Descripción general
En esta página, se describe cómo funcionan las claves de encriptación administradas por el cliente (CMEK) con Datastream.
¿Las CMEK son adecuadas para ti?
Las CMEK están diseñadas para organizaciones que tienen datos sensibles o regulados y, por lo tanto, necesitan administrar las claves de encriptación por su cuenta.
Diferencias entre la encriptación administrada por Google y la encriptación administrada por el cliente
La función CMEK te permite usar tus propias claves criptográficas para los datos en reposo en Datastream. Después de agregar CMEK, cada vez que se realice una llamada a la API, Datastream usará tu clave para acceder a los datos.
Datastream usa claves de encriptación de datos (DEK) administradas por Google y claves de encriptación de claves (KEK) para encriptar Datastream. Existen dos niveles de encriptación:
- La DEK encripta datos.
- La KEK encripta la DEK.
Datastream almacena la DEK encriptada junto con los datos encriptados, y Google administra la KEK de Google. Con CMEK, creas una clave que une la KEK de Google. CMEK te permite crear, revocar y borrar la KEK.
Las CMEK, incluido el software, el hardware y las claves externas, se administran a través de la API de Cloud Key Management Service (KMS).
¿Qué ubicaciones admiten transmisiones de Datastream con CMEK habilitadas?
CMEK está disponible en todas las ubicaciones de Datastream.
Comprende las cuentas de servicio
Cuando tus transmisiones de Datastream tienen CMEK habilitadas, debes usar una cuenta de servicio para solicitar acceso a las claves desde Cloud Key Management Service.
Para usar una CMEK en un proyecto, debes tener una cuenta de servicio y otorgarle acceso a la clave a la clave. La cuenta de servicio debe existir dentro del proyecto. La cuenta de servicio es visible en todas las regiones.
Si usas la consola para crear una transmisión, Datastream creará la cuenta de servicio automáticamente cuando elijas por primera vez la opción Clave administrada por el cliente (si aún no existe una cuenta de servicio). No es necesario que tengas permisos especiales en tu cuenta de usuario cuando Datastream crea la cuenta de servicio automáticamente.
Comprende las claves
En Cloud Key Management Service, debes crear un llavero de claves con una clave criptográfica y una ubicación. Cuando creas una transmisión nueva en Datastream, debes seleccionar esta clave para encriptarla.
Cuando crees transmisiones nuevas que usen CMEK, debes conocer el ID y la región de la clave. Debes colocar las transmisiones nuevas en la misma región que la CMEK asociada a las transmisiones. Puedes crear un solo proyecto para las claves y las transmisiones, o proyectos diferentes para cada uno.
CMEK usa el siguiente formato:
projects/[CMEK_ENABLED_PROJECT]/locations/[REGION]/keyRings/[RING_NAME]/cryptoKeys/[KEYNAME]
Si Datastream no puede acceder a la clave (por ejemplo, inhabilitas la versión de clave), Datastream cambia el estado de la transmisión a FAILED
y aparece un mensaje de error asociado. Después de solucionar cualquier problema asociado con el mensaje de error para que se pueda volver a acceder a la clave, Datastream reanuda la transmisión automáticamente.
Administradores de claves externas
Puedes usar las claves almacenadas en administradores de claves externos, como Fortanix, Ionic o Thales, como tu CMEK. Para aprender a usar claves externas con Cloud Key Management Service, consulta Cloud External Key Manager.
¿Cómo se hace que los datos encriptados con CMEK sean inaccesibles de forma permanente?
Es posible que surjan situaciones en las que quieras destruir de forma permanente los datos encriptados con CMEK. Para ello, debes destruir la versión de la CMEK. No puedes destruir el llavero de claves o la clave, pero puedes destruir las versiones de clave.
Restricciones
Se aplican las siguientes restricciones cuando se usa CMEK:
No puedes actualizar CMEK en una transmisión en ejecución.
Aunque puedes usar CMEK para encriptar filas de la base de datos de origen, no puedes usar estas claves para encriptar metadatos de flujos, como el ID de flujo, la dirección IP de la base de datos de origen, los nombres de las tablas de la base de datos de origen, etcétera.
Usa CMEK
Ahora que comprendes las CMEK, está todo listo para configurar una cuenta de servicio y claves para CMEK. Además, aprenderás a configurar Datastream para usar CMEK. Para obtener más información sobre CMEK, consulta Descripción general.
Antes de comenzar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Instala e inicializa el SDK de Cloud.
- Asegúrate de tener asignado el rol Administrador de Datastream a tu cuenta de usuario.
-
Enable the Cloud Key Management Service API.
- Habilita la API de Datastream.
