Nesta página, explicamos como usar chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) para proteger os serviços do metastore do Dataproc. A CMEK fornece criptografia de dados em repouso com uma chave que você pode controlar pelo Cloud Key Management Service. Você pode armazenar as chaves como chaves de software, em um cluster do HSM ou externamente.
Antes de começar
Se você quiser que o serviço do metastore do Dataproc seja executado dentro de um perímetro do VPC Service Controls, adicione a API Cloud Key Management Service (Cloud KMS) ao perímetro.
Configurar a compatibilidade com CMEK para o metastore do Dataproc
Para configurar o suporte a CMEK para o metastore do Dataproc, primeiro é necessário conceder permissão de chave do Cloud KMS para as contas de serviço do metastore do Dataproc e do Cloud Storage. Em seguida, crie um serviço de metastore do Dataproc que use uma chave CMEK.
Conceder permissões de chave do Cloud KMS
Use os seguintes comandos para conceder permissões de chave do Cloud KMS ao metastore do Dataproc:
gcloud
Crie uma chave CMEK no Cloud KMS (se ainda não houver uma disponível). O comando abaixo é um exemplo de como criar uma chave de software:
gcloud config set project PROJECT_ID gcloud kms keyrings create KEY_RING \ --project KEY_PROJECT \ --location=LOCATION gcloud kms keys create KEY_NAME \ --project KEY_PROJECT \ --location=LOCATION \ --keyring=KEY_RING \ --purpose=encryption
Da mesma forma, é possível criar uma chave HSM ou criar uma chave EKM.
Conceda permissões à conta de serviço do agente de serviço do metastore do Dataproc:
gcloud kms keys add-iam-policy-binding KEY_NAME \ --location LOCATION \ --keyring KEY_RING \ --member=serviceAccount:$(gcloud beta services identity create \ --service=metastore.googleapis.com 2>&1 | awk '{print $4}') \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Conceda permissões à conta de serviço do Cloud Storage:
gcloud storage service-agent --authorize-cmek projects/KEY_PROJECT/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
Criar um serviço do metastore do Dataproc com uma chave CMEK
Siga estas etapas para configurar a criptografia CMEK durante a criação do serviço:
Console
No console do Google Cloud, abra a página Metastore do Dataproc:
Na parte de cima da página Metastore do Dataproc, clique em Criar.
A página Criar serviço é aberta.
Configure o serviço conforme necessário.
Em Criptografia, clique em Usar uma chave de criptografia gerenciada pelo cliente (CMEK).
Selecione a chave gerenciada pelo cliente.
Clique em Enviar.
Verifique a configuração de criptografia do serviço:
No console do Google Cloud, abra a página Metastore do Dataproc:
Na página Metastore do Dataproc, clique no nome do serviço que você quer acessar.
A página Detalhes do serviço desse serviço é aberta.
Na guia Configuration, verifique se os detalhes mostram que o CMEK está ativado.
gcloud
Execute o comando
gcloud metastore services create
para criar um serviço com criptografia CMEK:gcloud metastore services create SERVICE \ --encryption-kms-key=KMS_KEY
Substitua:
SERVICE
: o nome do novo serviço;KMS_KEY
: refere-se ao ID do recurso da chave.
Verifique se a criação foi bem-sucedida.
Dados do metastore do Dataproc protegidos com chaves de criptografia fornecidas pelo Google
O banco de dados do Cloud Monitoring não é compatível com criptografia CMEK. Em vez disso, o Google Cloud usa chaves de criptografia para proteger os nomes e as configurações dos seus serviços do metastore do Dataproc.
Importar e exportar dados de e para um serviço ativado para CMEK
Se quiser que os dados permaneçam criptografados com uma chave gerenciada pelo cliente durante uma importação, será necessário definir CMEK no bucket do Cloud Storage antes de importar dados dela.
É possível importar de um bucket do Cloud Storage não CMEK. Após a importação, os dados armazenados no Metastore do Dataproc são protegidos de acordo com as configurações de CMEK do serviço de destino.
Durante a exportação, o despejo do banco de dados exportado é protegido de acordo com as configurações de CMEK do bucket de armazenamento de destino.
Advertências de CMEK para metastore do Dataproc
Desativar ou excluir a CMEK para um serviço ativado para CMEK torna o serviço inutilizável e irrecuperável.
- Os dados são perdidos permanentemente.
Não é possível ativar chaves de criptografia gerenciadas pelo cliente em um serviço atual.
Não é possível alternar a chave usada por um serviço ativado para CMEK.
Um serviço ativado para CMEK não é compatível com a sincronização do Data Catalog. A atualização de um serviço ativado para CMEK para ativar a sincronização do Data Catalog falhará. Não é possível criar um novo serviço com os dois recursos ativados.
Não é possível usar chaves de criptografia gerenciadas pelo cliente para criptografar dados de usuários em trânsito, como consultas e respostas.
Quando você usa uma chave do Cloud EKM, o Google não tem controle sobre a disponibilidade da sua chave gerenciada externamente. Se a chave ficar indisponível durante o período de criação do serviço do Metastore do Dataproc, a criação do serviço vai falhar. Depois que um serviço do metastore do Dataproc é criado, se a chave ficar indisponível, o serviço ficará indisponível até que a chave volte a ficar disponível. Para mais considerações ao usar chaves externas, consulte Considerações do Cloud EKM.
A seguir
- Chaves de criptografia gerenciadas pelo cliente
- Acesso ao serviço
- Importar metadados para um serviço