Questo documento spiega come configurare le chiavi di crittografia gestite dal cliente (CMEK) per Pub/Sub.
Pub/Sub cripta i messaggi con Chiavi di proprietà di Google e gestite da Google per impostazione predefinita. Non è richiesta alcuna configurazione aggiuntiva per utilizzare le chiavi di crittografia gestite da Google.
Informazioni su CMEK
Le CMEK sono chiavi di crittografia di tua proprietà gestite e archiviate in Cloud Key Management Service (Cloud KMS). Se hai bisogno di un maggiore controllo chiavi di crittografia utilizzate per proteggere Pub/Sub dati, puoi usare le CMEK. Alcune organizzazioni impongono inoltre l'uso di CMEK.
Le CMEK ti offrono il controllo completo sulle tue chiavi di crittografia, consentendoti di gestirne ciclo di vita, rotazione e accesso. Quando configuri Pub/Sub con una CMEK, il servizio cripta automaticamente tutti i dati utilizzando la chiave specificata. Utilizzo di Cloud KMS per CMEK potrebbe comportare costi aggiuntivi a seconda dei pattern di utilizzo.
Ogni messaggio viene criptato nei seguenti stati e livelli:
-
- Livello hardware
- Livello infrastruttura
- Livello di applicazione
A livello di applicazione, Pub/Sub cripta individualmente i messaggi in entrata i messaggi non appena vengono ricevuti. Questa implementazione aggiunge le seguenti funzionalità:
- Mantiene i messaggi criptati sui link interni dei data center
- Abilita le chiavi di crittografia gestite dal cliente (CMEK)
CMEK per Pub/Sub
Pub/Sub utilizza pattern di crittografia della busta con CMEK. In questo approccio, i messaggi non sono criptati da Cloud KMS. Cloud KMS viene invece utilizzato per criptare le chiavi di crittografia dei dati (DEK) create da Pub/Sub per ogni argomento. Queste DEK vengono archiviate solo in o con wrapping, nel modulo da Pub/Sub. Prima di archiviare una DEK, il servizio invia la DEK a Cloud KMS per essere criptata con la crittografia della chiave (KEK) specificata nell'argomento. Viene generata una nuova DEK per ogni argomento ogni sei ore circa.
Prima di pubblicare i messaggi in una sottoscrizione, Pub/Sub li cripta utilizzando la DEK più recente generata per l'argomento. Pub/Sub decripta i messaggi poco prima che vengano consegnati agli abbonati.
Prima di iniziare
Puoi configurare CMEK per Pub/Sub utilizzando il console Google Cloud o Google Cloud CLI.
Completa le seguenti attività:
Abilita l'API Cloud KMS.
Crea un keyring e una chiave in Cloud KMS. Le chiavi e gli anelli portachiavi non possono essere eliminati.
Per istruzioni su come eseguire queste attività, consulta le Guida rapida di Cloud KMS.
Poiché le risorse Pub/Sub sono globali, consigliamo vivamente di utilizzare chiavi Cloud KMS globali per configurare le chiavi abilitate per CMEK argomenti. A seconda delle posizioni degli editori e dei sottoscrittori di un argomento, l'utilizzo di una chiave Cloud KMS a livello di regione potrebbe introdurre di dipendenze sui link di rete tra regioni.
Ruoli e autorizzazioni richiesti per configurare CMEK
Pub/Sub utilizza un agente di servizio Google Cloud per accedere a Cloud KMS. L'agente di servizio è gestito internamente Pub/Sub per ogni progetto e non è visibile la pagina Account di servizio della console Google Cloud per impostazione predefinita.
L'agente di servizio Pub/Sub ha il formato
service-${PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com
.
Pub/Sub richiede autorizzazioni specifiche per criptare e decriptare i dati utilizzando la chiave CMEK.
