Claves de encriptación administradas por el cliente

De forma predeterminada, Integration Connectors encripta el contenido del cliente almacenado en reposo. Integration Connectors controlan la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina Encriptación predeterminada de Google.

Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluidos Integration Connectors. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.

Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos de Integration Connectors es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).

Antes de comenzar

Asegúrate de completar las siguientes tareas antes de usar CMEK para Integration Connectors:

  1. Habilita la API de Cloud KMS del proyecto que almacenará tus claves de encriptación.

    Habilitar la API de Cloud KMS

  2. Asigna el rol de IAM de Administrador de Cloud KMS o otorga los siguientes permisos de IAM al proyecto que almacenará tus claves de encriptación:
    • cloudkms.cryptoKeys.setIamPolicy
    • cloudkms.keyRings.create
    • cloudkms.cryptoKeys.create

    Para obtener información sobre cómo otorgar roles o permisos adicionales, consulta Cómo otorgar, cambiar y revocar el acceso.

  3. Crea un llavero de claves y una clave.

Agrega una cuenta de servicio a la clave de CMEK

Para usar una clave CMEK en Integration Connectors, debes asegurarte de que tu cuenta de servicio predeterminada (con el formato service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com) se agregue y se le asigne el rol de IAM Encriptador/Desencriptador de CryptoKey para esa clave CMEK.

  1. En la consola de Google Cloud, ve a la página Inventario de claves.

    Ir a la página Key Inventory

  2. Selecciona la casilla de verificación de la clave CMEK que deseas.

    La pestaña Permisos en el panel de la ventana derecha estará disponible.

  3. Haz clic en Agregar principal y, luego, ingresa la dirección de correo electrónico de la cuenta de servicio predeterminada.
  4. Haz clic en Seleccionar un rol y selecciona el rol de Encriptador/desencriptador de CryptoKey de Cloud KMS en la lista desplegable disponible.
  5. Haz clic en Guardar.

Habilita la encriptación de CMEK para una región de Integration Connectors existente

Puedes usar CMEK para encriptar y desencriptar los datos compatibles almacenados en una región (también conocida como ubicación). Para habilitar la encriptación de CMEK para una región de Integration Connectors existente, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Conectores de integración > Conexiones.

    Ve a la página Ir a todas las conexiones.

  2. Filtra las conexiones de la ubicación requerida.

    Obtendrás una lista de todas las conexiones de la ubicación (región) especificada.

  3. Suspende todas las conexiones en la región.
  4. Ve a la página Conectores de integración > Regiones. En esta lista, se enumeran todas las regiones en las que está disponible Integration Connectors.
  5. En la región en la que deseas habilitar CMEK, haz clic en Editar encriptación en el menú Acciones. Se mostrará el panel Editar encriptación.
  6. Selecciona Clave de encriptación administrada por el cliente (CMEK) y, luego, selecciona la clave requerida en la lista desplegable Clave administrada por el cliente.

    Es posible que se te solicite otorgar el rol cloudkms.cryptoKeyEncrypterDecrypter a la cuenta de servicio. Haz clic en Otorgar.

  7. Haz clic en Listo.

Habilita la encriptación de CMEK para una nueva región de Integration Connectors

Puedes usar CMEK para encriptar y desencriptar los datos admitidos almacenados en una región (también conocida como ubicación). Para habilitar la encriptación de CMEK para una nueva región de Integration Connectors, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Conectores de integración > Regiones.

    Ve a la página Regiones.

  2. Haz clic en Aprovisionar región nueva. Se mostrará la página para crear una región.
  3. Selecciona la región requerida en la lista desplegable Región.
  4. En la sección Configuración avanzada, selecciona Clave de encriptación administrada por el cliente (CMEK) y, luego, selecciona la clave requerida en la lista desplegable Clave administrada por el cliente.

    Es posible que se te solicite otorgar el rol cloudkms.cryptoKeyEncrypterDecrypter a la cuenta de servicio. Haz clic en Otorgar.

  5. Haz clic en Listo.

Cuotas de Cloud KMS y Integration Connectors

Cuando usas CMEK en Integration Connectors, tus proyectos pueden consumir cuotas de solicitudes criptográficas de Cloud KMS. Por ejemplo, las claves de CMEK pueden consumir estas cuotas para cada llamada de encriptación y desencriptación.

Las operaciones de encriptación y desencriptación con claves CMEK afectan las cuotas de Cloud KMS de las siguientes maneras:

  • En el caso de las claves CMEK de software generadas en Cloud KMS, no se consume cuota de Cloud KMS.
  • En el caso de las claves CMEK de hardware, a veces llamadas claves de Cloud HSM, las operaciones de encriptación y desencriptación se descuentan de las cuotas de Cloud HSM en el proyecto que contiene la clave.
  • Para las claves CMEK externas, a veces llamadas claves de Cloud EKM, las operaciones de encriptación y desencriptación se descuentan de las cuotas de Cloud EKM del proyecto que contiene la clave.

Para obtener más información, consulta Cuotas de Cloud KMS.