Esta página foi traduzida pela API Cloud Translation.

Usar chaves de criptografia gerenciadas pelo cliente

Por padrão, o Cloud Tasks criptografa os dados armazenados em repouso. O Google Cloud gerencia essa criptografia padrão ações da sua parte.

Se você tem requisitos regulatórios ou de compliance específicos relacionados às chaves que protegem seus dados, use chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) para o Cloud Tasks. Sua tarefa e os dados associados (corpo e cabeçalho) em são protegidas por uma chave de criptografia que só você pode acessar você pode controlar e gerenciar usando o Cloud Key Management Service (Cloud KMS).

O que é protegido com a CMEK

Ao ativar a CMEK no Cloud Tasks, você a ativa para uma região. Quando ativado, o corpo e o cabeçalho das tarefas criadas naquela região são protegidos com a chave em repouso. Se uma tarefa foi criada enquanto a CMEK estava ativada e a chave fica inativa posteriormente (ao desativá-la ou exclui-la ou ao desativar CMEK) a tarefa será criptografada com sua chave, mas não poderá ser executada.

As tarefas não são protegidas com a CMEK nos seguintes casos:

A tarefa foi criada antes de ativar a CMEK
A tarefa não está na região em que o CMEK está ativado
A tarefa é afetada por uma limitação de compatibilidade

Limitações de compatibilidade

A integração do Cloud Tasks com o CMEK não oferece suporte a:

google-gax versões abaixo 4.0.0: o pacote google-gax do NPM para Node.js tem suporte limitado em versões anteriores a 4.0.0. Para essas versões, o CMEK só tem suporte na região us-central1. Mesmo que você tenha apenas tarefas nessa região, é recomendado fazer upgrade para a versão 4.0.0 ou mais recente.
Serviço de fila de tarefas integrado do App Engine:tarefas criadas usando o O serviço integrado de fila de tarefas do App Engine não é protegido pela CMEK, mesmo que eles estão em uma região para a qual o recurso foi ativado. Ativar a CMEK não impede a criação ou operação (por exemplo, execução ou exclusão) dessas tarefas.
Filas pull: se você ativar a CMEK, poderá criar e executar tarefas no pull filas, mas essas tarefas não são protegidas pela CMEK. Filas pull não são comuns. Para verificar se a fila é uma fila pull, execute o seguinte comando da CLI gcloud no terminal:
```
gcloud tasks queues describe QUEUE_NAME
```
Substitua QUEUE_NAME pelo nome da fila.

Se o type listado estiver pull, a fila é uma fila pull. Se o type listado for push, essa limitação não afetará as tarefas na fila.
Roteamento no nível da fila:quando a CMEK está ativada, não é possível aplicar roteamento no nível da fila. Se o roteamento no nível da fila estiver ativado, não será possível ativar o CMEK. Para verificar se você tem com roteamento em nível de fila ativado, faça o seguinte:
1. Execute o seguinte comando da CLI gcloud no terminal:
```
gcloud tasks queues describe QUEUE_NAME
```
  Substitua QUEUE_NAME pelo nome da fila.
2. Na saída, procure o campo httpTarget e verifique se o uriOverride foi definido. Se um host for especificado, a fila terá o roteamento no nível da fila está ativado e não é compatível com a CMEK. Para remover roteamento em nível de fila, consulte Atualize ou remova o roteamento no nível da fila. Se o resultado não mostrar uriOverride com um host especificado, seu não usa roteamento no nível da fila.
TTL da tarefa:quando a CMEK está ativada, não é possível definir task_ttl para mais de 60 dias. Se você tiver um task_ttl definido como maior que 60 dias, não é possível ativar a CMEK.

Antes de começar

Antes de usar a CMEK no Cloud Tasks, siga estas etapas:

Ative as APIs.
Console
1. Enable the Cloud KMS and Cloud Tasks APIs.
  Enable the APIs
gcloud
1. In the Google Cloud console, activate Cloud Shell.
  
