Se usó la API de Cloud Translation para traducir esta página.
Switch to English

Habilita claves de encriptación administradas por el cliente

En esta página, se describe cómo encriptar el contenido almacenado en repositorios con claves de encriptación administradas por el cliente (CMEK).

Descripción general

De forma predeterminada, Google Cloud encripta los datos cuando están en reposo de manera automática mediante claves de encriptación administradas por Google. Si tienes requisitos regulatorios o de cumplimiento específicos relacionados con las claves que protegen los datos, puedes crear repositorios encriptados con claves CMEK. Los metadatos sobre un repositorio, como el nombre del repositorio, se encriptan mediante la encriptación predeterminada de Google.

Cuando habilitas CMEK, los datos en reposo que se encuentran en repositorios se encriptan mediante una clave que administras en Cloud Key Management Service. Puedes controlar el acceso a la clave CMEK mediante la administración de identidades y accesos. Si inhabilitas de forma temporal la clave CMEK o la borras de forma permanente, no se podrá acceder a los datos encriptados con esa clave.

La CMEK te permite controlar más aspectos del ciclo de vida y la administración de las claves, pero también genera costos adicionales para el servicio de Cloud KMS. Los repositorios encriptados mediante una CMEK también consumen la cuota de solicitudes criptográficas de Cloud Key Management Service por cada carga o descarga.

Cloud KMS puede ejecutarse en el mismo proyecto de Google Cloud que Artifact Registry o en un proyecto distinto en el que administres claves de varios proyectos de forma centralizada.

Debes asignar una clave de Cloud KMS cuando creas un repositorio.

No puedes cambiar el mecanismo de encriptación de un repositorio existente. Si tienes un repositorio encriptado mediante una CMEK, no puedes cambiar el mecanismo de encriptación a la encriptación predeterminada de Google ni asignar una clave de Cloud KMS diferente para la encriptación.

Para obtener más información sobre las CMEK en general, incluso cuándo y por qué habilitarlas, consulta la documentación de Cloud KMS.

Crea una clave y otorga permisos

Si deseas crear una clave para el repositorio y otorgar permisos para encriptar y desencriptar datos del repositorio mediante la clave, haz lo siguiente:

  1. En el proyecto de Google Cloud en el que deseas administrar tus claves, sigue estos pasos:

    1. Habilita la API de Cloud KMS.
    2. Crea un llavero de claves y una clave. La ubicación de la clave debe coincidir con la ubicación del repositorio que encriptarás.
  2. Si no creaste un repositorio en el proyecto de Artifact Registry, la cuenta de servicio de Artifact Registry aún no existe. Para crear la cuenta de servicio, ejecuta el siguiente comando:

    gcloud beta services identity create --service=artifactregistry.googleapis.com --project=PROJECT
    

    Reemplaza PROJECT por el ID del proyecto en el que se ejecuta Artifact Registry.

  3. Otorga la función de IAM de encriptador/desencriptador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) a la cuenta de servicio de Artifact Registry. Otorga este permiso en la clave que creaste.

    Console

    1. Ve a la página Claves criptográficas.

      Abre la página de Cloud KMS

    2. Selecciona la clave que creaste.

    3. Selecciona MOSTRAR EL PANEL DE INFORMACIÓN.

    4. Haga clic en AGREGAR MIEMBRO.

    5. Agrega la cuenta de servicio de Artifact Registry. La cuenta de servicio es service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com, en la que PROJECT-NUMBER es el número del proyecto de Google Cloud en el que se ejecuta Artifact Registry.

    6. En Selecciona una función, selecciona Cloud KMS > Encriptador/Desencriptador de CryptoKey de Cloud KMS.

    7. Haga clic en GUARDAR.

    8. Regresa a la página Claves criptográficas y vuelve a seleccionar la clave.

    9. Selecciona MOSTRAR EL PANEL DE INFORMACIÓN. Deberías ver las funciones en la columna Función/Miembro.

    gcloud

    Ejecuta el siguiente comando:

    gcloud kms keys add-iam-policy-binding [--project=PROJECT] \
           KEY --location LOCATION --keyring=KEYRING \
           --member serviceAccount:service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com \
           --role roles/cloudkms.cryptoKeyEncrypterDecrypter
    
    • PROJECT es el ID del proyecto que contiene la clave.
    • KEY es el nombre de la clave.
    • LOCATION es la ubicación de la clave. La ubicación de la clave debe coincidir con la ubicación del repositorio que encriptarás.
    • KEYRING es el nombre del llavero de claves.
    • PROJECT-NUMBER es el número del proyecto de Google Cloud en el que se ejecuta Artifact Registry.

    Para obtener más información sobre este comando, consulta la documentación de claves add-iam-policy-binding de KMS de gcloud.

Ahora puedes crear un repositorio y especificar la clave que se usará para la encriptación.

Quita el acceso

Existen varias formas de quitar el acceso a un repositorio encriptado mediante una CMEK:

Te recomendamos revocar los permisos de la cuenta de servicio de Artifact Registry antes de inhabilitar o destruir una clave. Los cambios en los permisos son coherentes en cuestión de segundos, por lo que puedes observar el impacto de inhabilitar o destruir una clave.

Cuando inhabilitas o borras la clave de encriptación de un repositorio, ya no podrás ver ni recuperar datos de artefactos. Todos los datos de artefactos almacenados en el repositorio se vuelven inaccesibles, incluidos los artefactos compilados, los datos binarios arbitrarios (BLOB) y manifiestos como un manifiesto de Docker o un archivo de packument de npm. Los usuarios que tienen la función de lector o de Visualizador de Artifact Registry aún pueden ver metadatos de un artefacto, como el nombre, la versión o la etiqueta del artefacto.

Los usuarios que tienen la función de administrador o de propietario de Artifact Registry pueden borrar el repositorio.

¿Qué sigue?