Consulta los conectores compatibles para Application Integration.

Claves de encriptación administradas por el cliente

De forma predeterminada, Application Integration encripta los datos cuando están en reposo automáticamente con claves de encriptación administradas por Google. Si tienes requisitos normativos o de cumplimiento específicos relacionados con las claves que protegen tus datos, o si deseas controlar y administrar la encriptación por tu cuenta, puedes usar las claves de encriptación administradas por el cliente (CMEK). Las claves CMEK se pueden almacenar como claves de software, en un clúster de HSM o de forma externa en Cloud External Key Manager (Cloud EKM).

Para obtener más información sobre CMEK, consulta la documentación de Cloud Key Management Service.

Antes de comenzar

Asegúrate de completar las siguientes tareas antes de usar CMEK para la integración de aplicaciones:

1. Habilita la API de Cloud KMS del proyecto que almacenará tus claves de encriptación.

   Habilitar la API de Cloud KMS

2. Asigna el rol de IAM de Administrador de Cloud KMS o otorga los siguientes permisos de IAM al proyecto que almacenará tus claves de encriptación:
   • cloudkms.cryptoKeys.setIamPolicy
   • cloudkms.keyRings.create
   • cloudkms.cryptoKeys.create

   Para obtener información sobre cómo otorgar roles o permisos adicionales, consulta Cómo otorgar, cambiar y revocar el acceso.

3. Crea un llavero de claves y una clave.

Agrega una cuenta de servicio a la clave de CMEK

Para usar una clave de CMEK en Application Integration, debes asegurarte de que tu cuenta de servicio predeterminada se agregue y se le asigne el rol de IAM de Encriptador/Desencriptador de CryptoKey para esa clave de CMEK.

1. En la consola de Google Cloud, ve a la página Inventario de claves.

   Ir a la página Key Inventory

2. Selecciona la casilla de verificación de la clave CMEK que deseas.

   La pestaña Permisos en el panel de la ventana derecha estará disponible.

3. Haz clic en Agregar principal y, luego, ingresa la dirección de correo electrónico de la cuenta de servicio predeterminada.
4. Haz clic en Seleccionar un rol y selecciona el rol de Encriptador/desencriptador de CryptoKey de Cloud KMS en la lista desplegable disponible.
5. Haz clic en Guardar.

Habilita la encriptación de CMEK para una región de integración de aplicaciones

La CMEK se puede usar para encriptar y desencriptar los datos almacenados en los PD dentro del alcance de la región aprovisionada.

Para habilitar la encriptación de CMEK para una región de integración de aplicaciones en tu proyecto de Google Cloud, sigue estos pasos:

1. En la consola de Google Cloud, ve a la página Application Integration.

   Ve a Application Integration

2. En el menú de navegación, haz clic en Regiones.

   Aparecerá la página Regiones, en la que se enumeran las regiones aprovisionadas para Application Integration.

3. En la integración existente en la que deseas usar CMEK, haz clic en more_vert Acciones y selecciona Editar encriptación.
4. En el panel Editar encriptación, expande la sección Configuración avanzada.
5. Selecciona Usar una clave de encriptación administrada por el cliente (CMEK) y haz lo siguiente:
   1. Selecciona una clave de CMEK de la lista desplegable disponible. Las claves CMEK que se muestran en el menú desplegable se basan en la región aprovisionada. Para crear una clave nueva, consulta Crea una clave CMEK nueva.
   2. Haz clic en Verificar para comprobar si tu cuenta de servicio predeterminada tiene acceso a la criptoclave de la clave CMEK seleccionada.
   3. Si la verificación de la clave CMEK seleccionada falla, haz clic en Otorgar para asignar el rol de IAM de encriptador/desencriptador de CryptoKey a la cuenta de servicio predeterminada.
6. Haz clic en Listo.

Crea una clave CMEK nueva

Puedes crear una clave CMEK nueva si no quieres usar la existente o si no tienes una en la región especificada.

Para crear una nueva clave de encriptación simétrica, sigue estos pasos en el diálogo Create a new key:

1. Selecciona Llavero de claves:
   1. Haz clic en Llavero de claves y elige un llavero de claves existente en la región especificada.
   2. Si quieres crear un llavero de claves nuevo para tu clave, haz clic en el botón de activación Crear llavero de claves y sigue estos pasos:
      1. Haz clic en Nombre del llavero de claves y, luego, ingresa un nombre para tu llavero de claves.
      2. Haz clic en Ubicación del llavero de claves y elige la ubicación regional de tu llavero.
   3. Haz clic en Continuar.
2. Crear clave:
   1. Haz clic en Nombre de la clave (Key name) y, luego, ingresa un nombre para la clave nueva.
   2. Haz clic en Nivel de protección y selecciona Software o HSM.

      Para obtener información sobre los niveles de protección, consulta Niveles de protección de Cloud KMS.

3. Revisa los detalles de la llave y el llavero, y haz clic en Continuar.
4. Haz clic en Crear.

Cuotas de Cloud KMS y Application Integration

Cuando usas CMEK en Application Integration, tus proyectos pueden consumir cuotas de solicitudes criptográficas de Cloud KMS. Por ejemplo, las claves de CMEK pueden consumir estas cuotas para cada llamada de encriptación y desencriptación.

Las operaciones de encriptación y desencriptación con claves CMEK afectan las cuotas de Cloud KMS de las siguientes maneras:

• En el caso de las claves CMEK de software generadas en Cloud KMS, no se consume cuota de Cloud KMS.
• En el caso de las claves CMEK de hardware, a veces llamadas claves de Cloud HSM, las operaciones de encriptación y desencriptación se descuentan de las cuotas de Cloud HSM en el proyecto que contiene la clave.
• Para las claves CMEK externas, a veces llamadas claves de Cloud EKM, las operaciones de encriptación y desencriptación se descuentan de las cuotas de Cloud EKM del proyecto que contiene la clave.

Para obtener más información, consulta Cuotas de Cloud KMS.