Cloud KMS Otomatik Anahtarı ile Kaynakları Kolayca Şifreleyin

1. Giriş

Cloud KMS Autokey, temel hazırlığı ve atamayı otomatikleştirerek müşteri tarafından yönetilen şifreleme anahtarlarını (CMEK) oluşturmayı ve kullanmayı kolaylaştırır. Otomatik Anahtar sayesinde, anahtar zincirlerinizin, anahtarlarınızın ve hizmet hesaplarınızın ihtiyaç duyulmadan önce planlanması ve hazırlanması gerekmez. Bunun yerine, Autokey, kaynaklarınız oluşturulurken anahtarlarınızı Cloud KMS yöneticileri yerine yetki verilmiş izinleri kullanarak istek üzerine oluşturur.

Autokey tarafından oluşturulan anahtarları kullanmak, HSM koruma düzeyi, görev ayrımı, anahtar rotasyonu, konum ve anahtar özgüllüğü dahil olmak üzere veri güvenliğiyle ilgili endüstri standartlarına ve önerilen uygulamalara tutarlı bir şekilde uymanıza yardımcı olabilir. Otomatik anahtar, Cloud KMS Otomatik Anahtarı ile entegre olan Google Cloud hizmetlerinin kaynak türüne özel genel yönergelere ve yönergelere uygun anahtarlar oluşturur. Oluşturulduktan sonra, Otomatik Anahtar işlevi kullanılarak istenen anahtarlar, aynı ayarlara sahip diğer Cloud HSM anahtarlarıyla aynı şekilde çalışır.

Oluşturacaklarınız

Bu codelab'de, aşağıdakileri oluşturarak Cloud KMS Autokey'i kullanarak korunan kaynaklar başlatacaksınız:

• bir klasör kaynağı
• Anahtarlarınızı içeren bir proje
• anahtar yönetici asistanınız olarak davranacak bir hizmet aracısı
• Korunan kaynaklarınızı barındıracak bir proje
• Cloud KMS Autokey ile şifrelenmiş BigQuery veri kümeleri, kalıcı diskler ve Cloud Storage paketleri

Gerekenler

• Google Cloud kuruluşu
• Bu laboratuvarı tamamlamak için Google Cloud ana hesabınızın Kuruluş düzeyinde aşağıdaki rollere sahip olması gerekir:
• Cloud KMS Autokey Yöneticisi (roles/cloudkms.autokeyAdmin)
• Klasör IAM Yöneticisi (roles/resourcemanager.folderIamAdmin)
• Faturalandırma hesabı kullanıcısı (roles/billing.user)
• Faturalandırma özelliği etkinleştirilmiş Google Cloud projeleri
• Temel Linux Deneyimi

2. Klasör Oluşturma

Klasörler, Cloud Platform Kaynak Hiyerarşisi'ndeki düğümlerdir. Klasörler; projeleri, diğer klasörleri veya bunların bir kombinasyonunu içerebilir. Kuruluş kaynakları, hiyerarşide kuruluş kaynağı düğümü altındaki projeleri gruplandırmak için klasörleri kullanabilir. Klasör oluşturmak için:

1. Google Cloud Console'da Kaynakları yönetin sayfasına gidin.
2. Sayfanın üst tarafındaki kuruluş açılır listesinde kuruluş kaynağınızın adının seçili olduğundan emin olun.
3. Klasör oluştur'u tıklayın.

4. Standart Klasör Seçin

5. Klasör adı kutusuna yeni klasörünüzün adını girin. Bu laboratuvar için "Autokey-Folder"ı kullanın.
6. Hedef bölümünde, Göz at'ı tıklayın ve ardından yeni klasörünüzü oluşturmak istediğiniz kuruluş kaynağını veya klasörü seçin.
7. Oluştur'u tıklayın.