  Activate Cloud Shell
  
  At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
2. Defina o projeto padrão. Esse é o projeto que contém os recursos do Cloud Tasks que você quer proteger com o CMEK. Se você precisar executar um comando em um projeto diferente, como o contendo seus recursos do Cloud KMS, essa página vai inclua a sinalização --project no comando da CLI gcloud e informar qual projeto especificar.
  gcloud config set project PROJECT_ID
  Substitua PROJECT_ID pelo ID do projeto. que contém os recursos do Cloud Tasks.
3. Atualize os componentes gcloud.
  gcloud components update
4. Ative as APIs Cloud KMS e Cloud Tasks para o projeto que vai armazenar as chaves de criptografia.
  gcloud services enable cloudkms.googleapis.com cloudtasks.googleapis.com
  --project=PROJECT_ID
  Substitua PROJECT_ID pelo ID do projeto. que vai armazenar as chaves de criptografia. Pode ser o mesmo projeto que os recursos do Cloud Tasks, mas limitar o acesso aos seus as chaves do Cloud KMS, considere Como configurar o Cloud KMS em um projeto separado.
O Cloud KMS produz Registros de auditoria do Cloud quando as chaves desativado ou usado por recursos do Cloud Tasks para criptografar e descriptografar dados. Certifique-se de que a geração de registros está ativada para a API Cloud KMS no projeto e que você decidiu quais permissões e papéis específicos do registro se aplicam ao seu caso de uso. Para mais informações, consulte Informações sobre a geração de registros de auditoria do Cloud KMS.
Conseguir papéis do Identity and Access Management.
Para receber as permissões necessárias para usar a CMEK com o Cloud Tasks, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:
- Ative ou desative a CMEK: roles/cloudtasks.admin
- Confira a chave em uso: roles/cloudtasks.viewer
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Criar um keyring e uma chave do Cloud KMS

Se você já tiver um keyring na mesma região do seu recursos do Cloud Tasks e quiser usar essa chave e o keyring, pular esta seção. Caso contrário, use estas instruções para criar a chave e o keyring do Cloud KMS.

Crie um keyring.
- O keyring precisa estar na região que contém os recursos do Cloud Tasks que você quer proteger. Para mais mais informações, consulte Locais do Cloud KMS e Locais do Cloud Tasks.
- O keyring e os recursos do Cloud Tasks protegidos por CMEK podem no mesmo projeto, mas para limitar o acesso à sua Cloud KMS chaves, considere Como configurar o Cloud KMS em um projeto separado.
Crie uma chave para um keyring especificado.

Recuperar o ID de uma chave do Cloud KMS

O ID do recurso para uma chave do Cloud KMS é necessário quando você ativa a CMEK para o Cloud Tasks.

Console

No console do Google Cloud, acesse a página Gerenciamento de chaves e selecione acesse a guia Inventário de chaves.
Acessar "Inventário de chaves"
Na chave referente ao ID de recurso que você está recuperando, clique em Ações.
Clique em Copiar nome do recurso.

O ID de recurso da chave é copiado para a área de transferência. O formato é: semelhante a:
```
projects/PROJECT_NAME/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
```

gcloud

Liste todas as chaves em um determinado keyring:
```
gcloud kms keys list --keyring=KEY_RING --location=LOCATION --project=PROJECT_ID
```
Substitua:
- KEY_RING: o nome do keyring;
- LOCATION: a região do keyring
- PROJECT_ID: o ID do projeto que contém o keyring
A saída inclui o ID de cada chave. Exemplo:
```
NAME: projects/PROJECT_NAME/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
```

Conceda ao agente de serviço do Cloud Tasks acesso à chave

Você precisa conceder ao agente de serviço do Cloud Tasks as Criptografador/Descriptografador de CryptoKey do Cloud KMS Identity and Access Management (IAM) para que ele possa acessar o Cloud KMS chave:

Console

No console do Google Cloud, acesse a página "Identity and Access Management".

