Nesta página, explicamos como usar chaves de criptografia gerenciadas pelo cliente do Cloud KMS em outros serviços do Google Cloud para proteger seus recursos. Para mais informações, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).
Quando um serviço é compatível com CMEK, diz-se que ele tem uma integração com CMEK. Alguns serviços, como o GKE, têm várias integrações CMEK para proteger diferentes tipos de dados relacionados ao serviço. Para conferir uma lista de serviços com integrações de CMEK, consulte Ativar a CMEK para serviços compatíveis nesta página.
Antes de começar
Antes de usar as chaves do Cloud KMS em outros serviços do Google Cloud , é necessário ter um recurso de projeto para conter as chaves do Cloud KMS. Recomendamos usar um projeto separado para os recursos do Cloud KMS que não contenha outros recursos Google Cloud .
Integrações com CMEK
Preparar para ativar a integração da CMEK
Para saber mais sobre as etapas exatas para ativar o CMEK, consulte a documentação do serviçoGoogle Cloud relevante. Nesta página, em Ativar a CMEK para serviços compatíveis, você encontra um link para a documentação de cada serviço. Para cada serviço, siga etapas semelhantes a estas:
Crie um keyring ou selecione um keyring existente. O keyring precisa estar o mais próximo possível dos recursos que você quer proteger.
No keyring selecionado, crie uma chave ou selecione uma chave atual. Verifique se o nível de proteção, a finalidade e o algoritmo da chave são adequados para os recursos que você quer proteger. Essa chave é a chave CMEK.
Encontre o ID do recurso da chave CMEK. Você vai precisar desse ID de recurso mais tarde.
Conceda o papel do IAM de criptografia/descriptografia de CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) na chave CMEK à conta de serviço.
Depois de criar a chave e atribuir as permissões necessárias, você pode criar ou configurar um serviço para usar sua chave de CMEK.
Usar chaves do Cloud KMS com serviços integrados à CMEK
As etapas a seguir usam o Secret Manager como exemplo. Para conferir as etapas exatas de uso de uma chave CMEK do Cloud KMS em um determinado serviço, localize esse serviço na lista de serviços integrados à CMEK.
No Secret Manager, é possível usar uma CMEK para proteger dados em repouso.
No console Google Cloud , acesse a página Secret Manager.
Para criar um secret, clique em Criar secret.
Na seção Criptografia, selecione Usar uma chave de criptografia gerenciada pelo cliente (CMEK).
Na caixa Chave de criptografia, faça o seguinte:
Opcional: para usar uma chave em outro projeto, faça o seguinte:
- Clique em Mudar de projeto.
- Digite todo ou parte do nome do projeto na barra de pesquisa e selecione-o.
- Para conferir as chaves disponíveis para o projeto selecionado, clique em Selecionar.
Opcional: para filtrar as chaves disponíveis por local, keyring, nome ou nível de proteção, insira os termos de pesquisa na barra de filtro .
Selecione uma chave na lista de chaves disponíveis no projeto selecionado. Use os detalhes de local, keyring e nível de proteção exibidos para escolher a chave correta.
Se a chave que você quer usar não estiver na lista, clique em Inserir chave manualmente e digite o ID do recurso da chave.
Conclua a configuração do secret e clique em Criar secret. O Secret Manager cria e criptografa o secret usando a chave CMEK especificada.
Ativar a CMEK para serviços compatíveis
Para ativar a CMEK, primeiro localize o serviço desejado na tabela a seguir. Você pode inserir termos de pesquisa no campo para filtrar a tabela. Todos os serviços nesta lista são compatíveis com chaves de software e hardware (HSM). Os produtos que se integram ao Cloud KMS ao usar chaves externas do Cloud EKM são indicados na coluna Compatível com EKM.
