Per impostazione predefinita, Compute Engine cripta i contenuti at-rest dei clienti. Compute Engine gestisce questa crittografia per conto tuo senza che tu debba fare altro. Questa opzione è denominata crittografia gestita da Google.
Tuttavia, se hai requisiti specifici relativi alla conformità o alla località del materiale crittografico, puoi personalizzare la crittografia utilizzata da Compute Engine per le tue risorse. È possibile personalizzare la crittografia fornendo chiavi di crittografia della chiave. Le chiavi di crittografia della chiave non criptano direttamente i tuoi dati, ma criptano le chiavi generate da Google che Compute Engine utilizza per criptare i tuoi dati.
Per fornire le chiavi di crittografia della chiave sono disponibili due opzioni:
Consigliato. Utilizza Cloud Key Management Service (Cloud KMS) in Compute Engine per creare e gestire le chiavi di crittografia delle chiavi.
Le chiavi gestite da Cloud Key Management Service sono note come chiavi di crittografia gestite dal cliente (CMEK). Dopo aver creato una chiave, puoi utilizzarla come chiave di crittografia della chiave del disco.
Puoi creare CMEK direttamente oppure puoi utilizzare la chiave automatica Cloud KMS per crearle automaticamente. Per maggiori informazioni, consulta Cloud KMS con chiave automatica.
Nella maggior parte dei casi, dopo aver creato un disco criptato con CMEK, non è necessario specificare la chiave quando si lavora con il disco.
Puoi gestire le tue chiavi di crittografia all'esterno di Compute Engine e fornire la chiave ogni volta che crei o gestisci un disco. Questa opzione è nota come chiavi di crittografia fornite dal cliente (CSEK). Quando gestisci le risorse criptate con CSEK, devi sempre specificare la chiave utilizzata per criptare la risorsa.
Per ulteriori informazioni, consulta Chiavi di crittografia gestite dal cliente e Chiavi di crittografia fornite dal cliente.
Tipi di disco supportati
Questa sezione elenca i tipi di crittografia supportati per i dischi e altre opzioni di archiviazione offerte da Compute Engine.
I volumi di dischi permanenti supportano la crittografia predefinita, le CMEK e le CSEK predefinite di Google.
Google Cloud Hyperdisk supporta le CMEK e la crittografia predefinita di Google. Non puoi utilizzare le CSEK per criptare gli Hyperdisk.
I dischi SSD locali supportano solo la crittografia predefinita di Google. Non puoi utilizzare CSEK o CMEK per criptare i dischi SSD locali.
I cloni di dischi e le immagini macchina supportano la crittografia predefinita, le CMEK e le CSEK predefinite di Google.
Gli snapshot standard e gli snapshot istantanei supportano la crittografia predefinita di Google, le CMEK e le CSEK.
Cripta i dischi con chiavi di crittografia gestite dal cliente
Per saperne di più su come utilizzare le chiavi di crittografia gestite dal cliente (CMEK) per criptare i dischi e altre risorse di Compute Engine, consulta Proteggere le risorse utilizzando chiavi Cloud KMS.
Cripta i dischi con chiavi di crittografia fornite dal cliente
Per informazioni su come utilizzare le chiavi di crittografia fornite dal cliente (CSEK) per criptare i dischi e altre risorse di Compute Engine, consulta Crittografia dei dischi con chiavi di crittografia fornite dal cliente.
Visualizzare le informazioni sulla crittografia di un disco
I dischi in Compute Engine sono criptati con chiavi di crittografia gestite da Google, dal cliente o fornite dal cliente. La crittografia gestita da Google è l'impostazione predefinita.
Per visualizzare il tipo di crittografia di un disco, puoi utilizzare gcloud CLI, la console Google Cloud o l'API Compute Engine.
Console
Nella console Google Cloud, vai alla pagina Dischi.
Nella colonna Nome, fai clic sul nome del disco.
Nella tabella Proprietà, la riga Crittografia indica il tipo di crittografia: Gestita da Google, Gestita dal cliente o Fornita dal cliente.
gcloud
-
Nella console Google Cloud, attiva Cloud Shell.
Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Utilizza il comando
gcloud compute disks describe
:gcloud compute disks describe DISK_NAME \ --zone=ZONE \ --format="json(diskEncryptionKey)"
Sostituisci quanto segue:
PROJECT_ID
: il tuo ID progetto.ZONE
: la zona in cui si trova il disco.DISK_NAME
: il nome del disco.Output comando
Se l'output è
null
, il disco utilizza la crittografia gestita da Google, che è l'impostazione predefinita.In caso contrario, l'output è un oggetto JSON.
Se l'oggetto JSON contiene un campo denominato
diskEncryptionKey
, il disco è criptato. L'oggettodiskEncryptionKey
contiene informazioni che indicano se il disco è criptato tramite CMEK o CSEK:- Se la proprietà
diskEncryptionKey.kmsKeyName
è presente, il disco è criptato tramite CMEK. La proprietàkmsKeyName
indica il nome della chiave specifica utilizzata per criptare il disco:{ "diskEncryptionKey": { "kmsKeyName": "projects/my-proj/.." } }
- Se è presente la proprietà
diskEncryptionKey.sha256
, il disco è criptato con CSEK. La proprietàsha256
è l'hash SHA-256 della chiave di crittografia fornita dal cliente che protegge il disco.{ "diskEncryptionKey": { "sha256": "abcdefghijk134560459345dssfd" } }
- Se la proprietà
API
Invia una richiesta POST
al metodo compute.disks.get
.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME
Sostituisci quanto segue:
PROJECT_ID
: il tuo ID progetto.ZONE
: la zona in cui si trova il disco.DISK_NAME
: il nome del disco
Richiedi risposta
Se la risposta è null
, il disco utilizza la crittografia gestita da Google, che è l'impostazione predefinita.
In caso contrario, la risposta è un oggetto JSON.
Se l'oggetto JSON contiene un campo denominato diskEncryptionKey
, il disco è criptato.
L'oggetto diskEncryptionKey
contiene informazioni che indicano se il disco è criptato tramite CMEK o CSEK:
- Se la proprietà
diskEncryptionKey.kmsKeyName
è presente, il disco è criptato tramite CMEK. La proprietàkmsKeyName
indica il nome della chiave specifica utilizzata per criptare il disco:{ "diskEncryptionKey": { "kmsKeyName": "projects/my-proj/.." } }
- Se è presente la proprietà
diskEncryptionKey.sha256
, il disco è criptato con CSEK. La proprietàsha256
è l'hash SHA-256 della chiave di crittografia fornita dal cliente che protegge il disco.{ "diskEncryptionKey": { "sha256": "abcdefghijk134560459345dssfd" } }
Se il disco utilizza la crittografia CMEK, puoi trovare informazioni dettagliate sulla chiave, sul keyring e sulla posizione seguendo i passaggi descritti in Visualizzare le chiavi per progetto.
Se il disco utilizza la crittografia CSEK, contatta l'amministratore della tua organizzazione per informazioni dettagliate sulla chiave. Con CMEK, puoi anche vedere le risorse protette dalla chiave con il monitoraggio dell'utilizzo. Per maggiori informazioni, consulta Visualizzare l'utilizzo delle chiavi.
Passaggi successivi
- Per scoprire come automatizzare la creazione di CMEK, vedi Cloud KMS con Autokey (anteprima).
- Per scoprire come creare CMEK, vedi Creare chiavi di crittografia con Cloud KMS.
- Cripta un disco con chiavi di crittografia gestite dal cliente (CMEK).
- Scopri di più sul formato e sulle specifiche per le CSEK.