3. Kaynak projesi oluşturma

Cloud KMS Autokey ile şifrelemek istediğiniz kaynakları (ör. BigQuery veri kümeleri, kalıcı diskler ve Cloud Storage paketleri) içeren bir kaynak projesi oluşturmanız önemlidir. Anahtar projede Otomatik Anahtar ile korunan kaynaklar oluşturmaya çalışırsanız otomatik anahtar, yeni anahtar isteğini reddeder. Kaynak projeyi oluşturmak için:

1. Google Cloud Console'da Kaynakları yönetin sayfasına gidin.
2. Proje Oluştur'u tıklayın.

3. Sayfanın üst kısmındaki Kuruluş seçin açılır listesinden "Otomatik Anahtar Klasör"ü seçin emin olmanız gerekir.
4. Açılan Yeni Proje penceresinde bir proje adı girin ve uygun bir faturalandırma hesabı seçin. Bu laboratuvarda "Otomatik Anahtarla Şifrelenmiş Kaynaklar"ı inceleyin.
5. Konum kutusunda "Autokey-Folder" klasörünü seçin. Bu kaynak, yeni projenin hiyerarşik üst öğesi olacaktır. Ayarlarınız aşağıdaki gibi görünmelidir:

6. Proje kimliğini (yukarıdaki örnekte proje kimliği "causal-hour-43319-m4"dir ancak kimliğiniz farklı olacaktır) seçtiğiniz metin düzenleyiciye kopyalayın.
7. Oluştur'u tıklayın
8. Ekranınızın sağ üst köşesindeki Cloud Shell simgesini seçin

9. Cloud Shell etkinleştirildikten sonra aşağıdaki komutu çalıştırarak Autokey proje kimliğinizi değişken olarak kaydedin:

export RESOURCE_PROJECT=<paste your Resource Project ID>

Proje kimliğim "key-management-433319" olduğu için komutum şöyle görünür:

export AUTOKEY_PROJECT=causal-hour-43319-m4

10. Anahtar projenizden komutları yürütmek için aşağıdaki komutu çalıştırın:

gcloud config set project $RESOURCE_PROJECT

İstendiğinde "Yetkilendir"i tıklayarak Cloud Shell'e yetki verin.

11. Bu proje kaynaklar içereceğinden, Autokey'in koruyacağı hizmetlerin API'lerini etkinleştirmemiz gerekir. Aşağıdaki komutu çalıştırın:

gcloud services enable storage.googleapis.com bigquery.googleapis.com compute.googleapis.com

4. Temel Proje Oluşturma

Autokey tarafından oluşturulan Cloud KMS kaynaklarını içerecek bir proje oluşturmanızı öneririz. Bu, "temel proje" olarak adlandırılır devam edebilir. Anahtar projesi, Otomatik Anahtar'ı etkinleştirmeyi planladığınız klasörün içinde oluşturulabilir. Anahtar projede başka kaynaklar oluşturmamanız gerekir. Anahtar projesinde Autokey tarafından korunan kaynaklar oluşturmaya çalışırsanız Autokey yeni anahtar isteğini reddeder. Anahtar projeyi oluşturmak için:

1. Google Cloud Console'da Kaynakları yönetin sayfasına gidin.
2. Proje Oluştur'u tıklayın.

3. Sayfanın üst kısmındaki Kuruluş seçin açılır listesinden "Otomatik Anahtar Klasör"ü seçin emin olmanız gerekir.
4. Görüntülenen Yeni Proje penceresinde bir proje adı girin ve geçerliyse bir faturalandırma hesabı seçin. Bu laboratuvarda "Anahtar Yönetimi"ni değerlendirin.
5. Konum kutusunda "Autokey-Folder" klasörünü seçin. Bu kaynak, yeni projenin hiyerarşik üst öğesi olur. Ayarlarınız aşağıdaki gibi görünmelidir:

6. Proje kimliğini kopyalayın. Yukarıdaki örnekte proje kimliği "key-management-433319" şeklindedir. ancak kimliğiniz seçtiğiniz metin düzenleyicide farklı olur.
7. Oluştur'u tıklayın.

5. Autokey anahtar projesini hazırlama

Tüm projeler oluşturulduğuna göre, anahtar projeyi Cloud KMS Autokey'i kullanacak şekilde yapılandırmanın zamanı geldi.

