Consulta los conectores compatibles para Application Integration.

Claves de encriptación administradas por el cliente

De forma predeterminada, Application Integration encripta los datos cuando están en reposo automáticamente mediante claves de encriptación administradas por Google. Si tienes requisitos regulatorios o de cumplimiento específicos relacionados con las claves que protegen tus datos o si quieres controlar y administrar la encriptación por tu cuenta, puedes usar claves de encriptación administradas por el cliente (CMEK). Las CMEK se pueden almacenar como claves de software, en un clúster de HSM o de forma externa en Cloud External Key Manager (Cloud EKM).

Para obtener más información sobre CMEK, consulta la documentación de Cloud Key Management Service.

Antes de comenzar

Asegúrate de que se completen las siguientes tareas antes de usar CMEK para Application Integration:

  1. Habilita la API de Cloud KMS para el proyecto en que almacenarás tus claves de encriptación.

    Habilitar la API de Cloud KMS

  2. Asigna el rol de IAM Administrador de Cloud KMS o otorga los siguientes permisos de IAM para el proyecto que almacenará tus claves de encriptación:
    • cloudkms.cryptoKeys.setIamPolicy
    • cloudkms.keyRings.create
    • cloudkms.cryptoKeys.create

    Para obtener información sobre cómo otorgar roles o permisos adicionales, consulta Cómo otorgar, cambiar y revocar el acceso a los recursos.

  3. Crea un llavero de claves y una clave.

Agregar una cuenta de servicio a una clave CMEK

Para usar una clave CMEK en Application Integration, debes asegurarte de agregar y asignar tu cuenta de servicio predeterminada con el rol de IAM Encriptador o Desencriptador de CryptoKey para esa clave CMEK.

  1. En la consola de Google Cloud, ve a la página Inventario clave.

    Ir a la página Inventario de claves

  2. Selecciona la casilla de verificación de la clave CMEK que desees.

    La pestaña Permisos en el panel de la ventana derecha estará disponible.

  3. Haz clic en Agregar principal y, luego, ingresa la dirección de correo electrónico de la cuenta de servicio predeterminada.
  4. Haz clic en Seleccionar un rol y selecciona el rol Encriptador/Desencriptador de CryptoKey de Cloud KMS de la lista desplegable disponible.
  5. Haz clic en Guardar.

Habilita la encriptación con CMEK para una región de Application Integration

Las CMEK se pueden usar para encriptar y desencriptar datos almacenados en los PD dentro del permiso de la región aprovisionada.

Para habilitar la encriptación CMEK para una región de Application Integration en tu proyecto de Google Cloud, sigue estos pasos:
  1. En la consola de Google Cloud, ve a la página Application Integration.

    Ir a Application Integration

  2. En el menú de navegación, haz clic en Regiones.

    Aparecerá la página Regions, con una lista de las regiones aprovisionadas para Application Integration.

  3. En la integración existente en la que deseas usar CMEK, haz clic en Acciones y selecciona Editar encriptación.
  4. En el panel Editar encriptación, expande la sección Configuración avanzada.
  5. Selecciona Usar una clave de encriptación administrada por el cliente (CMEK) y haz lo siguiente:
    1. Selecciona una clave CMEK de la lista desplegable disponible. Las claves CMEK que aparecen en el menú desplegable se basan en la región aprovisionada. Para crear una clave nueva, consulta Crea una clave CMEK nueva.
    2. Haz clic en Verificar para comprobar si tu cuenta de servicio predeterminada tiene acceso de CryptoKey a la clave CMEK seleccionada.
    3. Si falla la verificación de la clave CMEK seleccionada, haz clic en Otorgar para asignar el rol de IAM Encriptador o Desencriptador de CryptoKey a la cuenta de servicio predeterminada.
  6. Haz clic en Listo.

Crear clave CMEK nueva

Puedes crear una clave CMEK nueva si no quieres usar la existente o si no tienes una en la región especificada.

Para crear una nueva clave de encriptación simétrica, sigue estos pasos en el diálogo Crear una clave nueva:
  1. Selecciona el llavero de claves:
    1. Haz clic en Llavero de claves y elige un llavero de claves existente en la región especificada.
    2. Si deseas crear un llavero de claves nuevo para tu clave, haz clic en el botón de activación Crear llavero de claves y sigue estos pasos:
      1. Haz clic en Nombre del llavero de claves y, luego, ingresa el nombre de tu llavero de claves.
      2. Haz clic en Ubicación del llavero de claves y elige la ubicación regional del llavero de claves.
    3. Haz clic en Continuar.
  2. Crear clave:
    1. Haz clic en Nombre de la clave y, luego, ingresa un nombre para la clave nueva.
    2. Haz clic en Nivel de protección y selecciona Software o HSM.

      Para obtener información sobre los niveles de protección, consulta Niveles de protección de Cloud KMS.

  3. Revisa los detalles de la clave y el llavero de claves, y haz clic en Continuar.
  4. Haz clic en Crear.

Application Integration y cuotas de Cloud KMS

Cuando usas CMEK en Application Integration, tus proyectos pueden consumir cuotas de solicitudes criptográficas de Cloud KMS. Por ejemplo, las claves CMEK pueden consumir estas cuotas para cada llamada de encriptación y desencriptación.

Las operaciones de encriptación y desencriptación con claves CMEK afectan las cuotas de Cloud KMS de las siguientes maneras:

  • En el caso de las claves CMEK de software generadas en Cloud KMS, no se consume cuota de Cloud KMS.
  • En el caso de las claves CMEK de hardware, a veces llamadas claves de Cloud HSM, las operaciones de encriptación y desencriptación se descuentan de las cuotas de Cloud HSM en el proyecto que contiene la clave.
  • En el caso de las claves de CMEK externas (a veces llamadas claves de Cloud EKM), las operaciones de encriptación y desencriptación se descuentan de las cuotas de Cloud EKM en el proyecto que contiene la clave.

Para obtener más información, consulta Cuotas de Cloud KMS.