Siga as instruções de cada serviço em que você quer ativar as chaves da CMEK.
| Serviço | Protegido com CMEK | Compatível com EKM | Tópico |
|---|---|---|---|
| Agent Assist | Dados em repouso | Sim | Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) |
| AI Applications | Dados em repouso | Não | Chaves de criptografia gerenciadas pelo cliente |
| AlloyDB para PostgreSQL | Dados gravados em bancos de dados | Sim | Como usar chaves de criptografia gerenciadas pelo cliente |
| IA antilavagem de dinheiro | Dados em recursos de instância da IA antilavagem de dinheiro | Não | Criptografar dados usando chaves de criptografia gerenciadas pelo cliente (CMEK) |
| Apigee | Dados em repouso | Não | Introdução à CMEK |
| Hub de APIs da Apigee | Dados em repouso | Sim | Criptografia |
| Application Integration | Dados em repouso | Sim | Como usar chaves de criptografia gerenciadas pelo cliente |
| Artifact Registry | Dados em repositórios | Sim | Como ativar chaves de criptografia gerenciadas pelo cliente |
| Backup para GKE | Dados no Backup para GKE | Sim | Sobre a criptografia CMEK do Backup para GKE |
| BigQuery | Dados no BigQuery | Sim | Como proteger dados com chaves do Cloud KMS |
| Bigtable | Dados em repouso | Sim | Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) |
| Cloud Composer | Dados do ambiente | Sim | Como usar chaves de criptografia gerenciadas pelo cliente |
| Cloud Data Fusion | Dados do ambiente | Sim | Como usar chaves de criptografia gerenciadas pelo cliente |
| API Cloud Healthcare | Conjuntos de dados da API Cloud Healthcare | Sim | Usar chaves de criptografia gerenciadas pelo cliente (CMEK) |
| Cloud Logging | Dados no roteador de registros | Sim | Gerenciar as chaves que protegem os dados do roteador de registros |
| Cloud Logging | Dados no armazenamento do Logging | Sim | Gerenciar as chaves que protegem os dados de armazenamento do Logging |
| Cloud Run | Imagem de contêiner | Sim | Como usar chaves de criptografia gerenciadas pelo cliente com o Cloud Run |
| Funções do Cloud Run | Dados nas funções do Cloud Run | Sim | Como usar chaves de criptografia gerenciadas pelo cliente |
| Cloud SQL | Dados gravados em bancos de dados | Sim | Como usar chaves de criptografia gerenciadas pelo cliente |
| Cloud Storage | Dados em buckets de armazenamento | Sim | Como usar chaves de criptografia gerenciadas pelo cliente |
| Cloud Tasks | Corpo e cabeçalho da tarefa em repouso | Sim | Usar chaves de criptografia gerenciadas pelo cliente |
| Cloud Workstations | Dados em discos de VM | Sim | Criptografar recursos da estação de trabalho |
| Colab Enterprise | Ambientes de execução e arquivos de notebook | Não | Usar chaves de criptografia gerenciadas pelo cliente |
| Compute Engine | Discos permanentes | Sim | Como proteger recursos com chaves do Cloud KMS |
| Compute Engine | Snapshots | Sim | Como proteger recursos com chaves do Cloud KMS |
| Compute Engine | Imagens personalizadas | Sim | Como proteger recursos com chaves do Cloud KMS |
| Compute Engine | Imagens de máquina | Sim | Como proteger recursos com chaves do Cloud KMS |
| Insights de conversação | Dados em repouso | Sim | Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) |
| Migrações homogêneas do Database Migration Service | Migrações do MySQL: dados gravados em bancos de dados | Sim | Como usar chaves de criptografia gerenciadas pelo cliente (CMEK) |
| Migrações homogêneas do Database Migration Service | Migrações do PostgreSQL: dados gravados em bancos de dados | Sim | Como usar chaves de criptografia gerenciadas pelo cliente (CMEK) |
| Migrações homogêneas do Database Migration Service | Migrações do PostgreSQL para o AlloyDB: dados gravados em bancos de dados | Sim | Sobre a CMEK |
| Migrações homogêneas do Database Migration Service | Migrações do SQL Server: dados gravados em bancos de dados | Sim | Sobre a CMEK |
| Migrações heterogêneas do Database Migration Service | Dados em repouso do Oracle para o PostgreSQL | Sim | Usar chaves de criptografia gerenciadas pelo cliente (CMEK) para migrações contínuas |
| Dataflow | Dados de estado do pipeline | Sim | Como usar chaves de criptografia gerenciadas pelo cliente |