8. Ekranınızın sağ üst köşesindeki Cloud Shell simgesini seçin

9. Cloud Shell etkinleştirildikten sonra aşağıdaki komutu çalıştırarak Autokey proje kimliğinizi değişken olarak kaydedin:

export AUTOKEY_PROJECT=<paste your Autokey Project ID>

Proje kimliğim "key-management-433319" olduğu için komutum şöyle görünür:

export AUTOKEY_PROJECT=key-management-433319

10. Anahtar projenizden komutları yürütmek için aşağıdaki komutu çalıştırın:

gcloud config set project $AUTOKEY_PROJECT

İstendiğinde "Yetkilendir"i tıklayarak Cloud Shell'e yetki verin.

11. Aşağıdaki komutu çalıştırarak Cloud KMS API'yi etkinleştirin

gcloud services enable cloudkms.googleapis.com  kmsinventory.googleapis.com

12. Proje numaranızı AUTOKEY_PROJECT_NUMBER adlı bir değişkene kaydetmek için aşağıdaki komutu çalıştırın:

export AUTOKEY_PROJECT_NUMBER=$(gcloud projects list \
--filter="$(gcloud config get-value project)" \
--format="value(PROJECT_NUMBER)")

13. Aşağıdaki komutu çalıştırarak ana hesap e-posta adresinizi değişken olarak kaydedin:

export KEY_ADMIN_EMAIL=<paste your Principal's email>

14. Cloud KMS yönetici kullanıcılarınıza anahtar projesinde Cloud KMS yöneticisi izinleri verme

gcloud projects add-iam-policy-binding $AUTOKEY_PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=user:$KEY_ADMIN_EMAIL

6. Cloud KMS hizmet aracılarını ayarlama

Bir anahtar projesinin Cloud KMS hizmet aracısı, insan Cloud KMS yöneticisi adına anahtar oluşturur ve kaynak oluşturma sırasında IAM politikası bağlamaları uygular. Cloud KMS hizmet aracısının anahtar oluşturabilmesi ve atayabilmesi için Cloud KMS yönetici izinlerine sahip olması gerekir.

1. Aşağıdaki komutla Kuruluş kimliğini bulun:

gcloud organizations list | grep -P -i 'ID:' | grep -i '[0-9]'

2. Kuruluş kimliğini kopyalayın. Bu, kırmızıyla vurgulanmış sayısal sonuçtur.
3. Kuruluş kimliğini ORG_ID adlı bir değişken olarak kaydedin:

export ORG_ID=<paste your Organization ID>

4. Aşağıdaki komutu çalıştırarak Cloud KMS hizmet aracısını oluşturun:

gcloud beta services identity create --service=cloudkms.googleapis.com \
    --project=$AUTOKEY_PROJECT_NUMBER

5. Hizmet aracısına Cloud KMS yöneticisi rolü verin:

gcloud projects add-iam-policy-binding $AUTOKEY_PROJECT_NUMBER \
    --role=roles/cloudkms.admin \
    --member=serviceAccount:service-$AUTOKEY_PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com

6. Cloud KMS anahtarınızın kullanımını görüntüleyebilmek için bir IAM politika bağlaması ekleyin. Anahtar Kullanımı, her anahtarla ilgili olarak anahtarı kullanan korumalı kaynakların, projelerin ve benzersiz Google Cloud ürünlerinin sayısı da dahil olmak üzere bilgiler sağlar. Bu ayrıntı düzeyi, anahtarda Cloud KMS Görüntüleyici rolüne sahip olan herkes tarafından kullanılabilir. Aşağıdaki komutu çalıştırın:

gcloud organizations add-iam-policy-binding $ORGANIZATION_ID \
    --member="serviceAccount:service-org-$ORGANIZATION_ID@gcp-sa-cloudkms.iam.gserviceaccount.com" \
    --role='roles/cloudkms.orgServiceAgent'

