Claves de encriptado gestionadas por el cliente
De forma predeterminada, Integration Connectors cifra el contenido del cliente en reposo. Integration Connectors se encarga del cifrado sin que tengas que hacer nada más. Esta opción se llama Cifrado predeterminado de Google.
Si quieres controlar tus claves de cifrado, puedes usar claves de cifrado gestionadas por el cliente (CMEKs) en Cloud KMS con servicios integrados con CMEK, como Integration Connectors. Si usas claves de Cloud KMS, tendrás control sobre su nivel de protección, ubicación, calendario de rotación, permisos de uso y acceso, y límites criptográficos. Además, Cloud KMS te permite ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google sea el propietario y gestione las claves de cifrado de claves (KEKs) simétricas que protegen tus datos, tú controlas y gestionas estas claves en Cloud KMS.
Una vez que hayas configurado tus recursos con CMEKs, la experiencia de acceder a tus recursos de Integration Connectors será similar a la de usar el cifrado predeterminado de Google. Para obtener más información sobre las opciones de encriptado, consulta Claves de encriptado gestionadas por el cliente (CMEK).
Antes de empezar
Asegúrate de que se hayan completado las siguientes tareas antes de usar CMEK en Integration Connectors:
- Habilita la API Cloud KMS en el proyecto que almacenará tus claves de cifrado.
- Asigna el rol de gestión de identidades y accesos Administrador de Cloud KMS o concede los siguientes permisos de gestión de identidades y accesos al proyecto en el que se almacenarán tus claves de cifrado:
cloudkms.cryptoKeys.setIamPolicycloudkms.keyRings.createcloudkms.cryptoKeys.create
Para obtener información sobre cómo conceder roles o permisos adicionales, consulta Conceder, cambiar y revocar el acceso.
- Crea un conjunto de claves y una clave.
Añadir una cuenta de servicio a una clave de CMEK
Para usar una clave de CMEK en Integration Connectors, debes asegurarte de que tu cuenta de servicio predeterminada (con el formato service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com) se haya añadido y se le haya asignado el rol de gestión de identidades y accesos Encargado del encriptado y desencriptado de la clave criptográfica para esa clave de CMEK.
- En la Google Cloud consola, ve a la página Inventario de claves.
- Selecciona la casilla de la clave CMEK que quieras.
La pestaña Permisos del panel de la ventana de la derecha estará disponible.
- Haz clic en Añadir principal e introduce la dirección de correo de la cuenta de servicio predeterminada.
- Haz clic en Seleccionar un rol y, en la lista desplegable, selecciona el rol Encargado del encriptado y desencriptado de la clave criptográfica Cloud KMS.
- Haz clic en Guardar.
Habilitar el cifrado con CMEK en una región de Integration Connectors
Puedes usar CMEK para cifrar y descifrar los datos admitidos almacenados en una región (también denominada "ubicación"). Para habilitar el cifrado con CMEK en una región de Integration Connectors, sigue estos pasos:
- En la Google Cloud consola, ve a la página Integration Connectors > Connections (Conectores de integración > Conexiones).
- Filtra las conexiones por la ubicación necesaria.
Obtendrá una lista de todas las conexiones de la ubicación (región) especificada.
- Suspende todas las conexiones de la región.
- Vaya a la página Conectores de integración > Regiones. En esta lista se indican todas las regiones en las que está disponible Integration Connectors.
- En la región en la que quieras habilitar CMEK, haz clic en Editar cifrado en el menú Acciones. Se mostrará el panel Editar cifrado.
- Selecciona Clave de cifrado gestionada por el cliente (CMEK) y, a continuación, la clave que quieras en la lista desplegable Clave gestionada por el cliente.
Es posible que se te pida que concedas el rol
cloudkms.cryptoKeyEncrypterDecryptera la cuenta de servicio. Haz clic en Conceder. - Haz clic en Listo.
Habilitar el cifrado con CMEK en una nueva región de Integration Connectors
Puedes usar CMEK para cifrar y descifrar los datos admitidos almacenados en una región (también denominada "ubicación"). Para habilitar el cifrado con CMEK en una nueva región de Integration Connectors, sigue estos pasos:
- En la Google Cloud consola, ve a la página Integration Connectors > Regions (Conectores de integración > Regiones).
- Haz clic en Provision new region (Aprovisionar nueva región). Se mostrará la página para crear una región.
- Selecciona la región en la lista desplegable Región.
- En la sección Configuración avanzada, selecciona Clave de cifrado gestionada por el cliente (CMEK) y, a continuación, elige la clave que quieras en la lista desplegable Clave gestionada por el cliente.
Es posible que se te pida que concedas el rol
cloudkms.cryptoKeyEncrypterDecryptera la cuenta de servicio. Haz clic en Conceder. - Haz clic en Listo.
Cuotas de Cloud KMS e Integration Connectors
Cuando usas CMEK en Integration Connectors, tus proyectos pueden consumir cuotas de solicitudes criptográficas de Cloud KMS. Por ejemplo, las claves CMEK pueden consumir estas cuotas por cada llamada de cifrado y descifrado.
Las operaciones de encriptado y desencriptado con claves CMEK afectan a las cuotas de Cloud KMS de las siguientes formas:
- En el caso de las claves de CMEK de software generadas en Cloud KMS, no se consume ninguna cuota de Cloud KMS.
- En el caso de las claves CMEK de hardware (a veces denominadas claves de Cloud HSM), las operaciones de cifrado y descifrado se contabilizan en las cuotas de Cloud HSM del proyecto que contiene la clave.
- En el caso de las claves CMEK externas (a veces denominadas claves de Cloud EKM), las operaciones de cifrado y descifrado se contabilizan en las cuotas de Cloud EKM del proyecto que contiene la clave.
Para obtener más información, consulta las cuotas de Cloud KMS.