Claves de encriptado gestionadas por el cliente

De forma predeterminada, Application Integration cifra el contenido del cliente en reposo. La integración de aplicaciones gestiona el cifrado por ti sin que tengas que hacer nada más. Esta opción se llama Cifrado predeterminado de Google.

Si quieres controlar tus claves de cifrado, puedes usar claves de cifrado gestionadas por el cliente (CMEKs) en Cloud KMS con servicios integrados con CMEKs, como Application Integration. Si usas claves de Cloud KMS, tendrás control sobre su nivel de protección, ubicación, calendario de rotación, permisos de uso y acceso, y límites criptográficos. Además, Cloud KMS te permite ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google sea el propietario y gestione las claves de cifrado de claves (KEKs) simétricas que protegen tus datos, tú controlas y gestionas estas claves en Cloud KMS.

Una vez que hayas configurado tus recursos con CMEKs, la experiencia de acceder a tus recursos de integración de aplicaciones será similar a la de usar el cifrado predeterminado de Google. Para obtener más información sobre las opciones de encriptado, consulta Claves de encriptado gestionadas por el cliente (CMEK).

Antes de empezar

Asegúrate de que se han completado las siguientes tareas antes de usar CMEK para la integración de aplicaciones:

Habilita la API Cloud KMS en el proyecto que almacenará tus claves de cifrado.
Habilitar la API Cloud KMS
Nota: Puedes ejecutar Application Integration y Cloud Key Management Service en el mismo proyecto de Google Cloud o en proyectos diferentes.
- Si usas CMEK en un proyecto diferente (proyecto compartido o de alojamiento de claves) al que has configurado en Application Integration:
Asigna el rol de gestión de identidades y accesos Administrador de Cloud KMS a las personas que gestionen las claves CMEK. Además, concede los siguientes permisos de gestión de identidades y accesos al proyecto que almacena tus claves de cifrado:
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
- cloudkms.cryptoKeyVersions.useToEncrypt
Precaución: El rol Administrador de Cloud KMS contiene permisos para el mantenimiento de claves y la destrucción de versiones de claves. Para proteger tus recursos de Cloud KMS, este rol solo debe asignarse a las personas responsables de la administración de claves.

Para obtener información sobre cómo conceder roles o permisos adicionales, consulta Conceder, cambiar y revocar el acceso.
Crea un conjunto de claves y una clave.
Nota: El conjunto de claves y la clave CMEK deben crearse en la misma región en la que hayas configurado la integración de aplicaciones.

Añadir una cuenta de servicio a una clave de CMEK

Para usar una clave de CMEK en Application Integration, debes asegurarte de que tu cuenta de servicio predeterminada se haya añadido y tenga asignado el rol de gestión de identidades y accesos Encargado del cifrado y descifrado de CryptoKey para esa clave de CMEK.

En la Google Cloud consola, ve a la página Inventario de claves.
Ir a la página Inventario de claves
Selecciona la casilla de la clave CMEK que quieras.
La pestaña Permisos del panel de la ventana de la derecha estará disponible.
Haz clic en Añadir principal e introduce la dirección de correo de la cuenta de servicio predeterminada.
Haz clic en Seleccionar un rol y, en la lista desplegable, selecciona el rol Encargado del encriptado y desencriptado de la clave criptográfica Cloud KMS.
Haz clic en Guardar.

Habilitar el cifrado con CMEK en una región de integración de aplicaciones

CMEK se puede usar para cifrar y descifrar datos almacenados en discos persistentes dentro del ámbito de la región aprovisionada.