Flujo de trabajo para crear un flujo en Datastream con CMEK
- Solo para usuarios de gcloud y API: Asegúrate de tener una cuenta de servicio para cada proyecto que requiera CMEK. De lo contrario, aquí te indicamos cómo crear una cuenta de servicio.
- Crea un llavero de claves y una clave, y establece la ubicación de cada clave. La ubicación es la región de Google Cloud.
- Solo para usuarios de gcloud y API: otórgale a la cuenta de servicio acceso a la clave.
- Copia o escribe el ID (
KMS_KEY_ID
) y la ubicación de la clave, y el ID (KMS_KEYRING_ID
) del llavero de claves. Necesitas esta información cuando le otorgas acceso a la clave a la cuenta de servicio. - Ve a un proyecto y crea una transmisión en Datastream con las siguientes opciones:
- La misma ubicación que la CMEK
- La configuración de CMEK
- El ID de CMEK
Tu transmisión en Datastream ahora está habilitada con CMEK.
Crea una cuenta de servicio
Debes crear una cuenta de servicio para cada proyecto que requiera CMEK.
Para permitir que un usuario administre cuentas de servicio, otorga una de las siguientes funciones:
- Usuario de cuenta de servicio (
roles/iam.serviceAccountUser
): Incluye permisos para enumerar cuentas de servicio, obtener detalles sobre ellas, o bien actuar en nombre de una. - Administrador de cuenta de servicio (
roles/iam.serviceAccountAdmin
): Incluye permisos para enumerar cuentas de servicio y obtener detalles sobre ellas. También incluye permisos para crear, actualizar y borrar cuentas de servicio, y permisos para ver o cambiar la política de Datastream en una cuenta de servicio.
Por el momento, solo puedes usar los comandos de gcloud
para crear el tipo de cuenta de servicio que necesitas para las CMEK. Si usas Console, Datastream crea esta cuenta de servicio automáticamente.
Para crear una cuenta de servicio con gcloud
, ejecuta el siguiente comando:
gcloud beta services identity create \ --service=datastream.googleapis.com \ --project=PROJECT_ID
En el comando anterior, se muestra un nombre de cuenta de servicio. Usarás este nombre de cuenta de servicio durante el procedimiento en Otorga acceso a la clave a la cuenta de servicio.
Crear una clave
Puedes crear la clave en el mismo proyecto de Google Cloud que el flujo en Datastream o en otro proyecto de usuario. La ubicación del llavero de claves de Cloud KMS debe coincidir con la región en la que deseas crear la transmisión. Una clave multirregional o de región global no funcionará. Si las regiones no coinciden, no podrás crear la transmisión.
Para crear una clave de Cloud KMS:
Console
- En la consola de Google Cloud, ve a la página Claves criptográficas.
- Haz clic en Crear llavero de claves.
- Agrega el Nombre del llavero de claves. Anota este nombre porque lo necesitarás al momento de otorgar el acceso a la clave a la cuenta de servicio.
- Agrega la Ubicación del llavero de claves.
- Haz clic en Crear. Se abre la página Crear clave.
- Agrega el Nombre de la clave.
- Selecciona un Propósito (simétrico o asimétrico).
- Selecciona un Período de rotación y una Fecha de inicio.
- Haz clic en Crear.
- En la tabla Claves, en la última columna, haz clic en los tres puntos y selecciona Copiar ID del recurso o escribe el ID. Este es el
KMS_KEY_ID
. Necesitarás elKMS_KEY_ID
cuando le otorgues a la cuenta de servicio acceso a la clave.
gcloud
- Crea un llavero de claves nuevo.
Anota este nombre, ya que lo necesitarás cuando le otorgues acceso a la clave a la cuenta de servicio.gcloud kms keyrings create KMS_KEYRING_ID \ --location=GCP_REGION
- Crea una llave en el llavero de claves.
Anota este nombre, ya que lo necesitarás cuando le otorgues acceso a la clave a la cuenta de servicio.gcloud kms keys create KMS_KEY_ID \ --location=GCP_REGION \ --keyring=KMS_KEYRING_ID \ --purpose=encryption
Otorga acceso a la clave a la cuenta de servicio
Solo debes realizar este procedimiento si usas gcloud
o la API.
Para otorgar acceso a la cuenta de servicio, usa el siguiente código:
gcloud kms keys add-iam-policy-binding KMS_KEY_ID \ --location=GCP_REGION \ --keyring=KMS_KEYRING_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-datastream.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Crea una transmisión en Datastream con CMEK
Como parte de la creación de una transmisión en Datastream, puedes usar tu CMEK para administrar la encriptación de tus datos.
¿Qué sigue?
- Para aprender a inhabilitar una versión de clave, consulta Cómo inhabilitar una versión de clave habilitada.
- Para aprender a volver a habilitar una versión de clave, consulta Habilita una versión de clave inhabilitada.