Descripción general de Autokey

Autokey de Cloud KMS simplifica la creación y el uso de encriptaciones administradas por el cliente (CMEK) automatizando el aprovisionamiento y la asignación. Con Autokey, los llaveros de claves y las claves se generan a pedido. Las cuentas de servicio que usan las claves para encriptar y desencriptar recursos se crean y se les otorgan roles de Identity and Access Management (IAM) cuando sea necesario. Administradores de Cloud KMS mantienen el control y la visibilidad completos de las claves creadas por Autokey, sin la necesidad de planificar y crear cada recurso.

El uso de claves generadas por Autokey puede ayudarte a alinearte de manera coherente con los estándares de la industria y las prácticas recomendadas para la seguridad de los datos, incluido el nivel de protección del HSM, la separación de obligaciones, la rotación de claves, la ubicación y la especificidad de la clave. Autokey crea claves que siguen ambos lineamientos generales y lineamientos específicos del tipo de recurso para los servicios de Google Cloud que se integran con Autokey de Cloud KMS. Una vez creadas, las claves solicitada con la función de Autokey de forma idéntica Claves de Cloud HSM con la misma configuración.

Autokey también puede simplificar el uso de Terraform para la administración de claves, lo que elimina la necesidad de ejecutar infraestructura como código con privilegios de creación de claves elevados.

Para usar Autokey, debes tener un recurso de organización que contenga un recurso de carpeta. Para obtener más información sobre los recursos de organización y carpetas, consulta Jerarquía de recursos.

Autokey de Cloud KMS está disponible en todas las ubicaciones de Google Cloud en las que está disponible Cloud HSM. Para obtener más información sobre las ubicaciones de Cloud KMS, consulta Ubicaciones de Cloud KMS. No hay costo adicional por usar Autokey de Cloud KMS. Claves creadas con Autokey tiene el mismo precio que cualquier otra clave de Cloud HSM. Para obtener más información sobre los precios, consulta los precios de Cloud Key Management Service.

Cómo funciona Autokey

En esta sección, se explica cómo funciona Autokey de Cloud KMS. Los siguientes roles de usuario participan en este proceso:

Administrador de seguridad

El administrador de seguridad es un usuario responsable para administrar la seguridad a nivel de la organización o la carpeta.

Desarrollador de Autokey

El desarrollador de Autokey es un usuario responsable de crear recursos con la Autokey de Cloud KMS.

Administrador de Cloud KMS

El administrador de Cloud KMS es un usuario responsable de administrar los recursos de Cloud KMS. Este rol tiene menos responsabilidades cuando usa Autokey que cuando usa claves creadas de forma manual.

Los siguientes agentes de servicio también participan en este proceso:

Agente de servicio de Cloud KMS

El agente de servicio de Cloud KMS en un proyecto de claves determinado. Autokey depende de que este agente de servicio tenga privilegios elevados para crear claves y llaveros de Cloud KMS, y para establecer la política de IAM en las claves, lo que otorga permisos de encriptación y desencriptación para cada agente de servicio de recursos.

Agente de servicio de recursos

El agente de servicio para un servicio determinado en una proyecto de recursos. Este agente de servicio debe tener permisos de encriptación y desencriptación en cualquier clave de Cloud KMS antes de poder usarla para la protección de CMEK en un recurso. Autokey crea el servicio de recursos agente cuando es necesario y le otorga los permisos necesarios para usar el clave de Cloud KMS.

El administrador de seguridad habilita Autokey de Cloud KMS

Antes de que puedas usar Autokey, el administrador de seguridad debe completar las siguientes tareas de configuración únicas:

1. Habilita Autokey de Cloud KMS en una carpeta de recursos y, luego, identifica el proyecto de Cloud KMS que contendrá los recursos de Autokey para esa carpeta.

2. Crea el agente de servicio de Cloud KMS y, luego, otórgale crear claves y asignarlas al agente de servicio.

3. Otorgar roles del usuario de Autokey a los usuarios desarrolladores de Autokey

Con esta configuración completa, los desarrolladores de Autokey ahora pueden Creación de claves de Cloud HSM a pedido. Para ver las instrucciones de configuración completas de Autokey de Cloud KMS, consulta Habilita Autokey de Cloud KMS.

Los desarrolladores de Autokey usan Autokey de Cloud KMS

Una vez que Autokey se configura correctamente, los desarrolladores autorizados de Autokey ahora pueden crear recursos protegidos con claves creadas para ellos a pedido. Los detalles del proceso de creación de recursos dependen de que estás creando, pero el proceso sigue este flujo:

1. El desarrollador de Autokey comienza a crear un recurso en un servicio de Google Cloud compatible. Durante la creación de recursos, el desarrollador solicita una clave nueva al agente de servicio de Autokey.

2. El agente del servicio de Autokey recibe la solicitud del desarrollador y completa los siguientes pasos:

   1. Crea un llavero de claves en el proyecto de claves en la ubicación seleccionada, a menos que el llavero de claves ya exista.
   2. Crea una clave en el llavero de claves con el nivel de detalle adecuado para el tipo de recurso, a menos que ya exista una clave de este tipo.
   3. Crear la cuenta de servicio por proyecto y por servicio (a menos que esa cuenta la cuenta ya existe.
   4. Otorga a la cuenta de servicio por proyecto y por servicio los permisos de encriptación y desencriptación en la clave.
   5. Proporciona los detalles clave al desarrollador para que pueda terminar de crear el recurso.

3. Con los detalles clave que muestra correctamente el agente del servicio de Autokey, el desarrollador puede terminar de crear el recurso protegido de inmediato.

