Encripta datos con claves de encriptación administradas por el cliente (CMEK)

En esta página, se describe cómo encriptar datos almacenados en instancias de IA contra el lavado de dinero con claves de encriptación administradas por el cliente (CMEK).

Descripción general

Todos los datos del cliente en una instancia de IA contra lavado de dinero se encriptan con una clave CMEK cuando se almacenan en reposo. Administras la clave dentro de Cloud Key Management Service y controlas el acceso a la clave con Identity and Access Management. Si inhabilitas de forma temporal o destruyes la clave CMEK de forma permanente, no se podrá acceder a los datos encriptados con esa clave.

CMEK te permite controlar más aspectos del ciclo de vida y la administración de tus claves, pero también genera costos adicionales para el servicio de Cloud KMS.

Cloud KMS puede ejecutarse en el mismo proyecto de Google Cloud que la IA contra el lavado de dinero o en un proyecto separado en el que administras las claves de forma centralizada para varios proyectos.

Debes asignar una clave CMEK cuando creas una instancia. Todas las instancias deben configurarse con CMEK y no se pueden cambiar para que usen la encriptación predeterminada de Google.

Para obtener más información sobre las CMEK en general, incluso cuándo y por qué habilitarlas, consulta la documentación de Cloud KMS.

Datos de clientes

Todos los datos del cliente controlados por la IA contra el lavado de dinero se encriptan en reposo con la clave CMEK especificada en el recurso superior Instancia correspondiente. Esto incluye todos los datos de clientes asociados con los recursos de IA contra lavado de dinero, como conjuntos de datos, configuraciones de motores, modelos y mucho más. Todo el almacenamiento temporal y persistente de los datos del cliente, incluidas las copias de entradas y salidas, los atributos de AA generados, los registros, los hiperparámetros de modelos, los pesos del modelo y los resultados de las predicciones, se encriptan con la clave CMEK de la instancia correspondiente.

La IA contra el lavado de dinero no administra la encriptación de los datos de entrada o salida en tu proyecto de Google Cloud. Si deseas que se encripten estos datos, debes configurar una clave CMEK independiente en tu proyecto de Google Cloud. La clave de KMS especificada en una instancia se usa para los recursos de IA contra el lavado de dinero y sus datos.

Crea una clave y otorga permisos

En las siguientes instrucciones, se explica cómo crear una clave para una instancia y otorgar permisos con el objetivo de encriptar y desencriptar datos de la instancia con ella. Puedes usar una clave creada directamente en Cloud KMS o una clave administrada de forma externa que pongas a disposición con Cloud External Key Manager.

  1. En el proyecto de Google Cloud en el que deseas administrar tus claves, haz lo siguiente:

    1. Habilita la API de Cloud KMS.

    2. Crea un llavero de claves con el método projects.locations.keyRings.create. La ubicación del llavero de claves de Cloud KMS debe coincidir con la ubicación de la instancia que encriptas.

      REST

      Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

      • KMS_PROJECT_ID: Es el ID del proyecto de Google Cloud para el proyecto que contiene el llavero de claves.
      • LOCATION: Es la ubicación del llavero de claves. Usa una de las regiones compatibles:
        • us-central1
        • us-east1
        • asia-south1
        • europe-west1
        • europe-west2
        • europe-west4
        • northamerica-northeast1
        • southamerica-east1
      • KEY_RING_ID: Es un identificador definido por el usuario para el llavero de claves.

      Para enviar tu solicitud, elige una de estas opciones:

      curl

      Ejecuta el siguiente comando:

      curl -X POST \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      -H "Content-Type: application/json; charset=utf-8" \
      -d "" \
      "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"

      PowerShell

      Ejecuta el siguiente comando:

      $cred = gcloud auth print-access-token
      $headers = @{ "Authorization" = "Bearer $cred" }

      Invoke-WebRequest `
      -Method POST `
      -Headers $headers `
      -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content

      Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

      {
        "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID",
        "createTime": CREATE_TIME
      }
      

      gcloud

      Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

      • LOCATION: Es la ubicación del llavero de claves. Usa una de las regiones compatibles:
        • us-central1
        • us-east1
        • asia-south1
        • europe-west1
        • europe-west2
        • europe-west4
        • northamerica-northeast1
        • southamerica-east1
      • KEY_RING_ID: Es un identificador definido por el usuario para el llavero de claves.

