Nesta página, descrevemos o uso de chaves de criptografia gerenciadas pelo cliente (CMEK) para gerenciar Google Cloud NetApp Volumes.
Sobre a CMEK
NetApp Volumes sempre criptografam seus dados com chaves específicas do volume. O NetApp Volumes sempre criptografa seus dados em repouso.
Com a CMEK, o Cloud Key Management Service encapsula as chaves de volume armazenadas. Com esse recurso, você tem mais controle sobre as chaves de criptografia usadas e a segurança extra de armazenar as chaves em um sistema ou local diferente dos dados. O NetApp Volumes é compatível com os recursos do Cloud Key Management Service, como módulos de segurança de hardware e o ciclo de vida completo de gerenciamento de chaves (gerar, usar, alternar e destruir).
O NetApp Volumes oferece suporte a uma política de CMEK por região. Uma política de CMEK é anexada a um pool de armazenamento, e todos os volumes criados nele a usam. É possível ter uma combinação de pools de armazenamento com e sem políticas de CMEK em uma região. Se você tiver pools sem CMEK em uma região específica, poderá convertê-los para CMEK usando a ação de migração de uma política de CMEK da região.
O uso da CMEK é opcional. Se usadas, as políticas de CMEK são específicas da região. Só é possível configurar uma política por região.
Considerações
As seções a seguir incluem limitações da CMEK a serem consideradas.
Gerenciamento de chaves
Ao usar a CMEK, você se torna exclusivamente responsável pelas chaves e pelos dados.
Configurações do Cloud KMS
A CMEK usa chaves simétricas para criptografia e descriptografia.
Depois que todos os volumes são excluídos em uma região de um projeto, a configuração do Cloud KMS volta ao estado Ready criado. Ele será usado novamente quando
você criar o próximo volume nessa região.
Keyrings regionais
NetApp Volumes só oferecem suporte a keyrings regionais do KMS, que precisam estar na mesma região da política de CMEK.
Nível de serviço
A CMEK é compatível com os pools de armazenamento dos níveis de serviço Flex, Standard, Premium e Extreme.
VPC Service Controls
Ao usar o VPC Service Controls, considere as limitações do VPC Service Controls para volumes da NetApp.
Política da organização de CMEK
A política da organização da CMEK para NetApp Volumes dá às organizações controle sobre as chaves de criptografia de dados e restringe quais chaves podem ser usadas para CMEK. Isso é feito aplicando o uso da CMEK para criptografar dados em repouso em novos pools de armazenamento e permitindo que as organizações gerenciem chaves de criptografia usando o Cloud KMS. A política da organização é aplicada na criação do pool de armazenamento e não afeta os pools atuais.
Com as políticas da organização, os administradores podem aplicar e impor restrições consistentes em todos os projetos e recursos. Isso é importante para organizações que gerenciam vários projetos e recursos para aplicar políticas padronizadas.
Há dois tipos de restrições de política da organização que podem ser aplicadas à CMEK:
Restringir serviços que não usam CMEK: permite especificar quais serviços em uma organização, projeto ou pasta podem ser configurados sem CMEK. Se você adicionar um serviço à lista de bloqueio ou excluí-lo da lista de permissões, os recursos desse serviço vão exigir a CMEK. Por padrão, essa restrição permite a criação de recursos que não usam CMEK.
Restringir projetos de CryptoKey da CMEK: permite definir quais projetos podem fornecer chaves do KMS para CMEK ao configurar recursos na organização, no projeto ou na pasta. Se essa restrição for definida, apenas as chaves do KMS dos projetos especificados poderão ser usadas para recursos protegidos por CMEK. Se a restrição não for definida, as CryptoKeys de qualquer projeto poderão ser usadas.
Para mais informações sobre como aplicar uma política da organização, consulte Aplicar uma política da organização de CMEK.
Opções de CMEK
O NetApp Volumes oferece suporte a CMEKs, que podem ser armazenadas como chaves de software, chaves de hardware em um cluster do HSM ou como chaves externas armazenadas no Cloud External Key Manager (Cloud EKM).
Para mais informações, consulte Cloud Key Management Service.
Impacto operacional de erros de chave
Os recursos e as operações do NetApp Volumes podem ser afetados se uma chave do Cloud KMS usada em uma política de CMEK for desativada ou se o acesso a uma chave externa for perdido.
As chaves externas são gerenciadas por terceiros, e o Google Cloud não é responsável pela disponibilidade delas.
Se o Gerenciador de chaves externas (EKM) notificar o Cloud Key Management Service de que uma chave externa está inacessível, os volumes que usam essa chave serão desativados, o que impede operações de leitura e gravação. O mesmo resultado ocorre se uma chave do Cloud KMS for desativada.
Os usuários também recebem um erro com detalhes sobre o estado atual da chave se alguma das seguintes operações for tentada enquanto o EKM estiver inacessível ou a chave do Cloud KMS estiver desativada nas regiões de origem ou de destino para replicação: