Cloud KMS Autokey semplifica la creazione e l'utilizzo delle chiavi di crittografia gestite dal cliente (CMEK) automatizzando il provisioning e l'assegnazione. Con Autokey, le chiavi e le chiavi automatizzate vengono generate on demand. I service account che utilizzano le chiavi per criptare e decriptare le risorse vengono creati e ricevono i ruoli IAM (Identity and Access Management) quando necessario. Gli amministratori di Cloud KMS mantengono il pieno controllo e la visibilità sulle chiavi create da Autokey, senza la necessità di pianificare e creare in anticipo ogni risorsa.
L'utilizzo delle chiavi generate da Autokey può aiutarti ad allinearti costantemente agli standard di settore e alle pratiche consigliate per la sicurezza dei dati, tra cui il livello di protezione Multi-tenant Cloud HSM, la separazione dei compiti, rotazione della chiave, la località e la specificità delle chiavi. Autokey crea chiavi che seguono sia le linee guida generali sia quelle specifiche per il tipo di risorsa per Google Cloud i servizi che si integrano con Cloud KMS Autokey. Una volta create, le chiavi richieste tramite Autokey funzionano in modo identico alle altre chiavi Cloud HSM con le stesse impostazioni.
Autokey può anche semplificare l'utilizzo di Terraform per la gestione delle chiavi, eliminando la necessità di eseguire l'infrastruttura come codice con privilegi di creazione delle chiavi elevati.
Puoi utilizzare Autokey con un modello di gestione delle chiavi centralizzato (disponibilità generale) o un modello di gestione delle chiavi delegato (anteprima). Per utilizzare il modello di gestione delle chiavi centralizzato, devi disporre di una risorsa organizzazione che contenga una risorsa cartella. Nel modello centralizzato, Autokey è abilitato per i progetti all'interno di una cartella e le chiavi create da Autokey vengono create in un progetto chiave dedicato per quella cartella. Con il modello di gestione delle chiavi delegato, la gestione delle chiavi viene delegata agli amministratori del progetto, che possono abilitare Autokey su una cartella o un progetto per consentire ad Autokey di creare chiavi nello stesso progetto delle risorse che proteggono.
Per ulteriori informazioni sulle risorse organizzazione e cartella, consulta Gerarchia delle risorse.
Cloud KMS Autokey è disponibile in tutte le Google Cloud località in cui Cloud HSM è disponibile. Per ulteriori informazioni sulle località Cloud KMS, consulta Località Cloud KMS. Non sono previsti costi aggiuntivi per l'utilizzo di Cloud KMS Autokey. Le chiavi create utilizzando Autokey hanno lo stesso prezzo di tutte le altre chiavi Cloud HSM. Per ulteriori informazioni sui prezzi, consulta Prezzi di Cloud Key Management Service.
Come funziona Autokey
In questa sezione viene spiegato come funziona Cloud KMS Autokey. I seguenti ruoli utente partecipano a questo processo:
- Amministratore
- L'amministratore è un utente responsabile della gestione della sicurezza a livello di cartella o organizzazione.
- Sviluppatore Autokey
- Lo sviluppatore Autokey è un utente responsabile della creazione di risorse utilizzando Cloud KMS Autokey.
- Amministratore Cloud KMS
- L'amministratore Cloud KMS è un utente responsabile della gestione delle risorse Cloud KMS. Questo ruolo ha meno responsabilità quando si utilizzano le chiavi create manualmente rispetto a quando si utilizza Autokey.
Anche i seguenti service agent partecipano a questo processo:
- Service agent Cloud KMS
- Il service agent per Cloud KMS in un determinato progetto chiave. Autokey dipende da questo service agent che dispone di privilegi elevati per creare chiavi e chiavi automatizzate Cloud KMS e per impostare la policy IAM sulle chiavi, concedendo le autorizzazioni di crittografia e decrittografia per ogni service agent delle risorse.
- Service agent delle risorse
- Il service agent per un determinato servizio in un determinato progetto di risorse. Questo service agent deve disporre delle autorizzazioni di crittografia e decrittografia su qualsiasi chiave Cloud KMS prima di poter utilizzare la chiave per la protezione CMEK su una risorsa. Autokey crea il service agent delle risorse quando necessario e gli concede le autorizzazioni necessarie per utilizzare la chiave Cloud KMS.
L'amministratore abilita Cloud KMS Autokey
L'abilitazione di Autokey segue uno dei seguenti percorsi in base al modello di gestione delle chiavi scelto:
- Modello di gestione delle chiavi centralizzato: abilita Autokey su una cartella. Viene creato un progetto chiave centralizzato per contenere le chiavi che proteggono le risorse create in altri progetti all'interno della cartella.
- Modello di gestione delle chiavi delegato (anteprima): puoi abilitare Autokey su singoli progetti o su tutti i progetti all'interno di una cartella per utilizzare Autokey nello stesso progetto.
