Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Cloud de Confiance by S3NS. Per maggiori dettagli, consulta Differenze rispetto a Google Cloud.

Questa pagina è stata tradotta dall'API Cloud Translation.

Cloud External Key Manager

Questa pagina fornisce una panoramica di Cloud External Key Manager (Cloud EKM).

Terminologia

External Key Manager (EKM)

Il gestore chiavi utilizzato al di fuori di Cloud de Confiance per gestire le chiavi.
Cloud External Key Manager (Cloud EKM)

Un servizio per l'utilizzo delle chiavi esterne gestite in un EKM supportato. Cloud de Confiance
Cloud EKM tramite un VPC

Una versione di Cloud EKM in cui Cloud de Confiance comunica con il tuo gestore delle chiavi esterno tramite un Virtual Private Cloud (VPC). Per ulteriori informazioni, consulta la panoramica delle reti VPC.
Gestione delle chiavi EKM da Cloud KMS

Le chiavi utilizzano la modalità di gestione EKM Cloud KMS per semplificare il processo di gestione delle chiavi esterne nel tuo partner di gestione delle chiavi esterne e in Cloud EKM. Per saperne di più, consulta Chiavi esterne coordinate e Gestione delle chiavi EKM da Cloud KMS in questa pagina.
Crypto Space

Un contenitore per le tue risorse all'interno del tuo partner esterno per la gestione delle chiavi. Il tuo spazio crittografico è identificato da un percorso univoco. Il formato del percorso Crypto Space varia a seconda del partner di gestione delle chiavi esterno, ad esempio v0/cryptospaces/YOUR_UNIQUE_PATH.
EKM gestito dal partner

Un accordo in cui il tuo EKM viene gestito per tuo conto da un partner fidato. Per saperne di più, consulta la sezione EKM gestite dal partner in questa pagina.

Panoramica

Con Cloud EKM puoi utilizzare le chiavi da te gestite in un partner di gestione delle chiavi esterne supportato per proteggere i dati in Cloud de Confiance. Puoi proteggere i dati at-rest nei servizi di integrazione CMEK supportati o chiamando direttamente l'API Cloud Key Management Service.

Cloud EKM offre diversi vantaggi:

Provenienza delle chiavi:controlli la posizione e la distribuzione delle chiavi gestite esternamente. Le chiavi gestite esternamente non vengono mai memorizzate nella cache o archiviate in Cloud de Confiance. Cloud EKM comunica invece direttamente con il partner esterno per la gestione delle chiavi per ogni richiesta.
Controllo dell'accesso:gestisci l'accesso alle chiavi gestite esternamente nel tuo gestore chiavi esterno. Non puoi utilizzare una chiave gestita esternamente in Cloud de Confiance senza prima concedere al progetto Cloud de Confiance l'accesso alla chiave nel gestore di chiavi esterne. Puoi revocare questo accesso in qualsiasi momento.
Gestione centralizzata delle chiavi:puoi gestire le chiavi e le norme di accesso da un'unica interfaccia utente, indipendentemente dal fatto che i dati che proteggono risiedano nel cloud o on-premise.

In tutti i casi, la chiave si trova sul sistema esterno e non viene mai inviata a Google.

Comunichi con il gestore delle chiavi esterne tramite Virtual Private Cloud (VPC).

Come funziona Cloud EKM

Le versioni delle chiavi Cloud EKM sono costituite da queste parti:

Materiale della chiave esterna: il materiale della chiave esterna di una chiave Cloud EKM è materiale crittografico creato e archiviato nel tuo EKM. Questo materiale non esce dal tuo EKM e non viene mai condiviso con Google.
Riferimento alla chiave: ogni versione della chiave Cloud EKM contiene un URI della chiave o un percorso della chiave. Si tratta di un identificatore univoco per il materiale della chiave esterna che Cloud EKM utilizza quando richiede operazioni crittografiche utilizzando la chiave.
Materiale della chiave interna: quando viene creata una chiave Cloud EKM simmetrica, Cloud KMS crea materiale della chiave aggiuntivo in Cloud KMS, che non esce mai da Cloud KMS. Questo materiale della chiave viene utilizzato come livello di crittografia aggiuntivo quando comunichi con il tuo EKM. Questo materiale della chiave interna non si applica alle chiavi di firma asimmetrica.

Per utilizzare le chiavi Cloud EKM, Cloud EKM invia richieste di operazioni di crittografia al tuo EKM. Ad esempio, per criptare i dati con una chiave di crittografia simmetrica, Cloud EKM cripta prima i dati utilizzando il materiale della chiave interna. I dati criptati sono inclusi in una richiesta all'EKM. EKM esegue il wrapping dei dati criptati in un altro livello di crittografia utilizzando il materiale della chiave esterna e poi restituisce il testo cifrato risultante. I dati criptati utilizzando una chiave Cloud EKM non possono essere decriptati senza il materiale della chiave esterna e quello della chiave interna.