7. Cloud KMS hizmet hesabınıza, kuruluş kaynağınızda Cloud KMS Kuruluş Hizmet Aracısı (cloudkms.orgServiceAgent) rolü verin.

gcloud organizations add-iam-policy-binding $ORG_ID \
    --member="serviceAccount:service-org-$ORG_ID@gcp-sa-cloudkms.iam.gserviceaccount.com" \
    --role='roles/cloudkms.orgServiceAgent'

8. Anahtar kullanım ayrıntılarını görüntülemesi gereken herkese Kuruluş kaynağınızda Cloud KMS Korunan Kaynaklar Görüntüleyici rolünü verin.

gcloud organizations add-iam-policy-binding $ORG_ID \
    --member="user:$KEY_ADMIN_EMAIL" \
    --role='roles/cloudkms.protectedResourcesViewer'

7. Autokey kullanıcı rollerini verme

Geliştiricilerinizin Otomatik Anahtar'ı kullanabilmesi için gerekli rolü vermeniz gerekir. Rolü klasör düzeyinde veya proje düzeyinde verebilirsiniz. Bu rol, geliştiricilerin söz konusu klasör veya projede kaynak oluştururken Cloud KMS hizmet aracısından anahtar istemesine olanak tanır.

Rol verme işleminin ilk adımı, klasör kimliğini kaydetmektir.

1. Aşağıdaki komutla Klasör Kimliğini bulun:

gcloud projects describe $AUTOKEY_PROJECT | grep 'id' | grep -P -i '[0-9]+'

2. Klasör kimliğini kopyalayın (kırmızıyla vurgulanmış kısım)
3. Klasör kimliğini folder_ID adında bir değişken olarak kaydedin

export FOLDER_ID=<paste the folder ID>

Bu laboratuvar çalışmasında, anahtar yöneticisini Otomatik Anahtar kullanıcısı olarak tanımlayacağız. Ancak üretimin kullanıldığı durumlarda ve birden fazla kişinin bulunduğu kuruluşlarda anahtar yönetici, Otomatik Anahtar'ı kullanan geliştiriciden farklı olmalıdır.

4. Klasör düzeyinde roles/cloudkms.autokeyUser rolünü verin:

gcloud resource-manager folders add-iam-policy-binding \
    $FOLDER_ID --role=roles/cloudkms.autokeyUser \
    --member=user:$KEY_ADMIN_EMAIL

8. Bir kaynak klasöründe Cloud KMS Otomatik Anahtarını etkinleştirme

Bu adımda, bir kaynak klasöründe Cloud KMS Otomatik Anahtarı'nı etkinleştirecek ve bu klasör için Otomatik Anahtar kaynaklarını içerecek Cloud KMS projesini tanımlayacaksınız. Bu klasör için Otomatik Anahtar etkinleştirildiğinde, klasör içindeki tüm kaynak projeleri için Otomatik Anahtar etkinleştirilir.

1. Google Cloud konsolunda KMS kontrolleri sayfasına gidin.
2. Klasör Seç'i tıklayın.

3. Bağlam seçicide, Otomatik Anahtar'ı etkinleştirmek istediğiniz klasörü seçin. Bu, daha önce oluşturduğunuz ve kaynak projenizi ve anahtar yönetimi projenizi içeren klasördür. Aşağıdaki gibi görünmelidir:

4. Etkinleştir'i tıklayın.
5. Anahtar projeyi seçmek için Göz at'ı tıklayın.
6. Anahtar yönetimi projenizi seçip Gönder'i tıklayın.

Cloud KMS otomatik anahtarının klasörde etkinleştirildiğini onaylayan bir mesaj gösterilir. KMS Denetimleri sayfası aşağıdaki gibi görünmelidir:

9. Cloud KMS Otomatik Anahtarı'nı kullanarak korumalı kaynaklar oluşturma

Compute Engine Kalıcı Diskleri

Otomatik anahtar, oluşturulmakta olan kaynakla aynı konumda her disk, görüntü ve makine görüntüsü için yeni bir anahtar oluşturur.

