Consulte os conectores compatíveis com a integração de aplicativos.
Chaves de criptografia gerenciadas pelo cliente
Por padrão, Application Integration criptografa o conteúdo do cliente em repouso. Application Integration processa a criptografia para você sem que você precise fazer nada. Essa opção é chamada de Criptografia padrão do Google.
Se você quiser controlar suas chaves de criptografia, use chaves de criptografia gerenciadas pelo cliente (CMEKs) no Cloud KMS com serviços integrados a CMEKs, incluindo Application Integration. O uso de chaves do Cloud KMS permite controlar o nível de proteção, o local, a programação de rotação, as permissões de uso e acesso e os limites criptográficos. O uso do Cloud KMS também permite visualizar registros de auditoria e controlar ciclos de vida importantes. Em vez de o Google ser proprietário e gerente de chaves de criptografia de chaves (KEKs) simétricas que protegem seus dados, você controla e gerencia essas chaves no Cloud KMS.
Depois de configurar os recursos com CMEKs, a experiência de acesso aos recursos Application Integration é semelhante à criptografia padrão do Google. Para mais informações sobre suas opções de criptografia, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).
Antes de começar
Antes de usar o CMEK para Application Integration, verifique se as seguintes tarefas foram concluídas:
- Ative a API Cloud KMS para o projeto que armazenará as chaves de criptografia.
- Atribua o papel do IAM Administrador do Cloud KMS ou conceda as seguintes permissões do IAM ao projeto que vai armazenar as chaves de criptografia:
cloudkms.cryptoKeys.setIamPolicycloudkms.keyRings.createcloudkms.cryptoKeys.create
Para informações sobre como conceder papéis ou permissões adicionais, consulte Como conceder, alterar e revogar o acesso.
- Crie um keyring e uma chave.
Adicionar a conta de serviço à chave CMEK
Para usar uma chave CMEK no Application Integration, é necessário adicionar e atribuir a conta de serviço padrão ao papel do IAM Criptografador/Descriptografador de CryptoKey para essa chave CMEK.
- No console Google Cloud , acesse a página Inventário de chaves.
- Marque a caixa de seleção da chave CMEK desejada.
A guia Permissões fica disponível no painel da janela à direita.
- Clique em Adicionar principal e insira o endereço de e-mail da conta de serviço padrão.
- Clique em Selecionar uma função e selecione a função Criptografador/Descriptografador de CryptoKey do Cloud KMS na lista suspensa disponível.
- Clique em Salvar.
Ativar a criptografia CMEK para uma região Application Integration
A CMEK pode ser usada para criptografar e descriptografar dados armazenados em PDs no escopo da região provisionada.
Para ativar a criptografia CMEK em uma região Application Integration no seu projeto do Google Cloud, siga estas etapas:- No console Google Cloud , acesse a página Integração de aplicativos.
- No menu de navegação, clique em Regiões.
A página Regiões aparece, listando as regiões provisionadas para Application Integration.
- Na integração atual em que você quer usar a CMEK, clique em Ações e selecione Editar criptografia.
- No painel Editar criptografia, expanda a seção Configurações avançadas.
- Selecione Usar uma chave de criptografia gerenciada pelo cliente (CMEK) e faça o seguinte:
- Selecione uma chave CMEK na lista suspensa disponível. As chaves CMEK listadas no menu suspenso são baseadas na região provisionada. Para criar uma chave, consulte Criar uma chave CMEK.
- Clique em Verificar para conferir se a conta de serviço padrão tem acesso à chave criptográfica da CMEK selecionada.
- Se a verificação da chave CMEK selecionada falhar, clique em Conceder para atribuir o papel de IAM Criptografador/Descriptografador do CryptoKey à conta de serviço padrão.
- Clique em Concluído.
Criar uma nova CMEK
Você pode criar uma nova chave CMEK se não quiser usar a chave atual ou se não tiver uma chave na região especificada.
Acesse a caixa de diálogo Criar uma nova chave e siga estas etapas para criar uma chave de criptografia simétrica:- Selecione "Key ring":
- Clique em Key ring e escolha um keyring na região especificada.
- Se você quiser criar um novo keyring para a chave, clique no botão Criar keyring e siga estas etapas:
- Clique em Nome do keyring e digite o nome do keyring.
- Clique em Local do keyring e escolha a localização regional do keyring.
- Clique em Continuar.
- Criar chave:
- Clique em Nome da chave e digite um nome para a nova chave.
- Clique em Nível de proteção e selecione Software ou HSM.
Para informações sobre os níveis de proteção, consulte Níveis de proteção do Cloud KMS.
- Confira os detalhes da chave e do keyring e clique em Continuar.
- Clique em Criar.
Dados criptografados
A tabela a seguir lista os dados criptografados na Application Integration:
| Recurso | Dados criptografados |
|---|---|
| Detalhes da integração |
|
| Informações sobre a execução da integração |
|
| Credenciais do perfil de autenticação | |
| Detalhes da tarefa de aprovação/suspensão | Configurações de aprovação ou suspensão |
Cotas do Cloud KMS e Application Integration
Quando você usa a CMEK na Application Integration, seus projetos podem consumir cotas de solicitações criptográficas do Cloud KMS. Por exemplo, as chaves CMEK podem consumir essas cotas para cada chamada de criptografia e descriptografia.
As operações de criptografia e descriptografia com chaves CMEK afetam as cotas do Cloud KMS destas maneiras:
- Para chaves CMEK de software geradas no Cloud KMS, nenhuma cota do Cloud KMS é consumida.
- Para chaves CMEK de hardware, às vezes chamadas de chaves do Cloud HSM, as operações de criptografia e descriptografia são descontadas das cotas do Cloud HSM no projeto que contém a chave.
- Para chaves CMEK externas, às vezes chamadas de chaves do Cloud EKM, as operações de criptografia e descriptografia são descontadas das cotas do Cloud EKM no projeto que contém a chave.
Para mais informações, consulte Cotas do Cloud KMS.