Usar chaves de criptografia gerenciadas pelo cliente

Por padrão, o Cloud Tasks criptografa o conteúdo do cliente em repouso. O Cloud Tasks processa a criptografia para você sem que você precise fazer nada. Essa opção é chamada de Criptografia padrão do Google.

Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo o Cloud Tasks. O uso de chaves do Cloud KMS permite controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. O uso do Cloud KMS também permite visualizar registros de auditoria e controlar ciclos de vida importantes. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.

Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos do Cloud Tasks é semelhante à criptografia padrão do Google. Para mais informações sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

O que é protegido com a CMEK

Quando você ativa a CMEK no Cloud Tasks, ela é ativada para uma região. Quando ativados, o corpo e o cabeçalho das tarefas criadas nessa região são protegidos com sua chave em repouso. Se uma tarefa foi criada enquanto a CMEK estava ativada e a chave foi desativada posteriormente (desativando ou excluindo a chave ou desativando a CMEK), a tarefa será criptografada com sua chave, mas não poderá ser executada.

As tarefas não são protegidas com a CMEK nos seguintes casos:

  • A tarefa foi criada antes da ativação da CMEK
  • A tarefa não está na região em que a CMEK está ativada
  • A tarefa é afetada por uma limitação de compatibilidade

Limitações de compatibilidade

A integração do Cloud Tasks com a CMEK não oferece suporte ao seguinte:

  • Versões do google-gax abaixo de 4.0.0:o pacote NPM google-gax para Node.js tem suporte limitado em versões anteriores a 4.0.0. Para essas versões, a CMEK só é compatível com a região us-central1. Mesmo que você tenha apenas tarefas nessa região, é recomendável fazer upgrade para a versão 4.0.0 ou mais recente.

  • Serviço de fila de tarefas integrado do App Engine:as tarefas criadas usando o serviço de fila de tarefas integrado do App Engine não são protegidas pela CMEK, mesmo que estejam em uma região em que ela está ativada. Ativar a CMEK não impede a criação ou operação (por exemplo, execução ou exclusão) dessas tarefas.

  • Filas de extração:se você ativar a CMEK, poderá criar e executar tarefas em filas de extração, mas elas não serão protegidas pela CMEK. As filas pull são incomuns. Para verificar se a fila é de extração, execute o seguinte comando da CLI gcloud no terminal:

    gcloud tasks queues describe QUEUE_NAME

    Substitua QUEUE_NAME pelo nome da sua fila.

    Se o type listado for pull, sua fila será de extração. Se o type listado for push, essa limitação não vai afetar as tarefas na sua fila.

  • Roteamento no nível da fila:quando a CMEK está ativada, não é possível aplicar o roteamento no nível da fila. Além disso, se o roteamento no nível da fila estiver ativado, não será possível ativar a CMEK. Para verificar se você ativou o roteamento no nível da fila, faça o seguinte:

    1. Execute o seguinte comando da CLI gcloud no terminal: 

      gcloud tasks queues describe QUEUE_NAME
       Substitua QUEUE_NAME pelo nome da sua fila.

    2. Na saída, procure o campo httpTarget e verifique se o uriOverride foi definido. Se um host for especificado, sua fila terá o roteamento no nível da fila ativado e não será compatível com a CMEK. Para remover o roteamento no nível da fila, consulte Atualizar ou remover o roteamento no nível da fila. Se a saída não mostrar uriOverride com um host especificado, sua fila não usará o roteamento no nível da fila.

  • TTL da tarefa:quando a CMEK está ativada, não é possível definir task_ttl para mais de 60 dias. Além disso, se você tiver um task_ttl definido como maior que 60 dias, não será possível ativar a CMEK.

Antes de começar

Antes de usar a CMEK no Cloud Tasks, conclua as etapas a seguir:

  1. Ative as APIs.

    Console

    1. Enable the Cloud KMS and Cloud Tasks APIs.

      Enable the APIs

    gcloud

    1. In the Google Cloud console, activate Cloud Shell.

      Activate Cloud Shell

      At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    2. Defina seu projeto padrão. Esse é o projeto que contém os recursos do Cloud Tasks que você quer proteger com CMEK. Se você precisar executar um comando em um projeto diferente, como o projeto que contém seus recursos do Cloud KMS, esta página incluirá a flag --project no comando da CLI gcloud e informará qual projeto especificar.

      gcloud config set project PROJECT_ID

      Substitua PROJECT_ID pelo ID do projeto que contém seus recursos do Cloud Tasks.

