Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzare le chiavi Cloud KMS in Google Cloud

Questa pagina spiega come utilizzare le chiavi di crittografia gestite dal cliente di Cloud KMS in altri Google Cloud servizi per proteggere le tue risorse. Per ulteriori informazioni, consulta Chiavi di crittografia gestite dal cliente (CMEK).

Quando un servizio supporta CMEK, si dice che ha un'integrazione CMEK. Alcuni servizi, come GKE, hanno più integrazioni CMEK per proteggere diversi tipi di dati correlati al servizio. Per un elenco dei servizi con integrazioni CMEK, vedi Attivare CMEK per i servizi supportati in questa pagina.

Prima di iniziare

Prima di poter utilizzare le chiavi Cloud KMS in altri servizi Google Cloud , devi disporre di una risorsa di progetto che contenga le chiavi Cloud KMS. Ti consigliamo di utilizzare un progetto separato per le risorse Cloud KMS che non contenga altre risorse Google Cloud .

Integrazioni CMEK

Preparati ad attivare l'integrazione di CMEK

Per i passaggi esatti per abilitare CMEK, consulta la documentazione del servizioGoogle Cloud pertinente. Puoi trovare un link alla documentazione CMEK per ogni servizio nella sezione Attivare CMEK per i servizi supportati di questa pagina. Per ogni servizio, puoi aspettarti di seguire passaggi simili a quelli che seguono:

Crea un keyring o selezionane uno esistente. Il portachiavi deve trovarsi il più vicino possibile alle risorse che vuoi proteggere.
Nel keyring selezionato, crea una chiave o seleziona una chiave esistente. Assicurati che il livello di protezione, lo scopo e l'algoritmo della chiave siano appropriati per le risorse che vuoi proteggere. Questa chiave è la chiave CMEK.
Ottieni l'ID risorsa per la chiave CMEK. Avrai bisogno di questo ID risorsa in un secondo momento.
Concedi il ruolo IAM Autore crittografia/decrittografia CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) per la chiave CMEK al account di servizio per il servizio.

Nota: puoi concedere il ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS a livello di chiave, portachiavi, progetto, cartella o organizzazione. Per seguire il principio del privilegio minimo, ti consigliamo di concedere questo ruolo al livello più basso che soddisfi le tue esigenze.
Attenzione: finché il tuo account di servizio dispone del ruolo Autore crittografia/decrittografia CryptoKey Cloud KMS, il servizio può criptare e decriptare i suoi dati. Se revochi il ruolo o se disattivi o distruggi la chiave CMEK, non è più possibile accedere ai dati. Se la chiave CMEK non è accessibile, i tuoi servizi potrebbero risentirne.

Dopo aver creato la chiave e assegnato le autorizzazioni richieste, puoi creare o configurare un servizio per utilizzare la chiave CMEK.

Utilizzare le chiavi Cloud KMS con i servizi integrati con CMEK

I seguenti passaggi utilizzano Secret Manager come esempio. Per i passaggi esatti per utilizzare una chiave CMEK di Cloud KMS in un determinato servizio, individua il servizio nell'elenco dei servizi integrati con CMEK.

In Secret Manager, puoi utilizzare una CMEK per proteggere i dati at-rest.

Nella console Google Cloud , vai alla pagina Secret Manager.

Vai a Secret Manager
Per creare un secret, fai clic su Crea secret.
Nella sezione Crittografia, seleziona Utilizza una chiave di crittografia gestita dal cliente (CMEK).
Nella casella Chiave di crittografia, procedi nel seguente modo:
1. (Facoltativo) Per utilizzare una chiave in un altro progetto:
  1. Fai clic su Cambia progetto.
  2. Inserisci tutto o parte del nome del progetto nella barra di ricerca, poi seleziona il progetto.
  3. Per visualizzare le chiavi disponibili per il progetto selezionato, fai clic su Seleziona.
2. (Facoltativo) Per filtrare le chiavi disponibili in base a posizione, portachiavi, nome o livello di protezione, inserisci i termini di ricerca nella barra dei filtri .
3. Seleziona una chiave dall'elenco delle chiavi disponibili nel progetto selezionato. Puoi utilizzare i dettagli di posizione, keyring e livello di protezione visualizzati per assicurarti di scegliere la chiave corretta.
4. Se la chiave che vuoi utilizzare non è visualizzata nell'elenco, fai clic su Inserisci chiave manualmente e inserisci l'ID risorsa della chiave.
Completa la configurazione del secret, quindi fai clic su Crea secret. Secret Manager crea il secret e lo cripta utilizzando la chiave CMEK specificata.