Acessar IAM
Marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google.
Encontre a conta de serviço do Cloud Tasks digitando cloudtasks.iam.gserviceaccount.com no filtro.

A conta de serviço do Cloud Tasks tem o formato service-PROJECT_NUMBER@gcp-sa-cloudtasks.iam.gserviceaccount.com.
Clique no ícone de lápis Editar principal.
No painel que será aberto, clique em Adicionar outro papel.
Pesquise e selecione o papel Criptografador/Descriptografador de CryptoKey do Cloud KMS.
Clique em Salvar.

gcloud

gcloud kms keys add-iam-policy-binding KEY_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudtasks.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Substitua:

KEY_ID: o ID de recurso totalmente qualificado para sua de dados. Para instruções sobre como encontrar esse ID, consulte Extrair o ID de uma chave do Cloud KMS. Não inclua um o número da versão da chave. Incluir um número de versão de chave pode fazer com que falhe.
PROJECT_NUMBER: o número do projeto do Google Cloud. Encontre o número do projeto na página Boas-vindas do console do Google Cloud ou executando o seguinte comando:
```
PROJECT=$(gcloud info --format='value(config.project)')
gcloud projects describe ${PROJECT} --format="value(projectNumber)"
```

Desde que o agente de serviço tenha o papel roles/cloudkms.cryptoKeyEncrypterDecrypter, uma tarefa na região ativada para CMEK pode criptografar e descriptografar os dados usando a chave CMEK. Se você revogar esse papel ou desativar ou destruir a CMEK esses dados não poderão ser acessados. Neste documento, consulte Desative o Cloud KMS.

Ativar a CMEK para o Cloud Tasks

É possível ativar a CMEK usando a API ou a CLI gcloud. Para Cloud Tasks, a CMEK é ativada por região. Ele não é ativado por tarefas individuais. Quando a CMEK está ativada para uma determinada região Cloud Tasks, todas as tarefas nessa região são protegidas pela CMEK.

API

Para ativar a CMEK, chame o método Update CMEK config. O A API Cloud Tasks fornece o método Update CMEK config nas bibliotecas REST e RPCs:

REST: use o método updateCmekConfig.
RPC::use o método UpdateCmekConfigRequest.

gcloud

Para ativar a CMEK usando a Google Cloud CLI, use o seguinte comando:

gcloud tasks cmek-config update --location=LOCATION --kms-key-name=KEY_ID

Substitua:

LOCATION: a região do seu Recurso do Cloud Tasks
KEY_ID: o ID de recurso totalmente qualificado para sua de dados. Para instruções sobre como encontrar esse ID, consulte Extrair o ID de uma chave do Cloud KMS. Não inclua uma chave número da versão. Incluir um número de versão de chave pode fazer com que esse comando falhe.

Para verificar se a chave foi ativada com sucesso, siga as instruções seção Identificar a chave em uso.

Ativar para tarefas pré-existentes

A CMEK não protege as tarefas criadas antes da ativação para o Cloud Tasks. Para proteger tarefas pré-existentes com a CMEK:

Ative a CMEK (consulte a seção sobre como ativar a CMEK).
Substituir as tarefas existentes. Há duas maneiras principais de fazer isso. O a melhor maneira de fazer isso depende do que é importante para você:
- Execução contínua:para garantir a execução contínua ("pelo menos uma vez") entrega), é possível recriar a tarefa e, em seguida, excluir a pré-existente depois de verificar se a nova tarefa funciona como esperado. Isso pode resultar em execuções duplicadas, porque a tarefa antiga e a nova podem ser executadas antes de excluir a antiga.
- Prevenção duplicada: para evitar execuções duplicadas ("na maior vez" entrega), é possível primeiro excluir a tarefa antiga e depois recriá-la. Isso pode resultar em execuções perdidas devido ao tempo decorrido entre a exclusão da tarefa antiga e a criação da nova.

