Crea y obtén una clave CMEK

Si usas claves de encriptación administradas por el cliente (CMEK) para encriptar los recursos de Assured Workloads, en esta página se muestra cómo crear y obtener esas claves. Obtén más información sobre las opciones de encriptación de Assured Workloads.

Antes de comenzar

1. Debes ser propietario de un proyecto o administrador de la organización, o tener acceso de seguridad al proyecto. Para los usuarios nuevos, consulta Primeros pasos con Assured Workloads.

2. Elige una estrategia de encriptación.

3. Crea una carpeta en el entorno de Assured Workloads que admita el régimen de cumplimiento de la siguiente manera:

   • Crea una carpeta nueva en un entorno de carga de trabajo (IL4, CJIS).
   • Cómo crear una carpeta nueva en un entorno de cargas de trabajo (FedRAMP, asistencia y regiones de EE.UU.)

4. Selecciona el ID del proyecto que contiene tus claves de CMEK de Assured Workloads. Si eliges IL4 o CJIS como régimen de cumplimiento, de forma predeterminada, este proyecto se crea para ti.

Crea la clave.

Para crear la clave CMEK, haz lo siguiente:

1. En la consola de Google Cloud, ve a Claves criptográficas:

   Ir a Claves criptográficas

2. Selecciona el proyecto de CMEK de Assured Workloads. De forma predeterminada, este ID del proyecto comienza con cmek-.

3. Haz clic en tu llavero de claves.

4. Haga clic en Crear clave.

5. En la lista desplegable ¿Qué tipo de clave quieres crear?, selecciona Clave generada.

6. En Nombre de la clave, ingresa el nombre de la clave.

7. En la lista desplegable Nivel de protección, selecciona Software.

8. En la lista desplegable Propósito, selecciona Encriptación/desencriptación simétrica.

9. En la lista desplegable Período de rotación, selecciona 90 días.

10. Opcional: Para agregar una etiqueta, haz lo siguiente:

    1. Haz clic en Agregar una etiqueta.
    2. Ingresa una clave en el campo de texto Clave.
    3. Ingresa un valor en el campo de texto Valor.

11. Haga clic en Crear.

Verás que la clave se creó.

Obtén tu ID de recurso de la clave CMEK

1. En la consola de Google Cloud, en el Selector de proyectos, selecciona el ID del proyecto que contiene tus claves CMEK. De forma predeterminada, si Assured Workloads crea este proyecto, antepone el ID del proyecto cmek-.

2. En Seguridad, ve a Claves criptográficas:

   Ir a Claves criptográficas

3. En Llaveros de claves, haz clic en el nombre del llavero de claves.

4. En Detalles del llavero de claves, en la pestaña Claves, haz clic en el nombre de la clave.

5. Haz clic en el ícono more_vertMás a la derecha del nombre de la clave.

6. Haz clic en Copiar nombre del recurso.

   La string del recurso se formatea de la siguiente manera:

    projects/SECURITY_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
   

¿Qué sigue?

• Obtén más información sobre cómo encriptar Cloud Storage con CMEK.
• Obtén más información sobre cómo encriptar Persistent Disk mediante CMEK.
• Obtén más información sobre cómo encriptar BigQuery con CMEK.