La creazione e la gestione delle chiavi Cloud EKM richiedono modifiche corrispondenti sia in Cloud KMS sia in EKM. Le tue chiavi sono chiavi esterne coordinate, quindi queste modifiche corrispondenti vengono gestite per te utilizzando il control plane Cloud EKM. Per ulteriori informazioni, consulta Chiavi esterne coordinate in questa pagina.

Il seguente diagramma mostra come Cloud KMS si inserisce nel modello di gestione delle chiavi. Questo diagramma utilizza Compute Engine e BigQuery come due esempi; puoi anche visualizzare l'elenco completo dei servizi che supportano le chiavi Cloud EKM.

Diagramma che illustra la crittografia e la decrittografia con Cloud EKM

Puoi scoprire di più sulle considerazioni e sulle limitazioni relative all'utilizzo di Cloud EKM.

Chiavi esterne coordinate

Questa sezione fornisce una panoramica del funzionamento di Cloud EKM con le chiavi esterne coordinate.

Configura una connessione EKM, impostando la modalità di gestione EKM su Cloud KMS. Durante la configurazione, devi autorizzare il tuo EKM ad accedere alla tua rete VPC e autorizzare il account di servizio del tuo progettoCloud de Confiance ad accedere al tuo spazio di archiviazione delle chiavi nel tuo EKM. La connessione EKM utilizza il nome host di EKM e un percorso dello spazio crittografico che identifica le tue risorse all'interno di EKM.
Crea una chiave esterna in Cloud KMS. Quando crei una chiave Cloud EKM utilizzando una connessione EKM tramite VPC con la modalità di gestione EKM Cloud KMS abilitata, vengono eseguiti automaticamente i seguenti passaggi:
1. Cloud EKM invia una richiesta di creazione della chiave al tuo EKM.
2. EKM crea il materiale della chiave richiesto. Questo materiale delle chiavi esterno rimane nell'EKM e non viene mai inviato a Google.
3. Il tuo EKM restituisce un percorso della chiave a Cloud EKM.
4. Cloud EKM crea la versione della chiave Cloud EKM utilizzando il percorso della chiave fornito dall'EKM.
Le operazioni di manutenzione sulle chiavi esterne coordinate possono essere avviate da Cloud KMS. Ad esempio, le chiavi esterne coordinate utilizzate per la crittografia simmetrica possono essere ruotate automaticamente in base a una pianificazione prestabilita. La creazione di nuove versioni della chiave viene coordinata nel tuo EKM da Cloud EKM. Puoi anche attivare la creazione o l'eliminazione di versioni della chiave nell'EKM da Cloud KMS utilizzando la consoleCloud de Confiance , la CLI gcloud, l'API Cloud KMS o le librerie client Cloud KMS.

All'interno di Cloud de Confiance, la chiave viene visualizzata insieme alle altre chiavi Cloud KMS e Cloud HSM, con il livello di protezione EXTERNAL_VPC. La chiave Cloud EKM e la chiave del partner di gestione delle chiavi esterne funzionano insieme per proteggere i tuoi dati. Il materiale delle chiavi esterno non viene mai esposto a Google.

Gestione delle chiavi EKM da Cloud KMS

Le chiavi esterne coordinate sono rese possibili dalle connessioni EKM che utilizzano la gestione delle chiavi EKM da Cloud KMS. Se EKM supporta il piano di controllo Cloud EKM, puoi abilitare la gestione delle chiavi EKM da Cloud KMS per le connessioni EKM per creare chiavi esterne coordinate. Con la gestione delle chiavi EKM da Cloud KMS abilitata, Cloud EKM può richiedere le seguenti modifiche nel tuo EKM:

Crea una chiave: quando crei una chiave gestita esternamente in Cloud KMS utilizzando una connessione EKM compatibile, Cloud EKM invia la richiesta di creazione della chiave al tuo EKM. In caso di esito positivo, l'EKM crea la nuova chiave e il nuovo materiale della chiave e restituisce il percorso della chiave che Cloud EKM deve utilizzare per accedere alla chiave.
Esegui la rotazione di una chiave: quando esegui la rotazione di una chiave gestita esternamente in Cloud KMS utilizzando una connessione EKM compatibile, Cloud EKM invia la richiesta di rotazione al tuo EKM. In caso di esito positivo, il tuo EKM crea nuovo materiale della chiave e restituisce il percorso della chiave che Cloud EKM deve utilizzare per accedere alla nuova versione della chiave.
Elimina una chiave: quando elimini una versione della chiave per una chiave gestita esternamente in Cloud KMS utilizzando una connessione EKM compatibile, Cloud KMS pianifica l'eliminazione della versione della chiave in Cloud KMS. Se la versione della chiave non viene ripristinata prima della fine del periodo pianificato per l'eliminazione, Cloud EKM elimina la sua parte del materiale crittografico della chiave e invia una richiesta di eliminazione al tuo EKM.