Completa i seguenti passaggi per configurare l'accesso richiesto:
Concedi all'agente di servizio Pub/Sub la Strumento di crittografia/decrittografia di chiavi di crittografia Cloud KMS (
roles/cloudkms.cryptoKeyEncrypterDecrypter
).gcloud kms keys add-iam-policy-binding CLOUD_KMS_KEY_NAME \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Sostituisci quanto segue:
CLOUD_KMS_KEY_NAME: il nome della chiave Cloud KMS.
Il formato della chiave è
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/CRYPTO_KEY
.Un esempio è
projects/test-project/locations/us-central1/keyRings/test-keyring/cryptoKeys/test-key
.PROJECT_NUMBER: il numero del progetto Pub/Sub.
Per saperne di più sulla concessione dei ruoli IAM, consulta Concessione di ruoli su una risorsa.
Configura un argomento con CMEK
Puoi configurare CMEK per un argomento utilizzando la console Google Cloud oppure con gcloud CLI.
Console
Per creare un argomento con CMEK:
Nella console Google Cloud, vai alla pagina Argomenti di Pub/Sub.
Fai clic su Crea argomento.
Inserisci un ID per l'argomento nel campo ID argomento.
Per ulteriori informazioni sull'assegnazione dei nomi agli argomenti, consulta le linee guida per l'assegnazione dei nomi.
In Crittografia, fai clic su Chiave Cloud KMS.
Seleziona il tipo di chiave. Se non vedi il menu a discesa Seleziona una chiave gestita dal cliente, assicurati di aver attivato l'API Cloud KMS per il progetto.
Fai clic su Crea argomento.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
Per creare un argomento con CMEK, esegui il Comando
gcloud pubsub topics create
:gcloud pubsub topics create TOPIC_ID --topic-encryption-key=ENCRYPTION_KEY
Sostituisci quanto segue:
-
TOPIC_ID: l'ID o il nome dell'argomento.
Per ulteriori informazioni su come assegnare un nome a un argomento, consulta le linee guida per assegnare un nome a un argomento, un abbonamento, uno schema o uno snapshot.
-
ENCRYPTION_KEY: ID della CMEK da utilizzare per l'argomento.
Il formato è
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/CRYPTO_KEY
.
-
Aggiorna CMEK per un argomento
Hai la flessibilità di modificare la CMEK collegata a un Pub/Sub. Puoi utilizzare gcloud CLI per aggiornare CMEK. Tuttavia, questa modifica non è retroattiva.
I messaggi pubblicati nell'argomento prima delle modifiche alla chiave rimangono criptati con la chiave originale. Se un argomento è stato creato senza una CMEK, puoi aggiungerne uno in un secondo momento. I messaggi esistenti continuano a essere protetti con la soluzione predefinita gestita da Google la crittografia. La modifica della CMEK di un argomento non esegue nuovamente la crittografia delle pubblicazioni in precedenza messaggi. Questi messaggi continuano a essere protetti con la chiave che erano con cui è stata eseguita la crittografia originale.
Pub/Sub ha un meccanismo di memorizzazione nella cache per le chiavi che dura circa 5 minuti. L'operazione potrebbe richiedere fino a Pub/Sub per riconoscere e iniziare a utilizzare la nuova versione della chiave.
Audit log
Cloud KMS produce audit log quando le chiavi siano abilitati, disabilitati o utilizzati da Pub/Sub per criptare e decriptare messaggi. È utile per eseguire il debug dei problemi di pubblicazione o pubblicazione. la disponibilità del servizio.
Le chiavi Cloud KMS vengono collegate agli audit log per e l'argomento Pub/Sub. Pub/Sub non includere qualsiasi altra informazione relativa a Cloud KMS.
Prezzi e costi
Per le seguenti richieste Pub/Sub, l'utilizzo di CMEK comporta costi per l'accesso al servizio Cloud KMS in base ai prezzi di Pub/Sub:
Per ogni argomento che utilizza CMEK, viene criptata e archiviata una nuova DEK ogni sei ore.
La chiave viene utilizzata per decriptare le DEK ogni sei minuti. La decrittografia avviene tre volte, una per ogni zona della regione in cui viene eseguito il servizio Pub/Sub.