| Dataform | Dados em repositórios | Sim | Usar chaves de criptografia gerenciadas pelo cliente |
| Dataplex Universal Catalog | Dados em repouso | Sim | Chaves de criptografia gerenciadas pelo cliente |
| Dataproc | Dados de clusters do Dataproc em discos de VM | Sim | Chaves de criptografia gerenciadas pelo cliente |
| Dataproc | Dados do Dataproc sem servidor em discos de VM | Sim | Chaves de criptografia gerenciadas pelo cliente |
| Dataproc Metastore | Dados em repouso | Sim | Como usar chaves de criptografia gerenciadas pelo cliente |
| Datastream | Dados em trânsito | Não | Como usar chaves de criptografia gerenciadas pelo cliente (CMEK) |
| Dialogflow CX | Dados em repouso | Sim | Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) |
| Document AI | Dados em repouso e em uso | Sim | Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) |
| Eventarc Advanced (pré-lançamento) | Dados em repouso | Não | Usar chaves de criptografia gerenciadas pelo cliente (CMEK) |
| Eventarc Standard | Dados em repouso | Sim | Usar chaves de criptografia gerenciadas pelo cliente (CMEK) |
| Filestore | Dados em repouso | Sim | Criptografar dados com chaves de criptografia gerenciadas pelo cliente |
| Firestore | Dados em repouso | Sim | Usar chaves de criptografia gerenciadas pelo cliente (CMEK) |
| Gemini Code Assist | Dados em repouso | Não | Criptografar dados com chaves de criptografia gerenciadas pelo cliente |
| Google Agentspace: NotebookLM Enterprise | Dados em repouso | Não | Chaves de criptografia gerenciadas pelo cliente |
| Google Agentspace Enterprise | Dados em repouso | Não | Chaves de criptografia gerenciadas pelo cliente |
| Google Cloud Managed Service para Apache Kafka | Dados associados a temas | Sim | Configurar a criptografia de mensagens |
| Google Cloud NetApp Volumes | Dados em repouso | Não | Criar uma política de CMEK |
| Google Distributed Cloud | Dados nos nós de borda | Sim | Segurança do armazenamento local |
| Google Kubernetes Engine | Dados em discos de VM | Sim | Como usar chaves de criptografia gerenciadas pelo cliente (CMEK) |
| Google Kubernetes Engine | Secrets da camada de aplicativos | Sim | Criptografia de Secrets da camada de aplicativos |
| Conectores de integração | Dados em repouso | Sim | Métodos de criptografia |
| Looker (Google Cloud Core) | Dados em repouso | Sim | Ativar a CMEK para o Looker (Google Cloud Core) |
| Memorystore for Redis | Dados em repouso | Sim | Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) |
| Migrate to Virtual Machines | Dados migrados de fontes de VM do VMware, da AWS e do Azure | Sim | Usar a CMEK para criptografar dados armazenados durante uma migração |
| Migrate to Virtual Machines | Dados migrados de origens de disco e imagem de máquina | Sim | Usar a CMEK para criptografar dados em discos de destino e imagens de máquina |
| Gerenciador de parâmetros | Payloads de versão do parâmetro | Sim | Ativar chaves de criptografia gerenciadas pelo cliente para o Parameter Manager |
| Pub/Sub | Dados associados a temas | Sim | Como configurar a criptografia de mensagens |
| Secret Manager | Payloads secretos | Sim | Ativar chaves de criptografia gerenciadas pelo cliente para o Secret Manager |
| Secure Source Manager | Instâncias | Sim | Criptografar dados com chaves de criptografia gerenciadas pelo cliente |
| Spanner | Dados em repouso | Sim | Chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) |
| Speaker ID (GA restrita) | Dados em repouso | Sim | Como usar chaves de criptografia gerenciadas pelo cliente |
| Speech-to-Text | Dados em repouso | Sim | Como usar chaves de criptografia gerenciadas pelo cliente |
| Vertex AI | Dados associados aos recursos | Sim | Como usar chaves de criptografia gerenciadas pelo cliente |
| Notebooks gerenciados do Vertex AI Workbench | Dados do usuário em repouso | Não | Chaves de criptografia gerenciadas pelo cliente |
| Notebooks do Vertex AI Workbench gerenciados pelo usuário | Dados em discos de VM | Não | Chaves de criptografia gerenciadas pelo cliente |
| Instâncias do Vertex AI Workbench | Dados em discos de VM | Sim | Chaves de criptografia gerenciadas pelo cliente |
| Fluxos de trabalho | Dados em repouso | Sim | Usar chaves de criptografia gerenciadas pelo cliente (CMEK) |