Descripción general de Autokey

Autokey de Cloud KMS simplifica la creación y el uso de encriptaciones administradas por el cliente (CMEK) automatizando el aprovisionamiento y la asignación. Con Autokey, tus claves, llaveros de claves y cuentas de servicio se pueden planificar y aprovisionar antes de que se necesiten. En cambio, Autokey genera tus claves a pedido a medida que se crean tus recursos, con base en en lugar de los administradores de Cloud KMS.

Usar claves generadas por Autokey puede ayudarte a alinear de manera coherente estándares de la industria y prácticas recomendadas para la seguridad de los datos, incluido el Nivel de protección de HSM, separación de obligaciones, rotación de claves, ubicación y clave especificidad. Autokey crea claves que siguen ambos lineamientos generales y lineamientos específicos del tipo de recurso para los servicios de Google Cloud que se integran con Autokey de Cloud KMS. Una vez creadas, las claves solicitado con la función Autokey de forma idéntica a otra Claves de Cloud HSM con la misma configuración.

Autokey también puede simplificar el uso de Terraform para la administración de claves, lo que elimina la necesidad de ejecutar infraestructura como código con creación de claves elevadas privilegios.

Para usar Autokey, debes tener un recurso de organización que contenga un recurso de carpeta. Para obtener más información sobre los recursos de organizaciones y carpetas, consulta Jerarquía de recursos.

Autokey de Cloud KMS está disponible en todas las ubicaciones de Google Cloud Cloud HSM está disponible. Obtén más información sobre Cloud KMS consulta las ubicaciones de Cloud KMS. No hay costo adicional por usar Autokey de Cloud KMS. Claves creadas con Autokey tiene el mismo precio que cualquier otra clave de Cloud HSM. Para Para obtener más información sobre los precios, consulta Precios de Cloud Key Management Service.

Cómo funciona Autokey

En esta sección, se explica cómo funciona Autokey de Cloud KMS. Los siguientes roles del usuario participan en este proceso:

Administrador de seguridad
El administrador de seguridad es un usuario responsable para administrar la seguridad a nivel de la organización o la carpeta.
Desarrollador de Autokey
El desarrollador de Autokey es un usuario que Responsable de crear recursos con Autokey de Cloud KMS.
Administrador de Cloud KMS
El administrador de Cloud KMS es un usuario responsable de administrar los recursos de Cloud KMS. Este rol tiene menos responsabilidades cuando usa Autokey que cuando usa claves creadas manualmente.

Los siguientes agentes de servicio también participan en este proceso:

Agente de servicio de Cloud KMS
El agente de servicio para Cloud KMS en un proyecto clave determinado. Autokey depende de que este agente de servicio tenga privilegios elevados para crear claves y llaveros de claves de Cloud KMS y configurar políticas de IAM en las claves, otorgar, permisos para cada agente de servicio de recursos.
Agente de servicio de recursos
El agente de servicio para un servicio determinado en una proyecto de recursos. Este agente de servicio debe tener las credenciales de encriptación permisos en cualquier clave de Cloud KMS antes de que pueda usarla para Protección con CMEK en un recurso. Autokey crea el servicio de recursos agente cuando sea necesario, le otorga los permisos necesarios para usar el clave de Cloud KMS.

El administrador de seguridad habilita Autokey de Cloud KMS

Antes de que puedas usar Autokey, el administrador de seguridad debe completar las siguientes tareas de configuración únicas:

  1. Habilita Autokey de Cloud KMS en una carpeta de recursos y, luego, identifica proyecto de Cloud KMS que contendrá recursos de Autokey para esa carpeta.

  2. Crea el agente de servicio de Cloud KMS y, luego, otórgale crear claves y asignarlas al agente de servicio.

  3. Otorgar roles del usuario de Autokey a los usuarios desarrolladores de Autokey

Con esta configuración completa, los desarrolladores de Autokey ahora pueden Creación de claves de Cloud HSM a pedido. Para ver las instrucciones de configuración completas para Autokey de Cloud KMS; consulta Habilita Autokey de Cloud KMS.

Los desarrolladores de Autokey usan Autokey de Cloud KMS

Después de configurar Autokey correctamente, se autorizó a Autokey los desarrolladores ahora pueden crear recursos protegidos con las claves que se crearon para ellos según demanda. Los detalles del proceso de creación de recursos dependen de que estás creando, pero el proceso sigue este flujo:

  1. El desarrollador de Autokey comienza a crear un recurso en un servicio de Google Cloud. Durante la creación de recursos, el desarrollador solicita una clave nueva del agente de servicio de Autokey.

  2. El agente de servicio de Autokey recibe la solicitud del desarrollador completa los siguientes pasos:

    1. Crea un llavero de claves en el proyecto de claves en la ubicación seleccionada, a menos que el llavero de claves ya existe.
    2. Crea una clave en el llavero de claves con el nivel de detalle adecuado para la de recurso, a menos que ya exista esa clave.
    3. Crear la cuenta de servicio por proyecto y por servicio (a menos que esa cuenta la cuenta ya existe.
    4. Otorga la función de encriptación y desencriptación a la cuenta de servicio por proyecto y por servicio. permisos en la clave.
    5. Proporciona los detalles clave al desarrollador para que pueda terminar de crear la recurso.

