Abilita CMEK per Looker (Google Cloud core)

Per impostazione predefinita, Google Cloud cripta automaticamente i dati quando sono at-rest utilizzando chiavi di crittografia gestite da Google. Se hai requisiti di conformità o normativi specifici relativi alle chiavi che proteggono i tuoi dati, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per la crittografia a livello di applicazione di Looker (Google Cloud core).

Per saperne di più su CMEK in generale, incluso quando e perché abilitarla, consulta la documentazione di Cloud Key Management Service.

Questa pagina descrive come configurare un'istanza di Looker (Google Cloud core) per utilizzare CMEK.

In che modo Looker (Google Cloud core) interagisce con CMEK?

Looker (Google Cloud core) utilizza una singola chiave CMEK (tramite una gerarchia di chiavi secondarie) per proteggere i dati sensibili gestiti dall'istanza di Looker (Google Cloud core). Durante l'avvio, ogni processo all'interno dell'istanza di Looker effettua una chiamata iniziale a Cloud Key Management Service (KMS) per decriptare la chiave. Durante il normale funzionamento (dopo l'avvio), l'intera istanza di Looker effettua una singola chiamata a KMS circa ogni cinque minuti per verificare che la chiave sia ancora valida.

Quali tipi di istanze di Looker (Google Cloud core) supportano CMEK?

Le istanze di Looker (Google Cloud core) supportano CMEK quando vengono soddisfatti due criteri:

• I passaggi di configurazione di CMEK descritti in questa pagina vengono completati prima della creazione dell'istanza di Looker (Google Cloud core). Non puoi abilitare le chiavi di crittografia gestite dal cliente sulle istanze esistenti.
• Le versioni delle istanze devono essere Enterprise o Embed.

Flusso di lavoro per la creazione di un'istanza di Looker (Google Cloud core) con CMEK

Questa pagina ti guiderà attraverso i seguenti passaggi per configurare CMEK per un'istanza di Looker (Google Cloud core).

1. Configura l'ambiente.
2. Solo utenti di Google Cloud CLI, Terraform e API:crea un service account per ogni progetto che richiede chiavi di crittografia gestite dal cliente, se un account di servizio Looker non è già stato configurato per il progetto.
3. Crea una chiave automatizzata e una chiave e imposta la posizione della chiave. La località è la regione Google Cloud in cui vuoi creare l'istanza di Looker (Google Cloud core).
4. Solo utenti di Google Cloud CLI, Terraform e API:copia o annota l'ID chiave (KMS_KEY_ID) e la posizione della chiave, insieme all'ID (KMS_KEYRING_ID) del portachiavi. Queste informazioni sono necessarie quando concedi all'account di servizio l'accesso alla chiave.
5. Solo utenti di Google Cloud CLI, Terraform e API:concedi all'account di servizio l'accesso alla chiave.
6. Vai al tuo progetto e crea un'istanza di Looker (Google Cloud core) con le seguenti opzioni:
   1. Seleziona la stessa posizione utilizzata dalla chiave di crittografia gestita dal cliente.
   2. Imposta la versione su Enterprise o Embed.
   3. Attiva la configurazione della chiave gestita dal cliente.
   4. Aggiungi la chiave di crittografia gestita dal cliente per nome o ID.

Una volta completati tutti questi passaggi, CMEK verrà abilitata per l'istanza di Looker (Google Cloud core).

Prima di iniziare

Se non l'hai ancora fatto, assicurati che il tuo ambiente sia configurato in modo da poter seguire le istruzioni riportate in questa pagina. Segui i passaggi descritti in questa sezione per assicurarti che la configurazione sia corretta.

1. Nella console Google Cloud , nella pagina di selezione del progetto, seleziona o crea un progetto Google Cloud . Nota:se non prevedi di conservare le risorse che crei in questa procedura, crea un progetto invece di selezionarne uno già esistente. Una volta completata questa procedura, puoi eliminare il progetto e tutte le relative risorse.

   Vai al selettore dei progetti

2. Verifica che la fatturazione sia attivata per il tuo progetto Google Cloud . Scopri come verificare se la fatturazione è abilitata per un progetto.
3. Installa Google Cloud CLI.

4. Per inizializzare gcloud CLI, esegui questo comando:

   gcloud init
   

5. Abilita l'API Cloud Key Management Service.

   Abilita l'API

6. Abilita l'API Looker (Google Cloud core).

   Abilita l'API

Ruoli obbligatori

Per comprendere i ruoli richiesti per la configurazione di CMEK, visita la pagina Controllo dell'accesso con IAM della documentazione di Cloud Key Management Service.

Per creare un'istanza di Looker (Google Cloud core), assicurati di disporre del ruolo IAM Amministratore di Looker per il progetto in cui viene creata l'istanza di Looker (Google Cloud core). Per attivare CMEK per l'istanza all'interno della Google Cloud console, assicurati di disporre del ruolo IAM Utilità di crittografia/decrittografia CryptoKey di Cloud KMS sulla chiave utilizzata per CMEK.

Se devi concedere all'account di servizio Looker l'accesso a una chiave Cloud KMS, devi disporre del ruolo IAM Amministratore Cloud KMS per la chiave in uso.