Disk oluşturmak için aşağıdaki adımları uygulayın:

1. Google Cloud Console'da Diskler sayfasına gidin.
2. Disk oluştur'u tıklayın ve yeni diskin özelliklerini girin.
3. Şifreleme bölümünde Cloud KMS anahtarı'nı seçin.

4. Anahtar türü için Otomatik Anahtar ile Cloud KMS'yi seçin ve ardından Yeni anahtar iste'yi tıklayın. Anahtarınızın başarıyla oluşturulduğunu ve kullanıma hazır olduğunu belirten bir mesaj gösterilir.

5. Disk oluşturma işlemini tamamlamak için Oluştur'u tıklayın.

Korunan sanal makine örneği, resim ve makine resmi kaynakları oluşturmak için benzer bir işlem uygulayabilirsiniz.

Google Cloud Storage Paketleri

Otomatik anahtar, paketle aynı konumda yeni bir anahtar oluşturur. Otomatik anahtar tarafından oluşturulan anahtar, paket varsayılan anahtarı olarak atanır.

Otomatik anahtar, nesneler için anahtar oluşturmaz. Varsayılan olarak, bir pakette oluşturulan nesneler paketin varsayılan anahtarını kullanır. Bir nesneyi paketin varsayılan anahtarı dışında bir anahtar kullanarak şifrelemek istiyorsanız manuel olarak CMEK oluşturabilir ve nesneyi oluştururken bu anahtarı kullanabilirsiniz.

1. Google Cloud konsolunda Paket oluştur sayfasına gidin.
2. Dünya genelinde benzersiz, kalıcı bir ad seçin.
3. Bir veri konumu seçin.
4. "Nesne verilerinin nasıl korunacağını seçin" bölüm

5. "Nesne verilerinin nasıl korunacağını seçin"i tıklayın bölümü genişletmek için

6. Veri şifreleme bölümünü genişletin ve Cloud KMS anahtarını seçin. .
7. Anahtar türü için Otomatik Anahtar ile Cloud KMS'yi seçin ve ardından Yeni anahtar iste'yi tıklayın. Anahtarınızın başarıyla oluşturulduğunu ve kullanıma hazır olduğunu belirten bir mesaj gösterilir.

8. Paket oluşturma işlemini tamamlamak için Oluştur'u tıklayın. "Herkese açık erişim engellenecek" ifadesini içeren bir iletişim kutusu gösterilirse Onayla'yı tıklayın.

BigQuery Veri Kümesi

Otomatik anahtar, her yeni veri kümesi için kaynağın kendisiyle aynı konumda yeni bir anahtar oluşturur ve bu anahtar, veri kümesinin varsayılan anahtarı olur. Otomatik anahtar; tablolar, sorgular, geçici tablolar veya modeller için anahtar oluşturmaz. Bu kaynaklar, varsayılan olarak veri kümesinin varsayılan anahtarıyla korunur. Veri kümesindeki bir kaynağı, veri kümesi varsayılan anahtarı dışında bir anahtar kullanarak korumak istiyorsanız manuel olarak CMEK oluşturabilir ve kaynağı oluştururken bu anahtarı kullanabilirsiniz.

BigQuery veri kümesi oluşturmak için öncelikle BigQuery Kullanıcı rolüne sahip olmanız gerekir.

1. Cloud Shell'e dönme
2. Cloud Shell'inizi kaynak projeden komut yürütecek şekilde ayarlama

gcloud config set project $RESOURCE_PROJECT

3. Proje Numaranızı SOURCE_PROJECT_NUMBER adlı bir değişken olarak kaydetmek için aşağıdaki komutu çalıştırın

export RESOURCE_PROJECT_NUMBER=$(gcloud projects list --filter="$(gcloud config get-value project)" --format="value(PROJECT_NUMBER)")

4. Kendinize BigQuery Kullanıcısı rolü verme

gcloud projects add-iam-policy-binding $RESOURCE_PROJECT_NUMBER \
    --role=roles/bigquery.user \
    --member=user:$KEY_ADMIN_EMAIL

Artık BigQuery Kullanıcısı rolüne sahip olduğunuza göre, bir veri kümesi oluşturabilir ve Otomatik Anahtar ile bu veri kümesini koruyabilirsiniz.