    3. Atualize os componentes gcloud. 

      gcloud components update

    4. Ative as APIs Cloud KMS e Cloud Tasks para o projeto que vai armazenar as chaves de criptografia. 

      gcloud services enable cloudkms.googleapis.com cloudtasks.googleapis.com \
    --project=PROJECT_ID

      Substitua PROJECT_ID pelo ID do projeto que vai armazenar suas chaves de criptografia. Pode ser o mesmo projeto dos recursos do Cloud Tasks, mas, para limitar o acesso às chaves do Cloud KMS, considere configurar o Cloud KMS em um projeto separado.

  2. O Cloud KMS produz registros de auditoria do Cloud quando as chaves são ativadas, desativadas ou usadas por recursos do Cloud Tasks para criptografar e descriptografar dados. Verifique se a geração de registros está ativada para a API Cloud KMS no seu projeto e se você decidiu quais permissões e papéis específicos de geração de registros se aplicam ao seu caso de uso. Para mais informações, consulte Informações sobre registros de auditoria do Cloud KMS.

  3. Receba papéis do Identity and Access Management.

    Para receber as permissões necessárias para usar a CMEK com o Cloud Tasks, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:

    • Ative ou desative a CMEK: roles/cloudtasks.admin
    • Ver a chave em uso: roles/cloudtasks.viewer

    Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

    Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Criar um keyring e uma chave do Cloud KMS

Se você já tiver um keyring na mesma região dos recursos do Cloud Tasks e quiser usar essa chave e esse keyring, pule esta seção. Caso contrário, use estas instruções para criar sua chave e keyring do Cloud KMS.

  1. Crie um keyring.

  2. Crie uma chave para um keyring especificado.

Recuperar o ID de uma chave do Cloud KMS

O ID do recurso de uma chave do Cloud KMS é necessário ao ativar a CMEK para o Cloud Tasks.

Console

  1. No console Google Cloud , acesse a página Gerenciamento de chaves e selecione a guia Inventário de chaves.

    Acessar o inventário de chaves

  2. Na chave referente ao ID de recurso que está sendo recuperado, clique em Ações.

  3. Clique em Copiar nome do recurso.

    O ID do recurso da chave é copiado para a área de transferência. O formato é semelhante a este:

    projects/PROJECT_NAME/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME

gcloud

  1. Liste todas as chaves em um determinado keyring:

    gcloud kms keys list --keyring=KEY_RING --location=LOCATION --project=PROJECT_ID

    Substitua:

    • KEY_RING: o nome do keyring;
    • LOCATION: a região do keyring
    • PROJECT_ID: o ID do projeto que contém o keyring

    A saída inclui o ID de cada chave. Exemplo:

    NAME: projects/PROJECT_NAME/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME

Conceda ao agente de serviço do Cloud Tasks acesso à chave

Conceda ao agente de serviço do Cloud Tasks o papel de Criptografador/Descriptografador de CryptoKey do Cloud KMS no Identity and Access Management (IAM) para que ele possa acessar a chave do Cloud KMS:

Console

  1. No console Google Cloud , acesse a página IAM (Identity and Access Management).

    Acessar IAM

  2. Marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google.

  3. Para encontrar a conta de serviço do Cloud Tasks, digite cloudtasks.iam.gserviceaccount.com no filtro.

    A conta de serviço do Cloud Tasks tem o formato service-PROJECT_NUMBER@gcp-sa-cloudtasks.iam.gserviceaccount.com.

  4. Clique no ícone de lápis Editar participante.

  5. No painel aberto, clique em Adicionar outro papel.

  6. Pesquise e selecione o papel Criptografador/descriptografador de CryptoKey do Cloud KMS.

  7. Clique em Salvar.

gcloud 

gcloud kms keys add-iam-policy-binding KEY_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudtasks.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Substitua:

  • KEY_ID: o ID do recurso totalmente qualificado da sua chave. Para instruções sobre como encontrar esse ID, consulte Recuperar o ID de uma chave do Cloud KMS. Não inclua um número de versão da chave. Incluir um número de versão da chave pode fazer com que esse comando falhe.

