Usar claves de encriptación administradas por el cliente (CMEK)

En esta página, se describe cómo funcionan las claves de encriptación administradas por el cliente (CMEK) con Datastream.

¿Las CMEK son adecuadas para ti?

Las CMEK están diseñadas para organizaciones que tienen datos sensibles o regulados y, por lo tanto, necesitan administrar las claves de encriptación por su cuenta.

Diferencias entre la encriptación administrada por Google y la encriptación administrada por el cliente

La función de CMEK te permite usar tus propias claves criptográficas para los datos en reposo en Datastream. Después de agregar CMEK, Datastream usa tu clave para acceder a los datos cada vez que se realiza una llamada a la API.

Datastream usa claves de encriptación de datos (DEK) y claves de encriptación de claves (KEK) administradas por Google para encriptar Datastream. Existen dos niveles de encriptación:

  1. La DEK encripta datos.
  2. La KEK encripta la DEK.

Datastream almacena la DEK encriptada junto con los datos encriptados, y Google administra la KEK de Google. Con la CMEK, creas una clave que une la KEK de Google. La CMEK te permite crear, revocar y borrar la KEK.

Las CMEK, incluidas las claves de software, hardware y externas, se administran a través de la API de Cloud Key Management Service (KMS).

¿Qué ubicaciones admiten transmisiones de Datastream con CMEK habilitada?

La CMEK está disponible en todas las ubicaciones de Datastream.

Comprende las cuentas de servicio

Cuando tus transmisiones de Datastream tienen habilitada la CMEK, debes usar una cuenta de servicio para solicitar acceso a la clave desde Cloud Key Management Service.

Para usar una CMEK en un proyecto, debes tener una cuenta de servicio y otorgarle acceso a la clave. La cuenta de servicio debe existir dentro del proyecto. La cuenta de servicio es visible en todas las regiones.

Si usas Console para crear una transmisión, Datastream crea la cuenta de servicio automáticamente la primera vez que eliges la opción Clave administrada por el cliente (si aún no existe una cuenta de servicio). No necesitas tener permisos especiales en tu cuenta de usuario cuando Datastream crea la cuenta de servicio automáticamente.

Información sobre las claves

En Cloud Key Management Service, debes crear un llavero de claves con una clave criptográfica, configurada con una ubicación. Cuando creas un flujo nuevo en Datastream, seleccionas esta clave para encriptarlo.

Cuando crees transmisiones nuevas que usen CMEK, debes conocer el ID y la región de la clave. Debes colocar las transmisiones nuevas en la misma región que la clave CMEK asociada a ellas. Puedes crear un solo proyecto para las claves y las transmisiones, o proyectos diferentes.

CMEK usa el siguiente formato:

projects/[CMEK_ENABLED_PROJECT]/locations/[REGION]/keyRings/[RING_NAME]/cryptoKeys/[KEYNAME]

Si Datastream no puede acceder a la clave (por ejemplo, si inhabilitas la versión de la clave), cambiará el estado de la transmisión a FAILED y aparecerá un mensaje de error asociado. Después de solucionar los problemas asociados con el mensaje de error para que se pueda acceder a la clave de nuevo, Datastream reanuda la transmisión automáticamente.

Administradores de claves externas

Puedes usar claves almacenadas en administradores de claves externos, como Fortanix, Ionic o Thales, como tu CMEK. Para obtener información sobre cómo usar claves externas con Cloud Key Management Service, consulta Cloud External Key Manager.

¿Cómo haces que los datos encriptados con CMEK queden inaccesibles de forma permanente?

Es posible que surjan situaciones en las que quieras destruir de forma permanente los datos encriptados con CMEK. Para ello, debes destruir la versión de la CMEK. No puedes destruir el llavero de claves o la clave, pero puedes destruir las versiones de la clave.

Restricciones

Se aplican las siguientes restricciones cuando se usa la CMEK:

  • No puedes actualizar la CMEK en una transmisión en ejecución.

  • Si bien puedes usar la CMEK para encriptar filas de la base de datos de origen, no puedes usar estas claves para encriptar metadatos de transmisión, como el ID de transmisión, la dirección IP de la base de datos de origen, los nombres de las tablas de la base de datos de origen, etcétera.

Usa CMEK

Ahora que comprendes la CMEK, puedes configurar una cuenta de servicio y claves para la CMEK. Además, aprenderás a configurar Datastream para usar CMEK.

Antes de comenzar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. Instala e inicializa el SDK de Cloud.
  7. Asegúrate de tener asignado el rol de administrador de Datastream a tu cuenta de usuario.