      Ejecuta el siguiente comando:

      Linux, macOS o Cloud Shell

      gcloud kms keyrings create KEY_RING_ID \
        --location LOCATION
      

      Windows (PowerShell)

      gcloud kms keyrings create KEY_RING_ID `
        --location LOCATION
      

      Windows (cmd.exe)

      gcloud kms keyrings create KEY_RING_ID ^
        --location LOCATION
      
      Deberías recibir una respuesta vacía:
      $

    3. Crea una clave con el método projects.locations.keyRings.cryptoKeys.

      REST

      Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

      • KMS_PROJECT_ID: Es el ID del proyecto de Google Cloud para el proyecto que contiene el llavero de claves.
      • LOCATION: Es la ubicación del llavero de claves. Usa una de las regiones compatibles:
        • us-central1
        • us-east1
        • asia-south1
        • europe-west1
        • europe-west2
        • europe-west4
        • northamerica-northeast1
        • southamerica-east1
      • KEY_RING_ID: Es el identificador definido por el usuario para el llavero de claves.
      • KEY_ID: Es un identificador definido por el usuario para la clave.

      Cuerpo JSON de la solicitud:

      {
        "purpose": "ENCRYPT_DECRYPT"
      }
      

      Para enviar tu solicitud, elige una de estas opciones:

      curl

      Guarda el cuerpo de la solicitud en un archivo llamado request.json. Ejecuta el comando siguiente en la terminal para crear o reemplazar este archivo en el directorio actual:

      cat > request.json << 'EOF'
      {
        "purpose": "ENCRYPT_DECRYPT"
      }
      EOF

      Luego, ejecuta el siguiente comando para enviar tu solicitud de REST:

      curl -X POST \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      -H "Content-Type: application/json; charset=utf-8" \
      -d @request.json \
      "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"

      PowerShell

      Guarda el cuerpo de la solicitud en un archivo llamado request.json. Ejecuta el comando siguiente en la terminal para crear o reemplazar este archivo en el directorio actual:

      @'
      {
        "purpose": "ENCRYPT_DECRYPT"
      }
      '@  | Out-File -FilePath request.json -Encoding utf8

      Luego, ejecuta el siguiente comando para enviar tu solicitud de REST:

      $cred = gcloud auth print-access-token
      $headers = @{ "Authorization" = "Bearer $cred" }

      Invoke-WebRequest `
      -Method POST `
      -Headers $headers `
      -ContentType: "application/json; charset=utf-8" `
      -InFile request.json `
      -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content

      Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

      {
        "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
        "primary": {
          "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1",
          "state": "ENABLED",
          "createTime": CREATE_TIME,
          "protectionLevel": "SOFTWARE",
          "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION",
          "generateTime": GENERATE_TIME
        },
        "purpose": "ENCRYPT_DECRYPT",
        "createTime": CREATE_TIME,
        "versionTemplate": {
          "protectionLevel": "SOFTWARE",
          "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
        },
        "destroyScheduledDuration": "86400s"
      }
      

      gcloud

      Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

      • LOCATION: Es la ubicación del llavero de claves. Usa una de las regiones compatibles:
        • us-central1
        • us-east1
        • asia-south1
        • europe-west1
        • europe-west2
        • europe-west4
        • northamerica-northeast1
        • southamerica-east1
      • KEY_RING_ID: Es el identificador definido por el usuario para el llavero de claves.
      • KEY_ID: Es un identificador definido por el usuario para la clave.

      Ejecuta el siguiente comando:

      Linux, macOS o Cloud Shell

      gcloud kms keys create KEY_ID \
        --keyring KEY_RING_ID \
        --location LOCATION \
        --purpose "encryption"
      

      Windows (PowerShell)

      gcloud kms keys create KEY_ID `
        --keyring KEY_RING_ID `
        --location LOCATION `
        --purpose "encryption"
      

      Windows (cmd.exe)

      gcloud kms keys create KEY_ID ^
        --keyring KEY_RING_ID ^
        --location LOCATION ^
        --purpose "encryption"
      
      Deberías recibir una respuesta vacía:
      $

  2. Si no creaste una instancia de IA contra lavado de dinero en el proyecto, la cuenta de servicio de IA contra lavado de dinero aún no existe. Cree la cuenta de servicio.

    Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

    • PROJECT_ID: Es el ID del proyecto de Google Cloud en el que se ejecuta la IA contra el lavado de dinero.

    Ejecuta el siguiente comando:

    Linux, macOS o Cloud Shell

    gcloud beta services identity create --service=financialservices.googleapis.com --project=PROJECT_ID
    

    Windows (PowerShell)

    gcloud beta services identity create --service=financialservices.googleapis.com --project=PROJECT_ID
    

    Windows (cmd.exe)

    gcloud beta services identity create --service=financialservices.googleapis.com --project=PROJECT_ID
    

    Deberías recibir una respuesta similar a la que figura a continuación:

    Service identity created: service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com

  3. Otorga la función de IAM de Encriptador o Desencriptador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) a la cuenta de servicio de IA contra el lavado de dinero. Otorga este permiso en la clave que creaste.

    Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:

    • PROJECT_ID: Es el ID del proyecto de Google Cloud en el que se ejecuta la IA contra el lavado de dinero.
    • KEY_ID: Es el identificador definido por el usuario para la clave.
    • LOCATION: Es la ubicación del llavero de claves. Usa una de las regiones compatibles:
      • us-central1
      • us-east1
      • asia-south1
      • europe-west1
      • europe-west2
      • europe-west4
      • northamerica-northeast1
      • southamerica-east1
    • KEY_RING_ID: Es un identificador definido por el usuario para el llavero de claves.
    • PROJECT_NUMBER: Es el número de proyecto de Google Cloud del proyecto en el que se ejecuta la IA contra el lavado de dinero.

    Ejecuta el siguiente comando:

    Linux, macOS o Cloud Shell

    gcloud kms keys add-iam-policy-binding KEY_ID --project=PROJECT_ID \
      --location LOCATION --keyring=KEY_RING_ID \
      --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com \
      --role roles/cloudkms.cryptoKeyEncrypterDecrypter
    

    Windows (PowerShell)

    gcloud kms keys add-iam-policy-binding KEY_ID --project=PROJECT_ID `
      --location LOCATION --keyring=KEY_RING_ID `
      --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com `
      --role roles/cloudkms.cryptoKeyEncrypterDecrypter
    

    Windows (cmd.exe)

    gcloud kms keys add-iam-policy-binding KEY_ID --project=PROJECT_ID ^
      --location LOCATION --keyring=KEY_RING_ID ^
      --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com ^
      --role roles/cloudkms.cryptoKeyEncrypterDecrypter
    

    Deberías recibir una respuesta similar a la que figura a continuación:

    Updated IAM policy for key KEY_ID.
    bindings:
    - members:
      - serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com
      role: roles/cloudkms.cryptoKeyEncrypterDecrypter
    etag: BwYCq0Sq4Ho=
    version: 1
    

    Para obtener más información sobre este comando, consulta la documentación de claves add-iam-policy-binding de KMS de gcloud.

Ahora puedes crear una instancia y especificar la clave que se usará para la encriptación.

Quita el acceso

Existen varias formas de quitar el acceso a una instancia encriptada con CMEK:

Te recomendamos que revoques los permisos de la cuenta de servicio de IA contra el lavado de dinero antes de inhabilitar o destruir una clave. Los cambios en los permisos se propagan en segundos, de modo que puedes observar los impactos de inhabilitar o destruir una clave.

Cuando inhabilitas o destruyes la clave de encriptación de una instancia, ya no puedes ver o recuperar datos de la instancia. Todos los datos almacenados en la instancia se vuelven inaccesibles, incluidos los recursos de la API, como los conjuntos de datos, los modelos, la configuración del motor, los resultados de pruebas pendientes y los resultados de la predicción. Los usuarios con la función de visualizador de IA contra el lavado de dinero aún pueden ver los metadatos de la instancia, como su nombre.

Los usuarios con la función de administrador o propietario de la IA contra el lavado de dinero pueden borrar la instancia.

Políticas de la organización de CMEK

La IA contra el lavado de dinero no admite políticas de la organización de CMEK. Sin embargo, la IA contra el lavado de dinero siempre requiere el uso de CMEK, sin importar la política de la organización constraints/gcp.restrictNonCmekServices.

Próximos pasos