Com as chaves de criptografia gerenciadas pelo cliente (CMEKs, na sigla em inglês), você controla as chaves usadas para proteger seus dados do Google Cloud em repouso. Neste artigo, explicamos como configurar e gerenciar CMEKs no Ads Data Hub.
O Ads Data Hub criptografa dados em repouso usando chaves gerenciadas pelo Google. A menos que você tenha requisitos específicos que exigem o uso da CMEK, a criptografia padrão do Google é sua melhor opção.
Para usar a CMEK, você precisa:
- Utilizar o Cloud Key Management Service (KMS).
- Ter configurado um projeto de administrador e atualizado para a nova conta de serviço.
Ativar a CMEK
- Na página do Cloud KMS, crie uma chave simétrica.
- É possível fazer isso em qualquer projeto do Google Cloud.
- Crie a chave em um local compatível do Cloud KMS. De acordo com as diretrizes do Cloud KMS, não é aconselhável usar a região "global" devido a possíveis limitações de performance. Se você não lembra sua região, procure o suporte do Ads Data Hub.
Região do ADH Locais do Cloud KMS EUA EUA Europa europe asia-northeast1 asia, asia-northeast1 australia-southeast1 australia-southeast1
- Na página "Cloud Identity and Access Management (IAM)", conceda à conta de serviço do Ads Data Hub o papel para criptografar/descriptografar o CryptoKey no Cloud KMS (
roles/cloudkms.cryptoKeyEncrypter). Se preferir, dê permissão à conta de serviço do Ads Data Hub para acessar a chave na página do Cloud KMS. - Na IU do Ads Data Hub:
- Acesse a guia Configurações.
- Em "Criptografia gerenciada pelo cliente", clique em Editar.
- Ative a opção "Criptografia gerenciada pelo cliente".
- Cole o ID do recurso da chave. Observação: precisa ser o ID inteiro, não uma versão específica. Saiba como conseguir um ID de recurso do Cloud KMS.
- Clique em Salvar.
Gerenciar chaves
Fazer rotação de uma chave
A rotação de chaves é uma prática de segurança comum. Confira mais instruções na página do Cloud KMS.
O Ads Data Hub não faz a rotação automática da chave de criptografia quando a chave do Cloud KMS associada à conta rotaciona. As tabelas continuam usando a versão da chave com que foram criadas. As novas tabelas utilizam a versão atual da chave.
Mudar chaves
É possível mudar para uma nova chave em vez de fazer a rotação. Isso é útil quando você precisa destruir uma chave ou fazer mudanças significativas no gerenciamento dela, como mudar para outro nível de proteção.
Para usar para uma nova chave, siga as instruções em Ativar a CMEK. Cuidado: modificar ou destruir a chave anterior antes de concluir a atualização pode causar a perda permanente dos dados.
Revogar permissões, desativar ou destruir uma chave
Siga as instruções na documentação do Google Cloud para as seguintes ações:
- Revogue as permissões da conta de serviço do Ads Data Hub.
- Essa ação entra em vigor imediatamente. Não é possível executar consultas no Ads Data Hub até que o problema seja resolvido, e os modelos e as tabelas temporárias podem perder dados de maneira irrecuperável.
- Desative uma chave.
- Essa ação pode levar até três horas para aparecer no Ads Data Hub. Até lá, você pode continuar executando consultas com a chave desativada no Ads Data Hub.
- Destrua uma chave.
- Importante: desative a CMEK antes de destruir sua chave. Caso contrário, não vai ser possível executar consultas no Ads Data Hub até que o problema seja resolvido, e os modelos e as tabelas temporárias podem perder dados de maneira irrecuperável.
Desativar a CMEK
É importante desativar a CMEK antes de excluir chaves ativas. Caso contrário, você vai perder o acesso aos dados criptografados com as chaves excluídas.
Para desativar a CMEK:
- Acesse a guia Configurações no Ads Data Hub.
- Em "Criptografia gerenciada pelo cliente", clique em Editar.
- Desative a opção "Criptografia gerenciada pelo cliente".
- Clique em Salvar.