Cambiaron los nombres de algunos paquetes de controles de Assured Workloads. Para obtener información sobre el cambio de nombre, consulta el Aviso sobre el cambio de nombre del paquete de control.

Se usó la API de Cloud Translation para traducir esta página.

Encriptación de datos y claves de encriptación

En esta página, se proporciona información sobre la encriptación de datos en Google Cloud y sobre las claves de encriptación.

Encriptación de datos en tránsito y en reposo

Google Cloud habilita la encriptación en tránsito de forma predeterminada para encriptar solicitudes antes de la transmisión y proteger los datos sin procesar mediante el protocolo de seguridad de la capa de transporte (TLS).

Una vez que los datos se transfieren a Google Cloud para almacenarlos, Google Cloudaplica la encriptación en reposo de forma predeterminada. Para tener más control sobre cómo se encriptan los datos en reposo, los clientes deGoogle Cloud pueden usar Cloud Key Management Service para generar, usar, rotar y destruir las claves de encriptación según corresponda a sus propias políticas. Estas claves se denominan claves de encriptación administradas por el cliente (CMEK).

Para ciertos paquetes de control, Assured Workloads puede implementar un proyecto de CMEK junto con el proyecto de recursos cuando creas una carpeta de Assured Workloads.

Como alternativa a las CMEK, Google-owned and Google-managed encryption keys, que se proporciona de forma predeterminada, cumple con FIPS-140-2 y puede admitir la mayoría de los paquetes de control en Assured Workloads. Los clientes pueden borrar el proyecto CMEK y depender solo de Google-owned and Google-managed encryption keys. Sin embargo, te recomendamos que decidas si usarás claves CMEK antes de crear la carpeta de Assured Workloads, ya que la eliminación de las CMEK existentes en uso puede generar una incapacidad para acceder a los datos o recuperarlos.

Claves de encriptación administradas por el cliente (CMEK)

Si necesitas más control sobre las claves que se usan para encriptar los datos en reposo en un proyecto deGoogle Cloud de lo que proporciona la encriptación predeterminada de Google Cloud,los servicios de Google Cloud ofrecen la capacidad de proteger los datos mediante claves de encriptación administradas por el cliente dentro de Cloud KMS. Estas claves de encriptación se denominan claves de encriptación administradas por el cliente (CMEK).

Para saber qué aspectos del ciclo de vida y administración de las claves proporciona CMEK, consulta Claves de encriptación administradas por el cliente (CMEK) en la documentación de Cloud KMS. Para ver un instructivo que te ayude a administrar claves y datos encriptados mediante Cloud KMS, consulta la guía de inicio rápido o el codelab.

¿Qué sigue?

Obtén más información para crear una clave simétrica con Cloud KMS.