5. Google Cloud konsolunda BigQuery sayfasına gidin.
6. Veri kümesi oluşturma talimatlarını uygulayarak Gelişmiş seçenekler > Şifreleme.
7. Şifreleme bölümünde Cloud KMS anahtarını seçin.
8. Anahtar türü için Otomatik Anahtar ile Cloud KMS'yi seçin ve ardından Yeni anahtar iste'yi tıklayın. Anahtarınızın başarıyla oluşturulduğunu ve kullanıma hazır olduğunu belirten bir mesaj gösterilir.
9. Veri kümesini oluşturmayı tamamlamak için Veri kümesi oluştur'u tıklayın.

10. Anahtarlarınızı keşfedin

Bu adımda, Anahtar Envanteri sayfasını ziyaret ederek Cloud KMS Autokey'in sizin adınıza oluşturduğu anahtarları keşfedeceksiniz. Anahtar Envanteri sayfası, projenizdeki şifreleme anahtarları hakkında kapsamlı bilgiler sağlar. Verilerin gecikebileceğini unutmayın. Örneğin, yeni bir korumalı kaynak oluşturursanız korumalı kaynak ve ilişkili anahtar sürümü Kullanım izleme sekmesine hemen eklenmez. Diğer sınırlamalara buradan göz atabilirsiniz.

1. Google Cloud Console'da Anahtar Envanter sayfasına gidin.
2. İsteğe bağlı: Anahtar listesini filtrelemek için filter_list Filtre kutusuna arama terimlerinizi girip Enter tuşuna basın. Örneğin, anahtarların konuma, anahtarlığa, duruma veya diğer özelliklerine göre filtreleme yapabilirsiniz.
3. Kullanım bilgilerini görüntülemek istediğiniz anahtarın adını tıklayın.
4. "Genel Bakış"ı tıklayın. Oluşturulan her kaynak için bir anahtarınızın olduğuna dikkat edin. Her anahtar adı, anahtarın koruduğu kaynağın adını içerir (ör. "compute-disk" veya "storage-bucket"). Cloud KMS Autokey, her anahtarın oluşturulduktan 365 gün sonra döndürülmesi için planlanmasını ve her anahtara "HSM" koruma düzeyinin atanmasını sağlar.

4. Kullanım İzleme sekmesini tıklayın. Sunulan bilgi düzeyine dikkat edin: Anahtarın şifrelediği her kaynak, proje, konum ve oluşturulma tarihi ile birlikte burada gösterilir.
5. İsteğe bağlı: Korunan kaynakların listesini filtrelemek için filtre_listesi filtre kutusuna arama terimlerinizi girip Enter tuşuna basın.

11. Tebrikler

Tebrikler, Google Cloud kaynaklarını başarıyla oluşturdunuz ve Cloud KMS Autokey ile isteğe bağlı olarak otomatik olarak şifrelediniz.

Artık Autokey'i ayarlamak için gereken temel adımları biliyorsunuz ve kaynaklarınızı Cloud KMS anahtarlarıyla otomatik olarak şifrelemek için bunu kullanabilirsiniz.

12. Sırada ne var?

Otomatik anahtarla şifrelenmiş kaynaklarınıza veri yükleme

• Google Compute Engine (GCE) örneği oluşturma
• Otomatik anahtarla korunan kalıcı diskinizi GCE örneğinize ekleme
• BigQuery veri kümenize veri yükleme
• Google Cloud Storage Paketine nesne yükleme
• Google Cloud Storage verilerini BigQuery'ye yükleme

Referans belgeler

• Otomatik anahtara genel bakış
• Cloud KMS Autokey'i etkinleştirme
• Cloud KMS Autokey'i kullanarak korunan kaynaklar oluşturma
• Anahtar kullanımını görüntüleme