  • PROJECT_NUMBER: o número do projeto Google Cloud . Encontre o número do projeto na página Boas-vindas do console do Google Cloud ou executando o seguinte comando:

    PROJECT=$(gcloud info --format='value(config.project)')
gcloud projects describe ${PROJECT} --format="value(projectNumber)"

Desde que o agente de serviço tenha a função roles/cloudkms.cryptoKeyEncrypterDecrypter, uma tarefa na região ativada para CMEK poderá criptografar e descriptografar os dados usando a chave de CMEK. Se você revogar essa função ou desativar ou destruir a chave CMEK, esses dados não poderão ser acessados. Neste documento, consulte Desativar a CMEK para o Cloud Tasks.

Ativar a CMEK para o Cloud Tasks

É possível ativar a CMEK usando a API ou a CLI gcloud. Para o Cloud Tasks, a CMEK é ativada por região. Ela não é ativada por tarefas individuais. Quando a CMEK é ativada para uma determinada região no Cloud Tasks, todas as tarefas nessa região são protegidas por CMEK.

gcloud

Para ativar a CMEK usando a Google Cloud CLI, execute o seguinte comando:

gcloud tasks cmek-config update --location=LOCATION --kms-key-name=KEY_ID

Substitua:

  • LOCATION: a região do recurso do Cloud Tasks
  • KEY_ID: o ID do recurso totalmente qualificado da sua chave. Para instruções sobre como encontrar esse ID, consulte Recuperar o ID de uma chave do Cloud KMS. Não inclua um número de versão da chave. Incluir um número de versão da chave pode fazer com que esse comando falhe.

REST

Para ativar a CMEK, chame o método Update CMEK config. A API Cloud Tasks fornece o método Update CMEK config nas APIs REST e RPC:

Para verificar se a chave foi ativada, siga as instruções na seção Identificar a chave em uso.

Ativar para tarefas preexistentes

A CMEK não protege tarefas criadas antes da ativação dela para o Cloud Tasks. Para proteger tarefas preexistentes com a CMEK:

  1. Ative a CMEK (consulte a seção sobre como ativar a CMEK).

  2. Substitua as tarefas preexistentes. Há duas maneiras principais de fazer isso. A melhor maneira de fazer isso depende do que é importante para você:

    • Execução contínua:para garantir a execução contínua (entrega "pelo menos uma vez"), primeiro recrie a tarefa e exclua a tarefa preexistente depois de verificar se a nova funciona conforme o esperado. Isso pode resultar em execuções duplicadas, porque a tarefa antiga e a nova podem ser executadas antes de você excluir a tarefa antiga.

    • Prevenção de duplicação:para evitar execuções duplicadas ("no máximo uma vez" entrega), primeiro exclua a tarefa antiga e depois recrie-a. Isso pode resultar em execuções perdidas devido ao tempo decorrido entre a exclusão da tarefa antiga e a criação da nova.

Identificar a chave em uso

Para identificar a chave da CMEK em uso nos recursos do Cloud Tasks, execute o seguinte comando da CLI gcloud:

gcloud tasks cmek-config describe --location=LOCATION

Substitua LOCATION pela região dos seus recursos do Cloud Tasks.

Se não houver saída, a CMEK não estará configurada para o local especificado.

Aplicar uma política de CMEK da organização

O Cloud Tasks está integrado a duas restrições de política da organização para ajudar a garantir o uso de CMEK em uma organização:

  • constraints/gcp.restrictNonCmekServices é usado para exigir proteção de CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects é usado para limitar quais chaves do Cloud KMS são usadas para proteção com CMEK.

Com essa integração, é possível especificar os seguintes requisitos de conformidade de criptografia para recursos do Cloud Tasks na sua organização:

Considerações ao aplicar políticas da organização

Antes de aplicar qualquer políticas da organização de CMEK, saiba o seguinte:

Prepare-se para um atraso de propagação

Depois que você define ou atualiza uma política da organização, pode levar até 15 minutos para a nova política entrar em vigor.