Para habilitar el cifrado con CMEK en una región de Application Integration de tu proyecto de Google Cloud, sigue estos pasos:

En la Google Cloud consola, ve a la página Integración de aplicaciones.
Ir a Application Integration
En el menú de navegación, haga clic en Regiones.
Aparecerá la página Regiones, que muestra las regiones aprovisionadas para Application Integration.
En la integración que quieras usar con CMEK, haz clic en Acciones y selecciona Editar cifrado.
En el panel Editar cifrado, despliega la sección Configuración avanzada.
Selecciona Usar una clave de cifrado gestionada por el cliente (CMEK) y haz lo siguiente:
1. Seleccione una clave CMEK de la lista desplegable disponible. Las claves de CMEK que se muestran en el menú desplegable se basan en la región aprovisionada. Para crear una clave, consulta Crear una clave CMEK.
2. Haz clic en Verificar para comprobar si tu cuenta de servicio predeterminada tiene acceso de clave criptográfica a la clave CMEK seleccionada.
3. Si falla la verificación de la clave CMEK seleccionada, haz clic en Conceder para asignar el rol de IAM Encargado de cifrar o descifrar claves de CryptoKey a la cuenta de servicio predeterminada.
Haz clic en Listo.

Crear una clave CMEK

Puedes crear una clave CMEK si no quieres usar la que ya tienes o si no tienes ninguna en la región especificada.

Para crear una clave de cifrado simétrica, sigue estos pasos en el cuadro de diálogo Crear una clave:

Selecciona Conjunto de claves:
1. Haz clic en Conjunto de claves y elige un conjunto de claves de la región especificada.
2. Si quieres crear un nuevo llavero para tu clave, haz clic en el botón Crear llavero y sigue estos pasos:
  1. Haz clic en Nombre del conjunto de claves e introduce el nombre del conjunto de claves.
  2. Haz clic en Ubicación del llavero y elige la ubicación regional de tu llavero.
    Nota: Para el cifrado con CMEK, el conjunto de claves debe crearse en la misma región en la que hayas configurado la integración de aplicaciones.
3. Haz clic en Continuar.
Crear clave:
1. Haz clic en Nombre de la clave y escribe un nombre para la nueva clave.
2. Haz clic en Nivel de protección y selecciona Software o HSM.
  Para obtener información sobre los niveles de protección, consulta Niveles de protección de Cloud KMS.
Revisa los detalles de la clave y del llavero, y haz clic en Continuar.
Haz clic en Crear.

Datos cifrados

En la siguiente tabla se enumeran los datos cifrados en Application Integration:

Recurso	Datos cifrados
Detalles de la integración	Parámetros de configuración de tareas Descripciones de la configuración de las tareas
Información de ejecución de la integración	Parámetros de solicitud Parámetros de respuesta Detalles de la ejecución de la tarea
Credenciales del perfil de autenticación	Nombres de usuario y contraseñas Claves de API Código de autorización de OAuth 2.0 Credenciales de cliente de OAuth 2.0 Credenciales de contraseña del propietario del recurso de OAuth 2.0 Tokens de autenticación Tokens JWT Cuentas de servicio Certificados de cliente SSL/TLS Tokens de ID de OIDC de Google
Detalles de la tarea de aprobación o suspensión	Configuraciones de aprobación o suspensión

Cuotas de Cloud KMS y Application Integration

Cuando usas CMEK en Application Integration, tus proyectos pueden consumir cuotas de solicitudes criptográficas de Cloud KMS. Por ejemplo, las claves CMEK pueden consumir estas cuotas por cada llamada de cifrado y descifrado.

Las operaciones de encriptado y desencriptado con claves CMEK afectan a las cuotas de Cloud KMS de las siguientes formas:

En el caso de las claves de CMEK de software generadas en Cloud KMS, no se consume ninguna cuota de Cloud KMS.
En el caso de las claves CMEK de hardware (a veces denominadas claves de Cloud HSM), las operaciones de cifrado y descifrado se contabilizan en las cuotas de Cloud HSM del proyecto que contiene la clave.
En el caso de las claves CMEK externas (a veces denominadas claves de Cloud EKM), las operaciones de cifrado y descifrado se contabilizan en las cuotas de Cloud EKM del proyecto que contiene la clave.

Para obtener más información, consulta las cuotas de Cloud KMS.