 ore per comunicarti che l'endpoint è pronto per la migrazione.

Eliminare o disattivare gli endpoint

Le operazioni di eliminazione o disattivazione sull'endpoint Cloud HSM per Google Workspace non sono supportate direttamente. Tuttavia, puoi disattivare un endpoint Cloud HSM per Google Workspace disattivando tutte le versioni della chiave Cloud KMS di backup.

  • Per ogni versione della chiave Cloud KMS che supporta l'endpoint, esegui il seguente comando:

    gcloud kms keys versions disable KEY_VERSION --keyring \
    KEY_RING --location us-central1 --key KEY_NAME

    Sostituisci quanto segue:

    • KEY_VERSION: la versione della chiave che vuoi disattivare, ad esempio 1.
    • KEY_RING: il nome del portachiavi, ad esempio CHGWS_KEY_RING.
    • KEY_NAME: il nome della chiave, ad esempio CHGWS_KEY.

Abilitare gli endpoint

Se hai disattivato un endpoint CHGWS disabilitando tutte le versioni della chiave Cloud KMS di backup, puoi riattivarlo. Per riattivare l'endpoint, abilita tutte le versioni attive della chiave Cloud KMS di backend utilizzando il seguente comando gcloud CLI:

  • Per ogni versione della chiave Cloud KMS che supporta l'endpoint, esegui il seguente comando:

    gcloud kms keys versions enable KEY_VERSION \
    --keyring KEY_RING --location us-central1 --key KEY_NAME

    Sostituisci quanto segue:

    • KEY_VERSION: la versione della chiave che vuoi disattivare, ad esempio 1.
    • KEY_RING: il nome del portachiavi, ad esempio CHGWS_KEY_RING.
    • KEY_NAME: il nome della chiave, ad esempio CHGWS_KEY.

Passaggi successivi