Abilita CMEK per i servizi supportati

Per abilitare CMEK, individua prima il servizio che ti interessa nella tabella seguente. Puoi inserire i termini di ricerca nel campo per filtrare la tabella. Tutti i servizi di questo elenco supportano chiavi software e hardware (HSM). I prodotti che si integrano con Cloud KMS quando si utilizzano chiavi Cloud EKM esterne sono indicati nella colonna EKM supportato.

Segui le istruzioni per ogni servizio per cui vuoi abilitare le chiavi CMEK.

Servizio	Protetto con CMEK	EKM supportato	Argomento
Agent Assist	Dati at-rest	Sì	Chiavi di crittografia gestite dal cliente (CMEK)
AI Applications	Dati at-rest	No	Chiavi di crittografia gestite dal cliente
AlloyDB per PostgreSQL	Dati scritti nei database	Sì	Utilizzo delle chiavi di crittografia gestite dal cliente
Anti Money Laundering AI	Dati nelle risorse dell'istanza AML AI	No	Cripta i dati utilizzando le chiavi di crittografia gestite dal cliente (CMEK)
Apigee	Dati at-rest	No	Introduzione a CMEK
Hub API Apigee	Dati at-rest	Sì	Crittografia
Application Integration	Dati at-rest	Sì	Utilizzo delle chiavi di crittografia gestite dal cliente
Artifact Registry	Dati nei repository	Sì	Abilitazione delle chiavi di crittografia gestite dal cliente
Backup per GKE	Dati in Backup per GKE	Sì	Informazioni sulla crittografia CMEK di Backup per GKE
BigQuery	Dati in BigQuery	Sì	Protezione dei dati con le chiavi Cloud KMS
Bigtable	Dati at-rest	Sì	Chiavi di crittografia gestite dal cliente (CMEK)
Cloud Composer	Dati sull'ambiente	Sì	Utilizzo delle chiavi di crittografia gestite dal cliente
Cloud Data Fusion	Dati sull'ambiente	Sì	Utilizzo delle chiavi di crittografia gestite dal cliente
API Cloud Healthcare	Set di dati dell'API Cloud Healthcare	Sì	Utilizzare le chiavi di crittografia gestite dal cliente (CMEK)
Cloud Logging	Dati nel router dei log	Sì	Gestire le chiavi che proteggono i dati di Log Router
Cloud Logging	Dati nell'archiviazione Logging	Sì	Gestire le chiavi che proteggono i dati di archiviazione di Logging
Cloud Run	Immagine container	Sì	Utilizzo delle chiavi di crittografia gestite dal cliente con Cloud Run
Cloud Run Functions	Dati nelle funzioni Cloud Run	Sì	Utilizzo delle chiavi di crittografia gestite dal cliente
Cloud SQL	Dati scritti nei database	Sì	Utilizzo delle chiavi di crittografia gestite dal cliente
Cloud Storage	Dati nei bucket di archiviazione	Sì	Utilizzo delle chiavi di crittografia gestite dal cliente
Cloud Tasks	Corpo e intestazione dell'attività a riposo	Sì	Utilizzare le chiavi di crittografia gestite dal cliente
Cloud Workstations	Dati sui dischi VM	Sì	Criptare le risorse della workstation
Colab Enterprise	Runtime e file blocco note	No	Utilizzare le chiavi di crittografia gestite dal cliente
Compute Engine	Dischi permanenti	Sì	Protezione delle risorse con le chiavi Cloud KMS
Compute Engine	Snapshot	Sì	Protezione delle risorse con le chiavi Cloud KMS
Compute Engine	Immagini personalizzate	Sì	Protezione delle risorse con le chiavi Cloud KMS
Compute Engine	Immagini macchina	Sì	Protezione delle risorse con le chiavi Cloud KMS
Insight conversazionali	Dati at-rest	Sì	Chiavi di crittografia gestite dal cliente (CMEK)
Migrazioni omogenee di Database Migration Service	Migrazioni MySQL - dati scritti nei database	Sì	Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)
Migrazioni omogenee di Database Migration Service	Migrazioni PostgreSQL - Dati scritti nei database	Sì	Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)
Migrazioni omogenee di Database Migration Service	Migrazioni da PostgreSQL ad AlloyDB - Dati scritti nei database	Sì	Informazioni su CMEK
Migrazioni omogenee di Database Migration Service	Migrazioni di SQL Server - Dati scritti nei database	Sì	Informazioni su CMEK
Migrazioni eterogenee di Database Migration Service	Dati inattivi da Oracle a PostgreSQL	Sì	Utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per le migrazioni continue