    Ir a la página IAM

  8. Enable the Cloud Key Management Service API.

    Enable the API

  9. Habilita la API de Datastream.

    Habilitación de la API

    10. Flujo de trabajo para crear una transmisión en Datastream con CMEK

    1. Solo para usuarios de gcloud y API: Asegúrate de tener una cuenta de servicio para cada proyecto que requiera CMEK. Si no tienes una, aquí te explicamos cómo crear una cuenta de servicio.
    2. Crea un llavero de claves y una clave, y establece la ubicación de cada clave. La ubicación es la región Google Cloud .
    3. Solo para usuarios de gcloud y API: otórgale a la cuenta de servicio acceso a la clave.
    4. Copia o escribe el ID (KMS_KEY_ID) y la ubicación de la clave, y el ID (KMS_KEYRING_ID) del llavero de claves. Necesitarás esta información cuando le otorgues a la cuenta de servicio acceso a la clave.
    5. Ve a un proyecto y crea una transmisión en Datastream con las siguientes opciones:
      1. La misma ubicación que la CMEK
      2. La configuración de CMEK
      3. ID de la CMEK

    Ahora tu transmisión de Datastream está habilitada con CMEK.

    Crea una cuenta de servicio

    Debes crear una cuenta de servicio para cada proyecto que requiera CMEK.

    Para permitir que un usuario administre cuentas de servicio, otorga una de las siguientes funciones:

    • Usuario de cuenta de servicio (roles/iam.serviceAccountUser): Incluye permisos para enumerar cuentas de servicio, obtener detalles sobre ellas, o bien actuar en nombre de una.
    • Administrador de cuenta de servicio (roles/iam.serviceAccountAdmin): Incluye permisos para enumerar cuentas de servicio y obtener detalles sobre ellas. También incluye permisos para crear, actualizar y borrar cuentas de servicio, y para ver o cambiar la política de Datastream en una cuenta de servicio.

    Por el momento, solo puedes usar los comandos de gcloud para crear el tipo de cuenta de servicio que necesitas para CMEK. Si usas la consola, Datastream crea automáticamente esta cuenta de servicio.

    Para crear una cuenta de servicio con gcloud, ejecuta el siguiente comando:

    gcloud beta services identity create \
--service=datastream.googleapis.com \
--project=PROJECT_ID

    En el comando anterior, se muestra un nombre de cuenta de servicio. Debes usar este nombre de cuenta de servicio durante el procedimiento que se muestra en la página sobre cómo otorgar acceso a la clave a la cuenta de servicio.

    Crear una clave

    Puedes crear la clave en el mismo proyecto Google Cloud que la transmisión en Datastream o en otro proyecto de usuario. La ubicación del llavero de claves de Cloud KMS debe coincidir con la región en la que deseas crear la transmisión. Una clave multirregional o de región global no funcionará. Si las regiones no coinciden, no podrás crear la transmisión.

    Para crear una clave de Cloud KMS:

    Console

    1. En la consola de Google Cloud , ve a la página Claves criptográficas.
    2. Haz clic en Crear llavero de claves.
    3. Agrega el Nombre del llavero de claves. Anota este nombre porque lo necesitarás al momento de otorgar el acceso a la clave a la cuenta de servicio.
    4. Agrega la Ubicación del llavero de claves.
    5. Haz clic en Crear. Se abre la página Crear clave.
    6. Agrega el Nombre de la clave.
    7. Selecciona un Propósito (simétrico o asimétrico).
    8. Selecciona un Período de rotación y una Fecha de inicio.
    9. Haz clic en Crear.
    10. En la tabla Claves, en la última columna, haz clic en los tres puntos y selecciona Copiar ID del recurso o escribe el ID. Este es el KMS_KEY_ID. Necesitarás el KMS_KEY_ID al momento de otorgar acceso a la clave a la cuenta de servicio.

    gcloud

    1. Crea un llavero de claves nuevo. 
      gcloud kms keyrings create KMS_KEYRING_ID \
--location=GCP_REGION
      Escribe este nombre, ya que lo necesitarás al momento de otorgar acceso a la clave a la cuenta de servicio.
    2. Crea una llave en el llavero de claves. 
      gcloud kms keys create KMS_KEY_ID \
--location=GCP_REGION \
--keyring=KMS_KEYRING_ID \
--purpose=encryption
      Escribe este nombre, ya que lo necesitarás al momento de otorgar acceso a la clave a la cuenta de servicio.

    Otorga acceso a la clave a la cuenta de servicio

    Solo debes realizar este procedimiento si usas gcloud o la API.

    Para otorgar acceso a la cuenta de servicio, usa el siguiente código:

    gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--location=GCP_REGION \
--keyring=KMS_KEYRING_ID \
--member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-datastream.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

    Crea una transmisión en Datastream con CMEK

    Como parte de la creación de una transmisión en Datastream, puedes usar tu CMEK para administrar la encriptación de tus datos.

    ¿Qué sigue?