Considerar os recursos atuais

Os recursos atuais não estão sujeitos às políticas da organização recém-criadas. Por exemplo, uma política da organização não é aplicada retroativamente a tarefas existentes. Esses recursos ainda podem ser acessados sem uma CMEK e, se aplicável, ainda são criptografados com as chaves atuais. Se você quiser aplicar a política a tarefas atuais, ative a CMEK para tarefas preexistentes.

Verificar as permissões necessárias para definir uma política da organização

Pode ser difícil obter a permissão para definir ou atualizar a política da organização para fins de teste. É necessário receber o papel de administrador da política da organização, que só pode ser concedido no nível da organização, não no nível do projeto ou da pasta.

Embora o papel precise ser concedido no nível da organização, ainda é possível especificar uma política que se aplica apenas a um projeto ou pasta específicos.

Exigir CMEKs para todos os novos recursos do Cloud Tasks

É possível usar a restrição constraints/gcp.restrictNonCmekServices para exigir que as CMEKs sejam usadas para proteger todos os novos recursos do Cloud Tasks em uma organização.

Se definida, essa política da organização faz com que todas as solicitações de criação de recursos sem uma chave especificada do Cloud KMS falhem.

Após definir essa política, ela será aplicada somente a novos recursos no projeto. Os recursos atuais sem as chaves do Cloud KMS aplicadas continuam existindo e podem ser acessados sem problemas.

Console

  1. No console Google Cloud , acesse a página Políticas da organização.

    Acessar as políticas da organização

  2. Usando o Filtro, pesquise a seguinte restrição:

    constraints/gcp.restrictNonCmekServices

  3. Na coluna "Nome", clique em Restringir quais serviços podem criar recursos sem CMEK.

  4. Clique em Gerenciar política.

  5. Na página Editar política, em Origem da política, selecione Substituir política principal.

  6. Em Regras, clique em Adicionar uma regra.

  7. Na lista Valores da política, selecione Personalizado.

  8. Na lista Tipo de política, selecione Negar.

  9. No campo Valores personalizados, insira o seguinte:

    is:cloudtasks.googleapis.com

  10. Clique em Concluído e em Definir política.

gcloud

  1. Crie um arquivo temporário /tmp/policy.yaml para armazenar a política:

      name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
  spec:
    rules:
    - values:
        deniedValues:
        - is:cloudtasks.googleapis.com

    Substitua PROJECT_ID pelo ID do projeto em que você está aplicando essa restrição.

  2. Execute o comando org-policies set-policy:

    gcloud org-policies set-policy /tmp/policy.yaml

Para verificar se a política foi aplicada, tente criar uma fila no projeto. O processo falhará a menos que você especifique uma chave do Cloud KMS.

Restringir chaves do Cloud KMS para um projeto do Cloud Tasks

É possível usar a restrição constraints/gcp.restrictCmekCryptoKeyProjects para restringir as chaves do Cloud KMS que podem ser usadas para proteger um recurso em um projeto do Cloud Tasks.

Por exemplo, é possível especificar uma regra semelhante a esta: "Para todos os recursos do Cloud Tasks em projects/my-company-data-project, as chaves do Cloud KMS usadas neste projeto precisam vir de projects/my-company-central-keys OU projects/team-specific-keys".

Console

  1. No console Google Cloud , acesse a página Políticas da organização.

    Acessar as políticas da organização

  2. Usando o Filtro, pesquise a seguinte restrição:

    constraints/gcp.restrictCmekCryptoKeyProjects

  3. Na coluna "Nome", clique em Restringir quais projetos podem fornecer CryptoKeys do KMS para CMEK.

  4. Clique em Gerenciar política.

  5. Na página Editar política, em Origem da política, selecione Substituir política principal.

  6. Em Regras, clique em Adicionar uma regra.

  7. Na lista Valores da política, selecione Personalizado.

  8. Na lista Tipo de política, selecione Permitir.

  9. No campo Valores personalizados, insira o seguinte:

    under:projects/KMS_PROJECT_ID

    Substitua KMS_PROJECT_ID pelo ID do projeto em que as chaves do Cloud KMS que você quer usar estão localizadas.

