Questa pagina descrive l'utilizzo delle chiavi di crittografia gestite dal cliente (CMEK) per gestire Google Cloud NetApp Volumes.
Informazioni su CMEK
NetApp Volumes cripta sempre i tuoi dati con chiavi specifiche del volume. NetApp Volumes cripta sempre i tuoi dati at-rest.
Con CMEK, Cloud Key Management Service esegue il wrapping delle chiavi del volume archiviate. Questa funzionalità ti offre un maggiore controllo sulle chiavi di crittografia che utilizzi e la maggiore sicurezza di archiviare le chiavi su un sistema o in una posizione diversa dai dati. NetApp Volumes supporta le funzionalità di Cloud Key Management Service, come i moduli di sicurezza hardware e l'intero ciclo di vita della gestione delle chiavi: generazione, utilizzo, rotazione ed eliminazione.
NetApp Volumes supporta una policy CMEK per regione. Un criterio CMEK viene collegato a un pool di archiviazione e tutti i volumi creati nel pool lo utilizzano. Puoi avere un mix di pool di archiviazione con e senza criteri CMEK in una regione. Se hai pool senza CMEK in una regione specifica, puoi convertirli in CMEK utilizzando l'azione di migrazione della policy CMEK di una regione.
L'utilizzo di CMEK è facoltativo. Se utilizzate, le policy CMEK sono specifiche per regione. Puoi configurare una sola policy per regione.
Considerazioni
Le sezioni seguenti includono le limitazioni per CMEK da prendere in considerazione.
Gestione delle chiavi
L'utilizzo di CMEK ti rende l'unico responsabile delle tue chiavi e dei tuoi dati.
Configurazioni di Cloud KMS
CMEK utilizza chiavi simmetriche per la crittografia e la decrittografia.
Dopo l'eliminazione di tutti i volumi in una regione per un progetto, la configurazione di Cloud KMS torna allo stato Ready creato. Viene riutilizzato quando
crei il volume successivo nella regione.
Keyring regionali
NetApp Volumes supportano solo i keyring delle chiavi KMS regionali e devono risiedere nella stessa regione della policy CMEK.
Livello del servizio
CMEK supporta i pool di archiviazione con livelli di servizio Flex, Standard, Premium ed Extreme.
Controlli di servizio VPC
Quando utilizzi Controlli di servizio VPC, assicurati di prendere in considerazione le limitazioni di Controlli di servizio VPC per i volumi NetApp.
Policy dell'organizzazione CMEK
Il criterio dell'organizzazione CMEK per NetApp Volumes consente alle organizzazioni di controllare le chiavi di crittografia dei dati e limita le chiavi che possono essere utilizzate per CMEK. Ciò si ottiene applicando l'utilizzo di CMEK per criptare i dati at-rest nei nuovi pool di archiviazione e consentendo alle organizzazioni di gestire le chiavi di crittografia utilizzando Cloud KMS. Il criterio dell'organizzazione viene applicato durante la creazione del pool di archiviazione e non influisce sui pool di archiviazione esistenti.
I criteri dell'organizzazione consentono agli amministratori di applicare e far rispettare vincoli coerenti in tutti i progetti e le risorse. Ciò è importante per le organizzazioni che gestiscono più progetti e risorse per applicare policy standardizzate.
Esistono due tipi di vincoli dei criteri dell'organizzazione che possono essere applicati a CMEK:
Limita servizi non CMEK: consente di specificare quali servizi all'interno di un'organizzazione, un progetto o una cartella possono essere configurati senza CMEK. Se aggiungi un servizio all'elenco negato o lo escludi dall'elenco consentito, le risorse per quel servizio richiederanno CMEK. Per impostazione predefinita, questo vincolo consente la creazione di risorse non CMEK.
Limita i progetti CryptoKey CMEK: consente di definire quali progetti possono fornire chiavi KMS per CMEK quando configuri le risorse all'interno dell'organizzazione, del progetto o della cartella. Se questo vincolo è impostato, per le risorse protette da CMEK possono essere utilizzate solo le chiavi KMS dei progetti specificati. Se il vincolo non è impostato, è possibile utilizzare CryptoKeys di qualsiasi progetto.
Per ulteriori informazioni su come applicare una policy dell'organizzazione, consulta Applicare una policy dell'organizzazione CMEK.
Opzioni CMEK
NetApp Volumes offre il supporto per le CMEK, che possono essere archiviate come chiavi software, chiavi hardware all'interno di un cluster HSM o come chiavi esterne archiviate in Cloud External Key Manager (Cloud EKM).
Per saperne di più, consulta Cloud Key Management Service.
Impatto operativo degli errori delle chiavi
Le risorse e le operazioni NetApp Volumes possono essere interessate se una chiave Cloud KMS utilizzata in una policy CMEK è disabilitata o se l'accesso a una chiave esterna viene perso.
Le chiavi esterne sono gestite da una terza parte e Google Cloud non è responsabile della disponibilità delle chiavi.
Se External Key Manager (EKM) comunica a Cloud Key Management Service che una chiave esterna non è raggiungibile, i volumi che utilizzano quella chiave vengono messi offline, il che impedisce le operazioni di lettura e scrittura. Lo stesso risultato si verifica se una chiave Cloud KMS viene disattivata.
Gli utenti ricevono anche un errore con i dettagli sullo stato attuale della chiave se viene tentata una delle seguenti operazioni mentre EKM non è raggiungibile o la chiave Cloud KMS è disattivata nelle regioni di origine o di destinazione per la replica: