Habilita las claves de encriptación administradas por el cliente

En esta página, se describe cómo encriptar el contenido almacenado en repositorios con claves de encriptación administradas por el cliente (CMEK).

Descripción general

De forma predeterminada, Google Cloud encripta los datos cuando están en reposo con propiedad de Google y administradas por Google con tecnología de Google Cloud.

Si tienes requisitos normativos o de cumplimiento específicos relacionados con las claves que protegen los datos, puedes crear repositorios encriptados con claves CMEK. Los metadatos sobre un repositorio, como el nombre del repositorio, se encriptan conpropiedad de Google y administradas por Google con tecnología de Google Cloud.

Cuando habilitas CMEK, los datos en reposo que se encuentran en repositorios se encriptan mediante una clave que administras en Cloud Key Management Service. Puedes controlar el acceso a la clave CMEK mediante la administración de identidades y accesos. Si inhabilitas de forma temporal la clave CMEK o la borras de forma permanente, no se podrá acceder a los datos encriptados con esa clave.

La CMEK te permite controlar más aspectos del ciclo de vida y la administración de las claves, pero también genera costos adicionales para el servicio de Cloud KMS. Los repositorios de Artifact Registry y otros Google Cloud recursos encriptados con CMEK también pueden consumir la cuota de Cloud KMS, según el tipo de clave que uses. Debes confirmar que tienes suficiente cuota para habilitar la encriptación de los secretos de la capa de la aplicación para tus aplicaciones y flujos de trabajo. Para obtener más información, consulta Cuotas de Cloud KMS y Artifact Registry.

Cloud KMS puede ejecutarse en el mismo Google Cloud proyecto que Artifact Registry o en un proyecto distinto en el que administres claves de varios proyectos de forma centralizada. Para admitir la separación de deberes y un mayor control sobre el acceso a las claves, te recomendamos que crees y administres claves en un proyecto independiente que incluya otros recursos de Google Cloud .

Debes asignar una clave de CMEK cuando creas un repositorio. No puedes cambiar el mecanismo de encriptación de un repositorio existente. Si tienes un repositorio encriptado con una CMEK, no puedes cambiar el mecanismo de encriptación para usar una clave de encriptaciónadministrada por Google y de Google , ni asignar una clave de Cloud KMS diferente para la encriptación.

Para obtener más información sobre las CMEK en general, incluso cuándo y por qué habilitarlas, consulta la descripción general de CMEK.

Crea una clave y otorga permisos

En las siguientes instrucciones, se explica cómo crear una clave para un repositorio y otorgar permisos para encriptar y desencriptar datos del repositorio con la clave. Puedes usar una clave creada directamente en Cloud KMS o una clave administrada de forma externa que pongas a disposición con Cloud External Key Manager.

  1. En el Google Cloud proyecto en el que deseas administrar tus claves, haz lo siguiente:

    1. Habilita la API de Cloud KMS.

    2. Crea un llavero de claves y una clave mediante una de las siguientes opciones:

      La ubicación de la clave de Cloud KMS debe coincidir con la ubicación del repositorio del repositorio que encriptarás.

  2. Si no creaste un repositorio en el proyecto de Artifact Registry, la cuenta de servicio de Artifact Registry no existe. Para crear la cuenta de servicio, ejecuta el siguiente comando:

    gcloud beta services identity create --service=artifactregistry.googleapis.com --project=PROJECT

    Reemplaza PROJECT por el ID del proyecto en el que se ejecuta Artifact Registry.

  3. Otorga la función de IAM de encriptador/desencriptador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) a la cuenta de servicio de Artifact Registry. Otorga este permiso en la clave que creaste.

    Console

    1. Ve a la página Claves criptográficas.

      Abre la página de Cloud KMS

    2. Selecciona la clave que creaste.

    3. Otorga acceso a la cuenta de servicio de Artifact Registry:

      1. Selecciona MOSTRAR EL PANEL DE INFORMACIÓN.
      2. Haga clic en AGREGAR MIEMBRO.
      3. Agrega la cuenta de servicio de Artifact Registry. La cuenta de servicio es service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com, en la que PROJECT-NUMBER es el número del proyecto del proyecto Google Cloud en el que se ejecuta Artifact Registry.
      4. En Selecciona una función, selecciona Cloud KMS > Encriptador/Desencriptador de CryptoKey de Cloud KMS.
      5. Haz clic en GUARDAR.