  3. Con los detalles de la clave que el servicio de Autokey mostró correctamente el desarrollador puede terminar de crear el recurso protegido de inmediato.

Autokey de Cloud KMS crea claves que tienen los atributos descritos en el sección. Este flujo de creación de claves conserva separación de obligaciones. Cloud KMS administrador seguirá teniendo visibilidad y control total sobre las claves creadas por Autokey

Para comenzar a usar Autokey después de habilitarlo en una carpeta, consulta Crea recursos protegidos con Autokey de Cloud KMS.

Acerca de las claves creadas por Autokey

Las claves que crea Autokey de Cloud KMS tienen los siguientes atributos:

  • Nivel de protección: HSM
  • Algoritmo: AES-256 GCM

  • Período de rotación: un año

    Una vez que Autokey crea la clave, se Cloud KMS el administrador puede editar el período de rotación del valor predeterminado.

  • Separación de obligaciones:

    • A la cuenta de servicio del servicio se le otorga, de forma automática, encriptar y desencriptar permisos en la clave.
    • Los permisos de administrador de Cloud KMS se aplican a las claves como de costumbre. que creó Autokey. Los administradores de Cloud KMS pueden ver, actualizar, habilitar o inhabilitar y destruir claves creadas por Autokey Los administradores de Cloud KMS no reciben para encriptar y desencriptar.
    • Los desarrolladores de Autokey solo pueden solicitar la creación de claves y asignación. No pueden ver ni administrar claves.

  • Especificidad o nivel de detalle de la clave: las claves que crea Autokey tienen un un nivel de detalle que varía según el tipo de recurso. Para obtener detalles específicos del servicio sobre nivel de detalle de clave, consulta Servicios compatibles en esta .

  • Ubicación: Autokey crea claves en la misma ubicación que el recurso. que se deben proteger.

    Si necesitas crear recursos protegidos por CMEK en ubicaciones donde Cloud HSM no está disponible, debes crear tu CMEK manualmente.

  • Estado de la versión de clave: Claves recién creadas que se solicitaron con Autokey se crean como la versión de clave primaria en el estado habilitado.

  • Nombre del llavero de claves: Todas las claves que crea Autokey se crean en un el llavero de claves llamado autokey en el proyecto de Autokey en la ubicación. Los llaveros de claves en tu proyecto de Autokey se crean cuando El desarrollador de Autokey solicita la primera clave en una ubicación determinada.

  • Los nombres de las claves: La clave que crea Autokey sigue esta convención de nomenclatura:

    PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX

  • Como todas las claves de Cloud KMS, las que crea Autokey no pueden y exportarse.

  • Al igual que todas las claves de Cloud KMS que se usan en los servicios integrados de CMEK que son es compatible con el seguimiento de claves, claves creadas por Se hace un seguimiento de Autokey en el panel de Cloud KMS.

Cómo aplicar Autokey

Si quieres aplicar de manera forzosa el uso de Autokey dentro de una carpeta, puedes hacerlo combinando los controles de acceso de IAM con las políticas de la organización de CMEK. Esto funciona quitando los permisos para crear claves de las principales que no sean las agente de servicio Autokey y, luego, requiere que todos los recursos con la protección de CMEK con el proyecto de claves de Autokey. Para obtener información para aplicar el uso de Autokey de manera forzosa, consulta Aplicar Uso de Autokey.

Servicios compatibles

En la siguiente tabla, se enumeran los servicios compatibles con Autokey de Cloud KMS:

Servicio Recursos protegidos Nivel de detalle de la clave
Cloud Storage
  • storage.googleapis.com/Bucket

Objetos dentro de bucket de almacenamiento usan la clave predeterminada del bucket. Autokey no crea para los recursos storage.object.

 Una clave por bucket
Compute Engine
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Instance
  • compute.googleapis.com/MachineImage

Las instantáneas usan la clave del disco del que estás creando una instantánea. Autokey no crea claves para compute.snapshot de Google Cloud.

 Una clave por recurso
BigQuery
  • bigquery.googleapis.com/Dataset

Autokey crea claves predeterminadas para los conjuntos de datos. Tablas, modelos y las tablas temporales dentro de un conjunto de datos usan el conjunto de datos .

Autokey no crea claves para los recursos de BigQuery que no sean conjuntos de datos. Para proteger los recursos que no forman parte de un debes crear tus propias claves predeterminadas en el a nivel de la organización.

 Una clave por recurso
Secret Manager
  • secretmanager.googleapis.com/Secret

Secret Manager solo es compatible con Autokey de Cloud KMS cuando crees recursos con Terraform o la API de REST.

 Una clave por ubicación dentro de un proyecto

Limitaciones

  • No puedes borrar un recurso AutokeyConfig. Puedes inhabilitar Usa Autokey en la carpeta actualizando AutokeyConfig para establecer enabled=false, pero el proyecto clave configurado permanece en AutokeyConfig. Para cambiar el proyecto clave configurado, actualiza AutokeyConfig
  • Gcloud CLI no está disponible para los recursos de Autokey.
  • Los identificadores de clave no están en Cloud Asset Inventory.

¿Qué sigue?