I dati criptati con questa versione della chiave non possono essere decriptati dopo l'eliminazione della versione della chiave in Cloud KMS, anche se EKM non ha ancora eliminato la versione della chiave. Puoi verificare se EKM ha distrutto correttamente la versione della chiave visualizzando i dettagli della chiave in Cloud KMS.

Quando le chiavi nel tuo EKM vengono gestite da Cloud KMS, il materiale della chiave risiede ancora nel tuo EKM. Google non può effettuare richieste di gestione delle chiavi al tuo EKM senza un'autorizzazione esplicita. Google non può modificare le autorizzazioni nel sistema del tuo partner esterno per la gestione delle chiavi. Se revochi le autorizzazioni di Google nel tuo EKM, le operazioni di gestione delle chiavi tentate in Cloud KMS non vanno a buon fine.

Compatibilità

Gestori delle chiavi supportati

Puoi archiviare le chiavi esterne nei seguenti sistemi di partner esterni per la gestione delle chiavi:

Supportati oggi:
- Fortanix
- Futurex
- Thales

Servizi che supportano CMEK con Cloud EKM

I seguenti servizi supportano l'integrazione con Cloud KMS per le chiavi esterne (Cloud EKM):

Agent Assist
AlloyDB per PostgreSQL
Hub API Apigee
Application Integration
Artifact Registry
Backup per GKE
BigQuery
Bigtable
Cloud Composer
Cloud Data Fusion
API Cloud Healthcare
Cloud Logging: Dati nel router di logging e Dati nell'archivio Logging
Cloud Run
Cloud Run Functions
Cloud SQL
Cloud Storage
Cloud Tasks
Cloud Workstations
Compute Engine: Dischi permanenti, Snapshot, Immagini personalizzate, e immagini macchina
Conversational Insights
Database Migration Service: Migrazioni MySQL - Dati scritti nei database, Migrazioni PostgreSQL - Dati scritti nei database, Migrazioni da PostgreSQL ad AlloyDB - Dati scritti nei database, Migrazioni SQL Server - Dati scritti nei database, e dati Oracle a PostgreSQL a riposo
Dataflow
Dataform
Dataplex Universal Catalog
Dataproc: Dati dei cluster Dataproc sui dischi VM e dati di Dataproc serverless sui dischi VM
Dataproc Metastore
Dialogflow CX
Document AI
Eventarc Advanced (anteprima)
Eventarc Standard
Filestore
Firestore
Google Cloud Managed Service per Apache Kafka
Google Cloud NetApp Volumes
Google Distributed Cloud
Google Kubernetes Engine: Dati sui dischi VM e secret a livello di applicazione
Integration Connectors
Looker (Google Cloud core)
Memorystore for Redis
Memorystore for Redis Cluster
Memorystore for Valkey
Migrate to Virtual Machines: Dati di cui è stata eseguita la migrazione da origini VM VMware, AWS e Azure e Dati di cui è stata eseguita la migrazione da origini di immagini macchina e dischi
Parameter Manager
Pub/Sub
Secret Manager
Secure Source Manager
Spanner
Speaker ID (GA con limitazioni)
Speech-to-Text
Vertex AI
Istanze Vertex AI Workbench
Workflows
Workload Manager

Considerazioni

Quando utilizzi una chiave Cloud EKM, Google non ha alcun controllo sulla disponibilità della chiave gestita esternamente nel sistema del partner di gestione delle chiavi esterne. Se perdi le chiavi gestite al di fuori di Cloud de Confiance, Google non potrà recuperare i tuoi dati.
Esamina le linee guida relative a partner esterni per la gestione delle chiavi e regioni quando scegli le posizioni per le chiavi Cloud EKM.
La comunicazione con un servizio esterno su internet può causare problemi di affidabilità, disponibilità e latenza. Per le applicazioni con bassa tolleranza a questi tipi di rischi, valuta la possibilità di utilizzare Cloud HSM o Cloud KMS per archiviare il materiale delle chiavi.
- Se una chiave esterna non è disponibile, Cloud KMS restituisce un errore FAILED_PRECONDITION e fornisce i dettagli nell'errore PreconditionFailure.
  