Identificar a chave em uso

Para identificar a chave CMEK em uso para seus recursos do Cloud Tasks, execute o seguinte comando da gcloud CLI no terminal:

gcloud tasks cmek-config describe --location=LOCATION

Substitua LOCATION pela região do seu recursos do Cloud Tasks.

Se não houver saída, a CMEK não será configurada para o local especificado.

Desativar a CMEK para o Cloud Tasks

É possível desativar a CMEK usando a API ou a CLI gcloud. Para Cloud Tasks, a CMEK está desativada por região. Ele não é desativado por tarefas individuais. Quando a CMEK está desativada para uma determinada região No Cloud Tasks, as tarefas nessa região não são protegidas pela CMEK.

A desativação da CMEK afeta as tarefas criadas no futuro, não as criadas no passado:

Novas tarefas: não são protegidas pela CMEK.
Tarefas pré-existentes:as tarefas criadas enquanto a CMEK estava ativada permanecem. e continuará em execução enquanto a chave do Cloud KMS permanece ativa.

API

Para desativar a CMEK, chame o método Update CMEK config e limpe a chave do Cloud KMS substituindo-a por uma string vazia. O A API Cloud Tasks fornece o método Update CMEK config nas bibliotecas REST e RPCs:

REST: use o método updateCmekConfig.
RPC::use o método UpdateCmekConfigRequest.

gcloud

Para desativar a CMEK usando a Google Cloud CLI, use o seguinte comando:

gcloud tasks cmek-config update --location=LOCATION --clear-kms-key

Substitua:

LOCATION: a região do seu recurso do Cloud Tasks.

Remover o Cloud KMS

Se quiser revogar o acesso de dados às suas tarefas, você pode remover no Cloud KMS. Há três maneiras de fazer isso:

Desative a chave de criptografia gerenciada pelo cliente. Desativar uma chave CMEK suspende o acesso a todos os dados protegidos por a versão enquanto a chave está desativada. Não é possível acessar ou criar tarefas com uma chave desativada. Tentar executar uma tarefa protegida pela CMEK enquanto a chave está desativada resulta em um erro UNKNOWN no Cloud Logging. Você pode reative a chave mais tarde, se quiser. Quando você desativa uma chave de criptografia gerenciada pelo cliente, pode levar até cinco minutos para que a mudança seja aplicada.
Destruir os componentes gerenciados chave de criptografia de dados. Destruir uma chave CMEK suspende permanentemente o acesso a todos os dados protegida por essa versão da chave. Não é possível acessar ou criar tarefas com uma chave que foi destruída. Se uma tarefa tiver sido criada enquanto a CMEK estava ativada e a chave é depois destruída, a tarefa é criptografada com sua chave, mas não pode ser executada. Se a tarefa tentar ser executada, o Cloud Logging vai registrar um erro UNKNOWN. Quando você destruir uma chave de criptografia gerenciada pelo cliente, pode levar até cinco minutos para a alteração a ser aplicada.
Revogue o cloudkms.cryptoKeyEncrypterDecrypterPapel do IAM no Agente de serviço do Cloud Tasks. Isso afeta todas as tarefas no projeto do Google Cloud que oferecem suporte à criptografia usando CMEK. Não é possível criar novas tarefas integradas a CMEK nem acessar recursos criptografados por CMEK.

Embora nenhuma dessas operações garanta a revogação do acesso instantâneo, as alterações do IAM geralmente entram em vigor mais rapidamente. Para mais informações, consulte Consistência de recursos do Cloud KMS e Propagação da alteração de acesso.

Preços

Essa integração não gera custos adicionais além das operações principais, que são faturadas no seu projeto do Google Cloud. Para os preços atuais consulte Preços do Cloud KMS.