Autokey de Cloud KMS crea claves que tienen los atributos que se describen en la siguiente sección. Este flujo de creación de claves preserva la separación de obligaciones. El administrador de Cloud KMS sigue teniendo visibilidad y control total sobre las claves que crea Autokey.

Para comenzar a usar Autokey después de habilitarlo en una carpeta, consulta Crea recursos protegidos con Autokey de Cloud KMS.

Acerca de las claves creadas por Autokey

Las claves que crea Autokey de Cloud KMS tienen los siguientes atributos:

• Nivel de protección: HSM
• Algoritmo: AES-256 GCM.

• Período de rotación: Un año.

  Después de que Autokey crea una clave, se crea un el administrador puede editar el período de rotación del valor predeterminado.

• Separación de obligaciones:
  • La cuenta de servicio del servicio obtiene automáticamente permisos de encriptación y desencriptación en la clave.
  • Los permisos de administrador de Cloud KMS se aplican a las claves como de costumbre. que creó Autokey. Los administradores de Cloud KMS pueden ver, actualizar, habilitar o inhabilitar, y destruir las claves que creó Autokey. Los administradores de Cloud KMS no reciben para encriptar y desencriptar.
  • Los desarrolladores de Autokey solo pueden solicitar la creación de claves y asignación. No pueden ver ni administrar claves.
• Especificidad o nivel de detalle de la clave: Claves creadas por Autokey tienen un nivel de detalle que varía según el tipo de recurso. Para obtener detalles específicos del servicio sobre el nivel de detalle de las claves, consulta Servicios compatibles en esta página.

• Ubicación: Autokey crea claves en la misma ubicación que el recurso que se protegerá.

  Si necesitas crear recursos protegidos por CMEK en ubicaciones donde Cloud HSM no está disponible, debes crear tu CMEK manualmente.

• Estado de la versión de clave: Las claves creadas recientemente que se solicitan con Autokey se crean como la versión de clave principal en el estado habilitado.
• Nombre del llavero de claves: Todas las claves que crea Autokey se crean en un el llavero de claves llamado autokey en el proyecto de Autokey en la ubicación. Los llaveros de claves en tu proyecto de Autokey se crean cuando El desarrollador de Autokey solicita la primera clave en una ubicación determinada.
• Nombres de claves: Las claves creadas por Autokey siguen este nombre. convención: PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
• Exportación de claves: Al igual que todas las claves de Cloud KMS, las claves que crea No se puede exportar Autokey.
• Seguimiento de claves: como todas las claves de Cloud KMS que se usan en CMEK integradas que son compatibles con el seguimiento de claves, las claves que crea Autokey se registran en el panel de Cloud KMS.

Cómo aplicar Autokey

Si deseas aplicar el uso de Autokey dentro de una carpeta, puedes hacerlo combinando los controles de acceso de IAM con las políticas de organización de CMEK. Para ello, se quitan los permisos de creación de claves de los principales que no sean el agente de servicio de Autokey y, luego, se requiere que todas las claves estén protegidas por CMEK con el proyecto de claves de Autokey. Para obtener instrucciones detalladas sobre cómo aplicar el uso de Autokey, consulta Cómo aplicar el uso de Autokey.

Servicios compatibles

En la siguiente tabla, se enumeran los servicios que son compatibles con la Autoclave de Cloud KMS:

Servicio	Recursos protegidos	Nivel de detalle de las claves
Cloud Storage	storage.googleapis.com/Bucket Los objetos dentro de un bucket de almacenamiento usan la clave predeterminada del bucket. Autokey no crea para los recursos storage.object.	Una clave por bucket
Compute Engine	compute.googleapis.com/Disk compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/MachineImage Las instantáneas usan la clave del disco del que estás creando una instantánea. Autokey no crea claves para compute.snapshot de Google Cloud.	Una clave por recurso
BigQuery	bigquery.googleapis.com/Dataset Autokey crea claves predeterminadas para los conjuntos de datos. Tablas, modelos y las tablas temporales dentro de un conjunto de datos usan el conjunto de datos . Autokey no crea claves para recursos de BigQuery distintos de los conjuntos de datos. Para proteger los recursos que no forman parte de un conjunto de datos, debes crear tus propias claves predeterminadas a nivel del proyecto o de la organización.	Una clave por recurso
Secret Manager	secretmanager.googleapis.com/Secret Secret Manager solo es compatible con Autokey de Cloud KMS cuando crees recursos con Terraform o la API de REST.	Una clave por ubicación dentro de un proyecto
Cloud SQL	sqladmin.googleapis.com/Instance Autokey no crea claves para los recursos BackupRun de Cloud SQL. Cuando creas una copia de seguridad de una instancia de Cloud SQL, la copia de seguridad se encripta con la clave administrada por el cliente de la instancia principal. Cloud SQL solo es compatible con Autokey de Cloud KMS cuando crees recursos con Terraform o la API de REST.	Una clave por recurso
Spanner	spanner.googleapis.com/Database Spanner solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API de REST.	Una clave por recurso

Limitaciones

• Gcloud CLI no está disponible para los recursos de Autokey.
• Los identificadores de clave no están en Cloud Asset Inventory.

¿Qué sigue?

• Para comenzar a usar Autokey de Cloud KMS, Se debe habilitar Autokey de Cloud KMS.
• Para usar Autokey de Cloud KMS después de haberlo habilitado, un desarrollador puede Crea recursos protegidos por CMEK con Autokey.
• Obtén más información sobre las prácticas recomendadas de CMEK.