    Por exemplo, under:projects/my-kms-project

  10. Clique em Concluído e em Definir política.

gcloud

  1. Crie um arquivo temporário /tmp/policy.yaml para armazenar a política:

      name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
  spec:
    rules:
    - values:
        allowedValues:
        - under:projects/KMS_PROJECT_ID

    Substitua:

    • PROJECT_ID: o ID do projeto em que você está aplicando essa restrição.
    • KMS_PROJECT_ID: o ID do projeto em que as chaves do Cloud KMS que você quer usar estão localizadas.

  2. Execute o comando org-policies set-policy:

    gcloud org-policies set-policy /tmp/policy.yaml

Para verificar se a política foi aplicada, tente criar uma fila usando uma chave do Cloud KMS de um projeto diferente. O processo falhará.

Desativar a CMEK para o Cloud Tasks

É possível desativar a CMEK usando a API ou a CLI gcloud. Para o Cloud Tasks, a CMEK é desativada por região. Ela não é desativada por tarefas individuais. Quando a CMEK é desativada para uma determinada região no Cloud Tasks, as tarefas nessa região não são protegidas por ela.

A desativação da CMEK afeta as tarefas criadas no futuro, não as criadas no passado:

  • Novas tarefas:não são protegidas pela CMEK.

  • Tarefas preexistentes:as tarefas criadas enquanto a CMEK estava ativada permanecem criptografadas e continuam sendo executadas enquanto a chave do Cloud KMS estiver ativa.

gcloud

Para desativar a CMEK usando a Google Cloud CLI, use o seguinte comando:

gcloud tasks cmek-config update --location=LOCATION --clear-kms-key

Substitua:

  • LOCATION: a região do seu recurso do Cloud Tasks.

REST

Para desativar a CMEK, chame o método Update CMEK config e limpe a chave do Cloud KMS substituindo-a por uma string vazia. A API Cloud Tasks fornece o método Update CMEK config nas APIs REST e RPC:

Remover o Cloud KMS

Se quiser revogar o acesso aos dados das suas tarefas, remova o Cloud KMS. Há três maneiras de fazer isso:

  • Desative a chave de criptografia gerenciada pelo cliente. A desativação de uma chave CMEK suspende o acesso a todos os dados protegidos por ela enquanto a chave estiver desativada. Não é possível acessar nem criar tarefas com uma chave desativada. A tentativa de executar uma tarefa protegida por CMEK enquanto a chave está desativada resulta em um erro UNKNOWN no Cloud Logging. Você pode reativar a chave depois, se quiser. Quando você desativa uma chave de criptografia gerenciada pelo cliente, pode levar até 5 minutos para que a mudança seja aplicada.

  • Destrua a chave de criptografia gerenciada pelo cliente. A destruição de uma chave CMEK suspende permanentemente o acesso a todos os dados protegidos por essa versão da chave. Não é possível acessar ou criar tarefas com uma chave que foi destruída. Se uma tarefa foi criada enquanto a CMEK estava ativada e a chave foi destruída posteriormente, a tarefa será criptografada com sua chave, mas não poderá ser executada. Se a tarefa tentar ser executada, o Cloud Logging vai registrar um erro UNKNOWN. Quando você destrói uma chave de criptografia gerenciada pelo cliente, pode levar até 5 minutos para que a mudança seja aplicada.

  • Revogue o papel do IAM cloudkms.cryptoKeyEncrypterDecrypter do agente de serviço do Cloud Tasks. Isso afeta todas as tarefas no projetoGoogle Cloud que oferecem suporte à criptografia usando a CMEK. Não é possível criar novas tarefas integradas à CMEK nem acessar recursos criptografados com CMEK.

Embora nenhuma dessas operações garanta a revogação do acesso instantâneo, as mudanças do IAM geralmente entram em vigor mais rapidamente. Para mais informações, consulte Consistência de recursos do Cloud KMS e Propagação de mudanças no acesso.

Preços

Essa integração não gera custos adicionais além das operações principais, que são faturadas para seu projeto do Google Cloud . Para informações sobre os preços atuais, consulte Preços do Cloud KMS.