Ad esempio, considera un argomento con:
Almeno un abbonamento
Client publisher e abbonati nella stessa regione
Il numero di operazioni crittografiche di Cloud KMS può essere stimato come segue:
1 key access for ENCRYPT * (30 days / month * 24 hours / day) / 6 hours + 3 key accesses for DECRYPT * (30 days / month * 24 hours / day * 60 minutes / hour ) / 6 minutes = 21,720 Cloud KMS key access events
In pratica, le chiavi potrebbero essere recuperate più o meno spesso a seconda dell'accesso pattern. Utilizza questi numeri solo come stime.
Monitoraggio e risoluzione dei problemi
I problemi con l'accesso alla chiave possono avere i seguenti effetti:
Ritardi nella consegna dei messaggi
Errori di pubblicazione
Monitora gli errori di pubblicazione e di richiesta di pull utilizzando quanto segue
metriche, raggruppate per response_class
e response_code
:
topic/send_request_count
subscription/pull_request_count
subscription/streaming_pull_response_count
La risposta StreamingPull ha un valore 100%
il tasso di errori. Questo indica che lo stream è terminato, non che le richieste
falliscono. Per monitorare StreamingPull, cerca l'elemento FAILED_PRECONDITION
codice di risposta.
La pubblicazione e la consegna dei messaggi possono non riuscire con FAILED_PRECONDITION
errori per
per diversi motivi.
La chiave Cloud KMS potrebbe essere disabilitata. Per maggiori dettagli, vedi Disattivare e riattivare i tasti su questo .
Se utilizzi chiavi gestite esternamente tramite Cloud EKM, consulta consulta il riferimento errore Cloud EKM.
Per gli abbonamenti push, non è possibile rilevare direttamente le chiavi CMEK problemi di recapito. Invece:
Monitora dimensioni ed età del backlog di una sottoscrizione push utilizzando
subscription/num_unacked_messages
.Monitora
subscription/oldest_unacked_message_age
per rilevare picchi insoliti.Utilizza gli errori di pubblicazione e i log di controllo CMEK per individuare i problemi.
Disattivazione e riattivazione dei tasti
Esistono due modi per impedire a Pub/Sub di decriptare dati dei messaggi:
Opzione consigliata: disattiva la chiave Cloud KMS che hai associato all'argomento utilizzando Pub/Sub. Questo approccio interessa solo gli argomenti e le sottoscrizioni Pub/Sub che sono associati a quella chiave specifica.
Revoca il ruolo Autore crittografia/decriptazione CryptoKey Pub/Sub dall'account di servizio Pub/Sub (
service-$PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com
) con o IAM. Questo approccio influisce su tutte le risorse Argomenti Pub/Sub e sottoscrizioni che contengono messaggi criptato con CMEK.
Sebbene nessuna delle due operazioni confermi la revoca immediata dell'accesso, le modifiche IAM in genere si propagano più rapidamente. Per scoprire di più, consulta Coerenza delle risorse Cloud KMS e Propagazione della modifica di accesso.
Quando Pub/Sub non può accedere a una chiave Cloud KMS, invia un messaggio
la pubblicazione e la distribuzione con StreamingPull o il pull hanno esito negativo con
FAILED_PRECONDITION
errore. L'invio dei messaggi agli endpoint push verrà interrotto. A
riprendere l'invio e la pubblicazione,
ripristinare l'accesso
Chiave Cloud KMS.
Quando la chiave Cloud KMS è accessibile a Pub/Sub, la pubblicazione è disponibile entro 12 ore e la consegna dei messaggi riprende entro 2 nell'orario lavorativo locale del TAM.
Sebbene interruzioni intermittenti inferiori a un minuto per Cloud KMS è improbabile che interrompere in modo significativo la pubblicazione e la distribuzione, l'estensione di Cloud KMS l'indisponibilità ha lo stesso effetto della revoca della chiave.