    4. Repite el paso anterior para otorgar acceso a la cuenta que creará los repositorios.

    5. Regresa a la página Administración de claves y vuelve a seleccionar la clave.

    6. Selecciona MOSTRAR EL PANEL DE INFORMACIÓN. Deberías ver los roles en la columna Función/Miembro.

    gcloud

    1. Ejecuta el siguiente comando para otorgar acceso a la cuenta de servicio de Artifact Registry:

      gcloud kms keys add-iam-policy-binding [--project=PROJECT] \
       KEY --location LOCATION --keyring=KEYRING \
       --member serviceAccount:service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com \
       --role roles/cloudkms.cryptoKeyEncrypterDecrypter

      Dónde

      • PROJECT es el ID del proyecto que contiene la clave.
      • KEY es el nombre de la clave.
      • LOCATION es la ubicación de la clave. La ubicación de la clave debe coincidir con la ubicación del repositorio que encriptarás.
      • KEYRING es el nombre del llavero de claves.
      • PROJECT-NUMBER es el número del proyecto del proyecto Google Cloud en el que se ejecuta Artifact Registry.

    2. Repite el paso anterior para otorgar acceso a la cuenta que creará los repositorios.

    Para obtener más información sobre este comando, consulta la documentación de claves add-iam-policy-binding de KMS de gcloud.

A continuación, crea un repositorio y especifica la clave que se usará para la encriptación.

Quita el acceso

Existen varias formas de quitar el acceso a un repositorio encriptado mediante una CMEK:

Te recomendamos revocar los permisos de la cuenta de servicio de Artifact Registry antes de inhabilitar o destruir una clave. Los cambios en los permisos son coherentes en cuestión de segundos, por lo que puedes observar el impacto de inhabilitar o destruir una clave.

Cuando inhabilitas o borras la clave de encriptación de un repositorio, ya no podrás ver ni recuperar datos de artefactos. Todos los datos de artefactos almacenados en el repositorio se vuelven inaccesibles, incluidos los artefactos compilados, los datos binarios arbitrarios (BLOB) y manifiestos como un manifiesto de Docker o un archivo de packument de npm. Los usuarios que tienen el rol de lector de Artifact Registry (roles/artifactregistry.reader) o de Visualizador (roles/artifactregistry.viewer) aún pueden ver metadatos de un artefacto, como el nombre, la versión o la etiqueta del artefacto.

Los usuarios que tienen el rol de administrador de Artifact Registry (roles/artifactregistry.admin) o de propietario (roles/owner) pueden borrar el repositorio.

Políticas de la organización de CMEK

Artifact Registry admite restricciones de políticas de la organización que pueden requerir protección de CMEK.

Las políticas pueden limitar las CryptoKeys de Cloud KMS que se pueden usar para la protección de CMEK.

  • Cuando la API de Artifact Registry está en la lista de servicios de la política Deny de la restricción constraints/gcp.restrictNonCmekServices, Artifact Registry se niega a crear repositorios nuevos que no estén protegidos por CMEK.

  • Cuando se configura constraints/gcp.restrictCmekCryptoKeyProjects, Artifact Registry crea repositorios protegidos por CMEK que están protegidos por una CryptoKey de una organización, carpeta o proyecto permitidos.

Pub/Sub admite las mismas restricciones. Cuando activas la API de Artifact Registry en un Google Cloud proyecto, Artifact Registry intenta crear automáticamente un tema de Pub/Sub con el ID de tema gcr usando propiedad de Google y administradas por Google con tecnología de Google Cloud. Sin embargo, si la API de Pub/Sub está en la lista de políticas Deny para la restricción constraints/gcp.restrictNonCmekServices, Pub/Sub no creará el tema. En este caso, debes crear el tema gcr con encriptación de CMEK. Para obtener más información, consulta las instrucciones de Pub/Sub para encriptar temas.

Para obtener más información sobre la configuración de las políticas de la organización, consulta Políticas de la organización de CMEK.

Próximos pasos