Crea un account di servizio

Se utilizzi Google Cloud CLI, Terraform o l'API per creare l'istanza di Looker (Google Cloud core) e non è già stato creato un account di servizio Looker per il progetto Google Cloud in cui risiederà, devi creare un account di servizio per il progetto. Se intendi creare più di un'istanza di Looker (Google Cloud core) nel progetto, lo stesso account di servizio si applica a tutte le istanze di Looker (Google Cloud core) in quel progetto e la creazione del account di servizio deve essere eseguita una sola volta. Se utilizzi la console per creare un'istanza, Looker (Google Cloud core) crea automaticamente il account di servizio e gli concede l'accesso alla chiave CMEK mentre configuri l'opzione Utilizza una chiave di crittografia gestita dal cliente.

Per consentire a un utente di gestire i service account, concedi uno dei seguenti ruoli:

• Utente service account (roles/iam.serviceAccountUser): include le autorizzazioni per elencare i service account, ottenere dettagli su un account di servizio e impersonare un account di servizio.
• Amministratore service account (roles/iam.serviceAccountAdmin): include le autorizzazioni per elencare i service account e ottenere dettagli su un account di servizio. Include anche le autorizzazioni per creare, aggiornare ed eliminare gli account di servizio.

Al momento, puoi utilizzare solo i comandi Google Cloud CLI per creare il tipo di account di servizio necessario per le chiavi di crittografia gestite dal cliente. Se utilizzi la console Google Cloud , Looker (Google Cloud core) crea automaticamente questo account di servizio.

gcloud beta services identity create \
--service=looker.googleapis.com \
--project=PROJECT_ID

Questo comando crea il account di servizio e restituisce il nome del account di servizio. Utilizzi questo nome del account di servizio durante la procedura descritta in Concedere al account di servizio l'accesso alla chiave.

Dopo aver creato il account di servizio, attendi qualche minuto per la propagazione.

Creare una chiave automatizzata e una chiave

Puoi creare la chiave nello stesso progetto Google Cloud dell'istanza di Looker (Google Cloud core) o in un progetto utente separato. La posizione del portachiavi Cloud KMS deve corrispondere alla regione in cui vuoi creare l'istanza di Looker (Google Cloud core). Una chiave multiregionale o globale non funzionerà. La richiesta di creazione dell'istanza di Looker (Google Cloud core) non va a buon fine se le regioni non corrispondono.

Segui le istruzioni riportate nelle pagine di documentazione Creare chiavi automatizzate e Creare una chiave per creare chiavi automatizzate e una chiave che soddisfino i due criteri seguenti:

• Il campo Posizione del portachiavi deve corrispondere alla regione che imposterai per l'istanza di Looker (Google Cloud core).
• Il campo della chiave Finalità deve essere Crittografia/decrittografia simmetrica.

Consulta la sezione Ruotare la chiave per scoprire come ruotare la chiave e creare nuove versioni della chiave.

Copia o annota KMS_KEY_ID e KMS_KEYRING_ID.

Se utilizzi Google Cloud CLI, Terraform o l'API per configurare l'istanza di Looker (Google Cloud core), segui le istruzioni nella pagina di documentazione Recuperare un ID risorsa Cloud KMS per individuare gli ID risorsa del portachiavi e della chiave che hai appena creato. Copia o annota l'ID chiave (KMS_KEY_ID) e la posizione della chiave, insieme all'ID (KMS_KEYRING_ID) del portachiavi. Queste informazioni sono necessarie quando concedi all'account di servizio l'accesso alla chiave.

Concedi al account di servizio l'accesso alla chiave

Devi eseguire questa procedura solo se si verificano entrambe le seguenti condizioni:

• Stai utilizzando Google Cloud CLI, Terraform o l'API.
• Al account di servizio non è già stato concesso l'accesso alla chiave. Ad esempio, se nello stesso progetto esiste già un'istanza di Looker (Google Cloud core) che utilizza la stessa chiave, non è necessario concedere l'accesso. In alternativa, se l'accesso alla chiave è già stato concesso da qualcun altro, non devi concederlo.

Per concedere l'accesso al account di servizio, devi disporre del ruolo IAM Amministratore Cloud KMS per la chiave in uso.

Per concedere l'accesso al account di servizio:

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--location=REGION \
--keyring=KMS_KEYRING_ID \
--member=serviceAccount:SERVICE_ACCOUNT_NAME \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Dopo aver concesso il ruolo IAM al account di servizio, attendi alcuni minuti per la propagazione dell'autorizzazione.

Crea un'istanza di Looker (Google Cloud core) con CMEK

Per creare un'istanza con chiavi di crittografia gestite dal cliente nella console Google Cloud , segui prima i passaggi descritti nella sezione Creare un portachiavi e una chiave, mostrata in precedenza, per creare un portachiavi e una chiave nella stessa regione che utilizzerai per l'istanza di Looker (Google Cloud core). Successivamente, utilizzando le seguenti impostazioni, segui le istruzioni per creare un'istanza di Looker (Google Cloud core).

