Consulta los conectores compatibles con Application Integration.

Claves de encriptación administradas por el cliente

De forma predeterminada, Application Integration encripta el contenido del cliente en reposo. Application Integration controla la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina Encriptación predeterminada de Google.

Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluida la Application Integration. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.

Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos de Application Integration es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).

Antes de comenzar

Antes de usar la CMEK para Application Integration, asegúrate de completar las siguientes tareas:

1. Habilita la API de Cloud KMS para el proyecto que almacenará tus claves de encriptación.

   Habilitar la API de Cloud KMS

   • Si usas la CMEK en un proyecto diferente (proyecto compartido o de alojamiento de claves) del que configuraste Application Integration, haz lo siguiente:
   1. Habilita la siguiente API en el proyecto compartido o de alojamiento de claves:
      • API de Cloud Key Management Service
   2. Otorga el siguiente rol de IAM en la clave de CMEK a la cuenta de servicio predeterminada de Application Integration en el proyecto compartido o de alojamiento de claves:
      • Encriptador y desencriptador de CryptoKey de Cloud KMS
2. Asigna el rol de IAM de administrador de Cloud KMS a las personas que administran las claves de CMEK. Además, otorga los siguientes permisos de IAM para el proyecto que almacena tus claves de encriptación:
   • cloudkms.cryptoKeys.setIamPolicy
   • cloudkms.keyRings.create
   • cloudkms.cryptoKeys.create
   • cloudkms.cryptoKeyVersions.useToEncrypt

   Para obtener información sobre cómo otorgar roles o permisos adicionales, consulta Cómo otorgar, cambiar y revocar el acceso a los recursos.

3. Crea un llavero de claves y una clave.

Agrega una cuenta de servicio a la clave de CMEK

Para usar una clave de CMEK en Application Integration, debes asegurarte de que tu cuenta de servicio predeterminada se haya agregado y se le haya asignado el rol de IAM Encriptador/Desencriptador de CryptoKey para esa clave de CMEK.

1. En la consola de Google Cloud , ve a la página Inventario de claves.

   Ir a la página Key Inventory

2. Selecciona la casilla de verificación de la clave CMEK deseada.

   La pestaña Permisos en el panel de la ventana derecha estará disponible.

3. Haz clic en Agregar principal y, luego, ingresa la dirección de correo electrónico de la cuenta de servicio predeterminada.
4. Haz clic en Seleccionar un rol y selecciona el rol de Encriptador/desencriptador de CryptoKey de Cloud KMS en la lista desplegable disponible.
5. Haz clic en Guardar.

Habilita la encriptación con CMEK para una región de Application Integration

La CMEK se puede usar para encriptar y desencriptar los datos almacenados en los PD dentro del alcance de la región aprovisionada.

Para habilitar la encriptación con CMEK para una región de Application Integration en tu proyecto de Google Cloud, realiza los siguientes pasos:

1. En la consola de Google Cloud , ve a la página Application Integration.

   Ir a Application Integration

2. En el menú de navegación, haz clic en Regiones.

   Aparecerá la página Regiones, en la que se enumeran las regiones aprovisionadas para Application Integration.

3. En la integración existente para la que deseas usar la CMEK, haz clic en more_vert Acciones y selecciona Editar encriptación.
4. En el panel Editar encriptación, expande la sección Configuración avanzada.
5. Selecciona Usar una clave de encriptación administrada por el cliente (CMEK) y haz lo siguiente:
   1. Selecciona una clave de CMEK en la lista desplegable disponible. Las claves de CMEK que se muestran en el menú desplegable se basan en la región aprovisionada. Para crear una clave nueva, consulta Crea una clave CMEK nueva.
   2. Haz clic en Verificar para comprobar si tu cuenta de servicio predeterminada tiene acceso a la clave criptográfica de la clave de CMEK seleccionada.
   3. Si falla la verificación de la clave CMEK seleccionada, haz clic en Grant para asignar el rol de IAM Encriptador/Desencriptador de CryptoKey a la cuenta de servicio predeterminada.
6. Haz clic en Listo.

Crea una CMEK nueva

Puedes crear una clave de CMEK nueva si no quieres usar tu clave existente o si no tienes una clave en la región especificada.

Para crear una clave de encriptación simétrica nueva, sigue estos pasos en el diálogo Crear una clave nueva:

1. Selecciona Llavero de claves:
   1. Haz clic en Llavero de claves y elige un llavero de claves existente en la región especificada.
   2. Si deseas crear un llavero de claves nuevo para tu clave, haz clic en el botón de activación Crear llavero de claves y sigue estos pasos:
      1. Haz clic en Nombre del llavero de claves y, luego, ingresa el nombre de tu llavero de claves.
      2. Haz clic en Ubicación del llavero de claves y elige la ubicación regional de tu llavero de claves.
   3. Haz clic en Continuar.
2. Crea una clave:
   1. Haz clic en Nombre de la clave y, luego, ingresa un nombre para la clave nueva.
   2. Haz clic en Nivel de protección y selecciona Software o HSM.

      Para obtener información sobre los niveles de protección, consulta Niveles de protección de Cloud KMS.

3. Revisa los detalles de la llave y el llavero, y haz clic en Continuar.
4. Haz clic en Crear.

Datos encriptados

En la siguiente tabla, se enumeran los datos que se encriptan en Application Integration:

Recurso	Datos encriptados
Detalles de la integración	Parámetros de configuración de la tarea Descripciones de la configuración de tareas
Información de ejecución de la integración	parámetros de solicitud Parámetros de respuesta Detalles de la ejecución de la tarea
Credenciales del perfil de autenticación	Nombres de usuario y contraseñas Claves de API Código de autorización de OAuth 2.0 Credenciales de cliente de OAuth 2.0 Credenciales de la contraseña del propietario de recursos de OAuth 2.0 Tokens de autenticación Tokens de JWT Cuentas de servicio Certificados de cliente SSL/TLS Tokens de ID de OIDC de Google
Detalles de la tarea de aprobación o suspensión	Configuraciones de aprobación o suspensión

Cuotas de Cloud KMS y Application Integration

Cuando usas CMEK en Application Integration, tus proyectos pueden consumir cuotas de solicitudes criptográficas de Cloud KMS. Por ejemplo, las claves de CMEK pueden consumir estas cuotas para cada llamada de encriptación y desencriptación.

Las operaciones de encriptación y desencriptación con claves CMEK afectan las cuotas de Cloud KMS de las siguientes maneras:

• En el caso de las claves CMEK de software generadas en Cloud KMS, no se consume cuota de Cloud KMS.
• En el caso de las claves CMEK de hardware, a veces llamadas claves de Cloud HSM, las operaciones de encriptación y desencriptación se descuentan de las cuotas de Cloud HSM en el proyecto que contiene la clave.
• Para las claves CMEK externas, a veces llamadas claves de Cloud EKM, las operaciones de encriptación y desencriptación se descuentan de las cuotas de Cloud EKM del proyecto que contiene la clave.

Para obtener más información, consulta Cuotas de Cloud KMS.