Abilitare la gestione delle chiavi centralizzata
Prima di poter utilizzare Autokey per la gestione delle chiavi centralizzata in una cartella, un amministratore deve completare le seguenti attività di configurazione una tantum:
Abilita Cloud KMS Autokey su una cartella e identifica il progetto Cloud KMS che conterrà le risorse Autokey per quella cartella.
Crea il service agent Cloud KMS e poi concedi al service agent i privilegi di creazione e assegnazione delle chiavi.
Una volta completata questa configurazione, gli sviluppatori che possono creare risorse compatibili con Autokey in qualsiasi progetto della cartella possono ora attivare la creazione di chiavi Multi-tenant Cloud HSM on demand. Per visualizzare le istruzioni di configurazione complete per Cloud KMS Autokey, consulta Abilitare Cloud KMS Autokey.
Abilitare la gestione delle chiavi delegata
Prima di poter utilizzare Autokey per la gestione delle chiavi delegata, un amministratore deve completare le seguenti attività di configurazione una tantum:
- Abilita Cloud KMS Autokey su un progetto o una cartella.
- Abilita l'API Cloud KMS nel progetto o nei progetti della cartella.
Quando Cloud KMS Autokey è abilitato su un progetto per la gestione delle chiavi delegata, il service agent Cloud KMS viene creato automaticamente quando necessario. Non devi creare manualmente il service agent. Qualsiasi utente con le autorizzazioni per creare una risorsa compatibile con Autokey può richiedere una nuova chiave on demand. Per visualizzare le istruzioni di configurazione complete per Cloud KMS Autokey, consulta Abilitare Cloud KMS Autokey.
Gli sviluppatori Autokey utilizzano Cloud KMS Autokey
Dopo aver abilitato correttamente Autokey per un progetto, gli sviluppatori Autokey possono creare risorse protette utilizzando le chiavi create per loro on demand. Questo vale per i progetti in una cartella in cui Autokey è abilitato per la gestione delle chiavi centralizzata e per i progetti in cui Autokey è abilitato per la gestione delle chiavi delegata nello stesso progetto. I dettagli della procedura di creazione delle risorse dipendono dalla risorsa che stai creando, ma la procedura segue questo flusso:
Lo sviluppatore Autokey inizia a creare una risorsa in un servizio compatibile Google Cloud . Durante la creazione della risorsa, lo sviluppatore richiede una nuova chiave al service agent Autokey.
Il service agent Autokey riceve la richiesta dello sviluppatore e completa i seguenti passaggi:
- Crea una chiave automatizzata nel progetto nella località selezionata, a meno che non esista già.
- Crea una chiave nella chiave automatizzata con la granularità appropriata per il tipo di risorsa, a meno che non esista già una chiave di questo tipo.
- Crea il account di servizio per progetto e per servizio, a meno che non esista già.
- Concedi al account di servizio per progetto e per servizio le autorizzazioni di crittografia e decrittografia sulla chiave.
- Fornisci i dettagli della chiave allo sviluppatore in modo che possa completare la creazione della risorsa.
Una volta che il service agent Autokey ha restituito correttamente i dettagli della chiave, lo sviluppatore può completare immediatamente la creazione della risorsa protetta.
Cloud KMS Autokey crea chiavi con gli attributi descritti nella sezione successiva. Questo flusso di creazione delle chiavi preserva la separazione dei compiti. L'amministratore Cloud KMS continua ad avere piena visibilità e controllo sulle chiavi create da Autokey.
Per iniziare a utilizzare Autokey dopo averlo abilitato, consulta Creare risorse protette utilizzando Cloud KMS Autokey.
Informazioni sulle chiavi create da Autokey
Le chiavi create da Cloud KMS Autokey hanno i seguenti attributi:
- Livello di protezione: HSM.
- Algoritmo: AES-256 GCM.
Periodo di rotazione: un anno.
Dopo che una chiave è stata creata da Autokey, un amministratore Cloud KMS può modificare il periodo di rotazione rispetto al valore predefinito.
- Separazione dei compiti:
- Al account di servizio del servizio vengono concesse automaticamente le autorizzazioni di crittografia e decrittografia sulla chiave.
- Le autorizzazioni di amministratore Cloud KMS si applicano come di consueto alle chiavi create da Autokey. Gli amministratori Cloud KMS possono visualizzare, aggiornare, abilitare o disabilitare ed eliminare le chiavi create da Autokey. Gli amministratori Cloud KMS non ricevono le autorizzazioni di crittografia e decrittografia.
- Gli sviluppatori Autokey possono solo richiedere la creazione e l'assegnazione delle chiavi. Non possono visualizzare o gestire le chiavi.
- Specificità o granularità della chiave: le chiavi create da Autokey hanno una granularità che varia in base al tipo di risorsa. Per dettagli specifici del servizio sulla granularità delle chiavi, consulta Servizi compatibili in questa pagina.
Località: Autokey crea le chiavi nella stessa località della risorsa da proteggere.