Per creare un'istanza di Looker (Google Cloud core) con le impostazioni CMEK, seleziona una delle seguenti opzioni:

gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID\
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--kms-key=KMS_KEY_ID
--region=REGION \
--edition=EDITION
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

La tua istanza di Looker (Google Cloud core) ora è abilitata con CMEK.

Visualizzare le informazioni sulla chiave per un'istanza abilitata per CMEK

Una volta creata correttamente un'istanza di Looker (Google Cloud core), puoi verificare se CMEK è abilitata.

Per verificare se CMEK è abilitata, seleziona una delle seguenti opzioni:

gcloud looker instances describe INSTANCE_NAME --region=REGION --format config

Utilizzare Cloud External Key Manager (Cloud EKM)

Per proteggere i dati nelle istanze di Looker (Google Cloud core), puoi utilizzare le chiavi da te gestite in un partner di gestione delle chiavi esterne supportato. Per saperne di più, consulta la pagina di documentazione di Cloud External Key Manager, inclusa la sezione Considerazioni.

Quando è tutto pronto per creare una chiave Cloud EKM, consulta la sezione Come funziona della pagina di documentazione di Cloud External Key Manager. Dopo aver creato una chiave, fornisci il nome della chiave quando crei un'istanza di Looker (Google Cloud core).

Google non controlla la disponibilità delle chiavi in un sistema di gestione delle chiavi esterno partner.

Ruota la chiave

Ti consigliamo di ruotare la chiave per aumentare la sicurezza. Ogni volta che la chiave viene ruotata, viene creata una nuova versione. Per scoprire di più sulla rotazione della chiave, consulta la pagina di documentazione Rotazione delle chiavi.

Se ruoti la chiave utilizzata per proteggere l'istanza di Looker (Google Cloud core), la versione precedente della chiave è comunque necessaria per accedere ai backup o alle esportazioni eseguiti quando era in uso. Per questo motivo, Google consiglia di mantenere abilitata la versione precedente della chiave per almeno 45 giorni dopo la rotazione per garantire che questi elementi rimangano accessibili. Le versioni della chiave vengono conservate per impostazione predefinita finché non vengono disabilitate o eliminate.

Disabilitare e riabilitare le versioni della chiave

Consulta le seguenti pagine della documentazione:

• Disabilitare una versione della chiave abilitata
• Abilitare una versione della chiave disabilitata

Se una versione della chiave utilizzata per proteggere un'istanza di Looker (Google Cloud core) viene disattivata, l'istanza di Looker (Google Cloud core) deve interrompere il funzionamento, cancellare tutti i dati sensibili non criptati che potrebbe avere in memoria e attendere che la chiave torni disponibile. La procedura è la seguente:

1. La versione della chiave utilizzata per proteggere un'istanza di Looker (Google Cloud core) è disabilitata.
2. Entro circa 15 minuti, l'istanza di Looker (Google Cloud core) rileva che la versione della chiave è stata revocata, interrompe il funzionamento e cancella tutti i dati criptati in memoria.
3. Dopo l'interruzione del funzionamento dell'istanza, le chiamate alle API Looker restituiscono un messaggio di errore.
4. Dopo l'interruzione del funzionamento dell'istanza, l'interfaccia utente di Looker (Google Cloud core) restituisce un messaggio di errore.
5. Se riattivi la versione della chiave, devi attivare manualmente un riavvio dell'istanza.

Se disabiliti una versione della chiave e non vuoi attendere l'arresto automatico dell'istanza di Looker (Google Cloud core), puoi attivare manualmente il riavvio dell'istanza in modo che rilevi immediatamente la versione della chiave revocata.

Distruzione delle versioni della chiave

Consulta la seguente pagina della documentazione:

• Distruzione e ripristino delle versioni delle chiavi

Se una versione della chiave utilizzata per proteggere un'istanza di Looker (Google Cloud core) viene eliminata, l'istanza di Looker diventa inaccessibile. L'istanza deve essere eliminata e non potrai accedere ai suoi dati.

Risoluzione dei problemi

Questa sezione descrive le operazioni da provare quando ricevi un messaggio di errore durante la configurazione o l'utilizzo di istanze abilitate a CMEK.

Le operazioni di amministratore di Looker (Google Cloud core), come la creazione o l'aggiornamento, potrebbero non riuscire a causa di errori di Cloud KMS e di ruoli o autorizzazioni mancanti. I motivi comuni di errore includono una versione della chiave Cloud KMS mancante, una versione della chiave Cloud KMS disattivata o eliminata, autorizzazioni IAM insufficienti per accedere alla versione della chiave Cloud KMS o la versione della chiave Cloud KMS in una regione diversa dall'istanza Looker (Google Cloud core). Utilizza la seguente tabella per la risoluzione dei problemi per diagnosticare e risolvere i problemi comuni.

Tabella per la risoluzione dei problemi relativi alle chiavi di crittografia gestite dal cliente

Passaggi successivi

• Amministra un'istanza di Looker (Google Cloud core) dalla Google Cloud console
• Impostazioni di amministrazione di Looker (Google Cloud core)