  Abilita la registrazione degli audit log di accesso ai dati per mantenere un record di tutti gli errori relativi a Cloud EKM. I messaggi di errore contengono informazioni dettagliate per aiutarti a individuare l'origine dell'errore. Un esempio di errore comune si verifica quando un partner esterno di gestione delle chiavi non risponde a una richiesta entro un periodo di tempo ragionevole.
- Devi disporre di un contratto di assistenza con il partner esterno per la gestione delle chiavi. L'assistenzaCloud de Confiance può aiutarti solo con i problemi relativi ai serviziCloud de Confiance e non può fornire assistenza diretta per i problemi relativi ai sistemi esterni. A volte, devi collaborare con l'assistenza di entrambe le parti per risolvere i problemi di interoperabilità.
Cloud EKM può essere utilizzato con Bare Metal Rack HSM per creare una soluzione HSM single-tenant integrata con Cloud KMS. Per saperne di più, scegli un partner Cloud EKM che supporti gli HSM a tenant singolo e consulta i requisiti per gli HSM Bare Metal Rack.
Abilita l'audit logging nel tuo gestore chiavi esterno per acquisire l'accesso e l'utilizzo delle tue chiavi EKM.

Attenzione: quando utilizzi le chiavi Cloud EKM, esiste il rischio che la chiave diventi non disponibile. A seconda dei servizi che utilizzi, ciò può causare errori irreversibili o dati inaccessibili. Ad esempio, se utilizzi una chiave CMEK esterna per criptare i secret a livello di applicazione di Google Kubernetes Engine, i tuoi nodi potrebbero diventare non disponibili se non riescono a decriptare i secret. L'impossibilità di accedere alla chiave esterna può anche causare la perdita permanente di dati. Ad esempio, se la chiave CMEK utilizzata per criptare un database Spanner rimane non disponibile per più di 30 giorni consecutivi, Spanner elimina automaticamente il database. Quando la versione della chiave corrente non è disponibile, non puoi recuperare i dati eseguendo la rotazione a una nuova versione della chiave. Per una migliore disponibilità, valuta la possibilità di utilizzare chiavi Cloud EKM tramite VPC o Cloud HSM.

Limitazioni

Quando crei una chiave Cloud EKM utilizzando l'API o Google Cloud CLI, non deve avere una versione iniziale della chiave. Ciò non si applica alle chiavi Cloud EKM create utilizzando la consoleCloud de Confiance .
Le operazioni Cloud EKM sono soggette a quote specifiche oltre alle quote per le operazioni Cloud KMS.

Chiavi di crittografia simmetrica

Le chiavi di crittografia simmetrica sono supportate solo per quanto segue:
- Chiavi di crittografia gestite dal cliente (CMEK) nei servizi di integrazione supportati.
- Crittografia e decrittografia simmetriche utilizzando Cloud KMS direttamente.
I dati criptati da Cloud EKM utilizzando una chiave gestita esternamente non possono essere decriptati senza utilizzare Cloud EKM.

Chiavi di firma asimmetriche

Le chiavi di firma asimmetriche sono limitate a un sottoinsieme di algoritmi Cloud KMS.
Le chiavi di firma asimmetriche sono supportate solo per i seguenti casi d'uso:
- Firma asimmetrica utilizzando Cloud KMS direttamente.
- Chiave di firma personalizzata con Approvazione accesso.
Una volta impostato un algoritmo di firma asimmetrica su una chiave Cloud EKM, non può essere modificato.
La firma deve essere apposta nel campo data.

EKM gestito dal partner

EKM gestito dal partner ti consente di utilizzare Cloud EKM tramite un partner sovrano attendibile che gestisce il tuo sistema EKM. Con EKM gestito dal partner, il partner crea e gestisce le chiavi che utilizzi in Cloud EKM. Il partner garantisce che la tua EKM sia conforme ai requisiti di sovranità.

Quando esegui l'onboarding con il tuo partner sovrano, quest'ultimo esegue il provisioning delle risorse in Cloud de Confiance e nel tuo EKM. Queste risorse includono un progetto Cloud KMS per gestire le chiavi Cloud EKM e una connessione EKM configurata per la gestione delle chiavi EKM da Cloud KMS. Il partner crea risorse nelle posizioni Cloud de Confiance in base ai requisiti di residenza dei dati.

Ogni chiave Cloud EKM include metadati Cloud KMS, che consentono a Cloud EKM di inviare richieste al tuo EKM per eseguire operazioni di crittografia utilizzando il materiale della chiave esterna che non esce mai dal tuo EKM. Le chiavi Cloud EKM simmetriche includono anche il materiale delle chiavi interno di Cloud KMS che non esce mai da Cloud de Confiance. Per saperne di più sui lati interno ed esterno delle chiavi Cloud EKM, consulta Come funziona Cloud EKM in questa pagina.

Per saperne di più su EKM gestito dal partner, consulta Configura Cloud KMS gestito dal partner.

Passaggi successivi

Inizia a utilizzare l'API.
Crea una connessione EKM per utilizzare EKM tramite VPC.
Leggi il riferimento dell'API Cloud KMS.
Scopri di più su Logging in Cloud KMS. La registrazione si basa sulle operazioni e si applica alle chiavi con livelli di protezione HSM e software.