Dataflow	Dati sullo stato della pipeline	Sì	Utilizzo delle chiavi di crittografia gestite dal cliente
Dataform	Dati nei repository	Sì	Utilizzare le chiavi di crittografia gestite dal cliente
Dataplex Universal Catalog	Dati at-rest	Sì	Chiavi di crittografia gestite dal cliente
Dataproc	Dati dei cluster Dataproc sui dischi VM	Sì	Chiavi di crittografia gestite dal cliente
Dataproc	Dati Dataproc Serverless sui dischi VM	Sì	Chiavi di crittografia gestite dal cliente
Dataproc Metastore	Dati at-rest	Sì	Utilizzo delle chiavi di crittografia gestite dal cliente
Datastream	Dati in transito	No	Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)
Dialogflow CX	Dati at-rest	Sì	Chiavi di crittografia gestite dal cliente (CMEK)
Document AI	Dati at-rest e dati in uso	Sì	Chiavi di crittografia gestite dal cliente (CMEK)
Eventarc Advanced (anteprima)	Dati at-rest	No	Utilizzare le chiavi di crittografia gestite dal cliente (CMEK)
Eventarc Standard	Dati at-rest	Sì	Utilizzare le chiavi di crittografia gestite dal cliente (CMEK)
Filestore	Dati at-rest	Sì	Cripta i dati con chiavi di crittografia gestite dal cliente
Firestore	Dati at-rest	Sì	Utilizzare le chiavi di crittografia gestite dal cliente (CMEK)
Gemini Code Assist	Dati at-rest	No	Cripta i dati con chiavi di crittografia gestite dal cliente
Google Agentspace - NotebookLM Enterprise	Dati at-rest	No	Chiavi di crittografia gestite dal cliente
Google Agentspace Enterprise	Dati at-rest	No	Chiavi di crittografia gestite dal cliente
Google Cloud Managed Service per Apache Kafka	Dati associati agli argomenti	Sì	Configurare la crittografia dei messaggi
Google Cloud NetApp Volumes	Dati at-rest	No	Crea una policy CMEK
Google Distributed Cloud	Dati sui nodi edge	Sì	Sicurezza dell'archiviazione locale
Google Kubernetes Engine	Dati sui dischi VM	Sì	Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK)
Google Kubernetes Engine	Secret a livello di applicazione	Sì	Crittografia dei secret a livello di applicazione
Integration Connectors	Dati at-rest	Sì	Metodi di crittografia
Looker (Google Cloud core)	Dati at-rest	Sì	Abilita CMEK per Looker (Google Cloud core)
Memorystore for Redis	Dati at-rest	Sì	Chiavi di crittografia gestite dal cliente (CMEK)
Migrate to Virtual Machines	Dati di cui è stata eseguita la migrazione dalle origini VM VMware, AWS e Azure	Sì	Utilizzare CMEK per criptare i dati archiviati durante una migrazione
Migrate to Virtual Machines	Dati di cui è stata eseguita la migrazione dalle origini disco e immagine della macchina	Sì	Utilizzare CMEK per criptare i dati sui dischi di destinazione e sulle immagini macchina
Parameter Manager	Payload della versione del parametro	Sì	Abilitare le chiavi di crittografia gestite dal cliente per Parameter Manager
Pub/Sub	Dati associati agli argomenti	Sì	Configurare la crittografia dei messaggi
Secret Manager	Payload segreti	Sì	Abilitare le chiavi di crittografia gestite dal cliente per Secret Manager
Secure Source Manager	Istanze	Sì	Cripta i dati con chiavi di crittografia gestite dal cliente
Spanner	Dati at-rest	Sì	Chiavi di crittografia gestite dal cliente (CMEK)
Speaker ID (Google Analytics con limitazioni)	Dati at-rest	Sì	Utilizzo delle chiavi di crittografia gestite dal cliente
Speech-to-Text	Dati at-rest	Sì	Utilizzo delle chiavi di crittografia gestite dal cliente
Vertex AI	Dati associati alle risorse	Sì	Utilizzo delle chiavi di crittografia gestite dal cliente
Notebook gestiti da Vertex AI Workbench	Dati utente at-rest	No	Chiavi di crittografia gestite dal cliente
Notebook gestiti dall'utente di Vertex AI Workbench	Dati sui dischi VM	No	Chiavi di crittografia gestite dal cliente
Istanze Vertex AI Workbench	Dati sui dischi VM	Sì	Chiavi di crittografia gestite dal cliente
Workflow	Dati at-rest	Sì	Utilizzare le chiavi di crittografia gestite dal cliente (CMEK)