Se devi creare risorse protette da CMEK in località in cui Cloud HSM non è disponibile, devi creare manualmente la CMEK.
- Stato della versione della chiave: le chiavi appena create richieste tramite Autokey vengono create come versione della chiave primaria nello stato abilitato.
- Denominazione della chiave automatizzata: tutte le chiavi create da Autokey vengono create in una
chiave automatizzata denominata
autokeynel progetto Autokey nella località selezionata. Le chiavi automatizzate nel progetto Autokey vengono create quando uno sviluppatore Autokey richiede la prima chiave in una determinata località. - Denominazione della chiave: le chiavi create da Autokey seguono questa convenzione di denominazione:
PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX - Esportazione delle chiavi: come tutte le chiavi Cloud KMS, le chiavi create da Autokey non possono essere esportate.
- Monitoraggio delle chiavi: come tutte le chiavi Cloud KMS utilizzate nei servizi integrati CMEK compatibili con il monitoraggio delle chiavi, le chiavi create da Autokey vengono monitorate nella dashboard Cloud KMS.
Applicare Autokey
Se vuoi applicare l'utilizzo di Autokey all'interno di una cartella o di un progetto, puoi farlo combinando i controlli di accesso IAM con le policy dell'organizzazione CMEK. Questa operazione consiste nel rimuovere le autorizzazioni di creazione delle chiavi dalle entità diverse dal service agent Autokey e quindi richiedere che tutte le risorse siano protette da CMEK utilizzando il progetto chiave Autokey. Per istruzioni dettagliate sull'applicazione forzata dell'utilizzo di Autokey, consulta Applicare in modo forzato l'utilizzo di Autokey.
Servizi compatibili
La tabella seguente elenca i servizi compatibili con Cloud KMS Autokey:
| Servizio | Risorse protette | Granularità della chiave |
|---|---|---|
| Artifact Registry |
Autokey crea le chiavi durante la creazione del repository, utilizzate per tutti gli artefatti archiviati. |
Una chiave per risorsa |
| BigQuery |
Autokey crea le chiavi predefinite per i set di dati. Le tabelle, i modelli, query e tabelle temporanee all'interno di un set di dati utilizzano la chiave predefinita del set di dati. Autokey non crea chiavi per le risorse BigQuery diverse dai set di dati. Per proteggere le risorse che non fanno parte di un set di dati, devi creare le tue chiavi predefinite a livello di progetto o organizzazione. |
Una chiave per risorsa |
| Bigtable |
Autokey crea le chiavi per i cluster. Autokey non crea chiavi per le risorse Bigtable diverse dai cluster. Bigtable è compatibile con Cloud KMS Autokey solo quando si creano risorse utilizzando Terraform o Google Cloud SDK. |
Una chiave per cluster |
| AlloyDB per PostgreSQL |
AlloyDB per PostgreSQL è compatibile con Cloud KMS Autokey solo quando si creano risorse utilizzando Terraform o l'API REST. |
Una chiave per risorsa |
| Cloud Run |
|
Una chiave per località all'interno di un progetto |
| Cloud SQL |
Autokey non crea chiavi per le risorse
Cloud SQL è compatibile con Cloud KMS Autokey solo quando si creano risorse utilizzando Terraform o l'API REST. |
Una chiave per risorsa |
| Cloud Storage |
Gli oggetti all'interno di un
bucket di archiviazione utilizzano la chiave predefinita del bucket. Autokey non crea
chiavi per le risorse |
Una chiave per bucket |
| Compute Engine |
Gli snapshot utilizzano la chiave del disco di cui stai creando uno snapshot.
Autokey non crea chiavi per le risorse |
Una chiave per risorsa |
| Pub/Sub |
|
Una chiave per risorsa |
| Secret Manager |
Secret Manager è compatibile con Cloud KMS Autokey solo quando si creano risorse utilizzando Terraform o l'API REST. |
Una chiave per località all'interno di un progetto |
| Secure Source Manager |
|
Una chiave per risorsa |
| Spanner |
Spanner è compatibile con Cloud KMS Autokey solo quando si creano risorse utilizzando Terraform o l'API REST. |
Una chiave per risorsa |
| Dataflow |
|
Una chiave per risorsa |
| Dataproc |
|
Per le risorse Cluster, SessionTemplate e WorkflowTemplate risorse: una chiave per risorsa Per le risorse Batch e Session: una chiave per località all'interno di un progetto |
Limitazioni
- L'gcloud CLI non è disponibile per le risorse Autokey.
- Gli handle delle chiavi non sono presenti in Cloud Asset Inventory.
Passaggi successivi
- Per iniziare a utilizzare Cloud KMS Autokey, un amministratore deve abilitare Cloud KMS Autokey.
- Per utilizzare Cloud KMS Autokey dopo averlo abilitato, uno sviluppatore può creare risorse protette da CMEK utilizzando Autokey.
- Scopri di più sulle best practice di CMEK.