Descripción general de las claves automáticas

La clave automática de Cloud KMS simplifica la creación y el uso de claves de encriptación administradas por el cliente (CMEK) mediante la automatización del aprovisionamiento y la asignación. Con la clave automática, tus llaveros de claves, claves y cuentas de servicio no necesitan planificarse y aprovisionarse antes de que sean necesarias. En cambio, Autokey genera tus claves a pedido a medida que se crean tus recursos, y depende de los permisos delegados en lugar de los administradores de Cloud KMS.

El uso de claves generadas por Autokey puede ayudarte a alinearte de forma coherente con los estándares de la industria y las prácticas recomendadas para la seguridad de los datos, incluido el nivel de protección de HSM, la separación de obligaciones, la rotación de claves, la ubicación y la especificidad de la clave. La clave automática crea claves que siguen lineamientos generales y lineamientos específicos para el tipo de recurso de los servicios de Google Cloud que se integran en la clave automática de Cloud KMS. Una vez creadas, las claves solicitadas con la clave automática funcionan de forma idéntica a otras claves de Cloud HSM con la misma configuración.

La clave automática también puede simplificar el uso de Terraform para la administración de claves, lo que elimina la necesidad de ejecutar infraestructura como servicio con privilegios elevados de creación de claves.

Para usar Autokey, debes tener un recurso de organización que contenga un recurso de carpeta. Para obtener más información sobre los recursos de organizaciones y carpetas, consulta Jerarquía de recursos.

La clave automática de Cloud KMS está disponible en todas las ubicaciones de Google Cloud en las que Cloud HSM está disponible. Para obtener más información sobre las ubicaciones de Cloud KMS, consulta Ubicaciones de Cloud KMS. No se aplican costos adicionales por usar la clave automática de Cloud KMS. Las claves creadas con Autokey tienen el mismo precio que el de cualquier otra clave de Cloud HSM. Para obtener más información sobre los precios, consulta Precios de Cloud Key Management Service.

Cómo funciona Autokey

En esta sección, se explica cómo funciona la clave automática de Cloud KMS. En este proceso, participan los siguientes roles de usuario:

Administrador de seguridad

El administrador de seguridad es un usuario responsable de administrar la seguridad a nivel de organización o de carpeta.

Desarrollador de claves automáticas

El desarrollador de claves automáticas es un usuario responsable de crear recursos con la clave automática de Cloud KMS.

Administrador de Cloud KMS

El administrador de Cloud KMS es un usuario responsable de administrar los recursos de Cloud KMS. Esta función tiene menos responsabilidades cuando se usa la clave automática que cuando se usan las claves creadas de forma manual.

Los siguientes agentes de servicio también participan en este proceso:

Agente de servicio de Cloud KMS

El agente de servicio de Cloud KMS en un proyecto de clave determinado. La clave automática depende de que este agente de servicio tenga privilegios elevados para crear claves y llaveros de claves de Cloud KMS, y para configurar la política de IAM en las claves, lo que otorga permisos de encriptación y desencriptación para cada agente de servicio de recursos.

Agente de servicio de recursos

El agente de servicio para un servicio determinado en un proyecto de recursos determinado. Este agente de servicio debe tener permisos de encriptación y desencriptación en cualquier clave de Cloud KMS antes de poder usar esa clave para la protección de CMEK en un recurso. La clave automática crea el agente de servicios de recursos cuando es necesario y le otorga los permisos necesarios para usar la clave de Cloud KMS.

El administrador de seguridad habilita la clave automática de Cloud KMS

Para poder usar la clave automática, el administrador de seguridad debe completar las siguientes tareas de configuración únicas:

1. Habilita la clave automática de Cloud KMS en una carpeta de recursos y, luego, identifica el proyecto de Cloud KMS que contendrá los recursos de claves automáticas de esa carpeta.

2. Crea el agente de servicio de Cloud KMS y, luego, otórgale privilegios de creación y asignación de claves.

3. Otorga roles de usuario de Autokey a los usuarios desarrolladores de Autokey.

Con esta configuración completa, los desarrolladores de Autokey ahora pueden activar la creación de claves de Cloud HSM a pedido. Si deseas ver las instrucciones de configuración completas para la clave automática de Cloud KMS, consulta Habilita la clave automática de Cloud KMS.

Los desarrolladores de claves automáticas usan la clave automática de Cloud KMS

Después de configurar correctamente la clave automática, los desarrolladores autorizados de claves automáticas ahora pueden crear recursos protegidos mediante claves creadas para ellos a pedido. Los detalles del proceso de creación de recursos dependen del recurso que estés creando, pero el proceso sigue este flujo:

1. El desarrollador de Autokey comienza a crear un recurso en un servicio compatible de Google Cloud. Durante la creación de recursos, el desarrollador solicita una clave nueva al agente de servicio de claves automáticas.

2. El agente de servicio de Autokey recibe la solicitud del desarrollador y completa los siguientes pasos:

   1. Crea un llavero de claves en el proyecto de claves en la ubicación seleccionada, a menos que ese llavero de claves ya exista.
   2. Crea una clave en el llavero de claves con el nivel de detalle apropiado para el tipo de recurso, a menos que esa clave ya exista.
   3. Crea la cuenta de servicio por proyecto y por servicio, a menos que esa cuenta ya exista.
   4. Otorga los permisos de encriptación y desencriptación de la cuenta de servicio por proyecto y por servicio en la clave.
   5. Proporciona los detalles clave al desarrollador para que pueda terminar de crear el recurso.

3. Cuando el agente de servicio de Autokey mostró los detalles de la clave de forma correcta, el desarrollador puede terminar de crear el recurso protegido de inmediato.

La clave automática de Cloud KMS crea claves que tienen los atributos que se describen en la siguiente sección. Este flujo de creación de claves conserva la separación de obligaciones. El administrador de Cloud KMS sigue teniendo visibilidad y control totales sobre las claves que crea Autokey.

Para comenzar a usar la clave automática después de habilitarla en una carpeta, consulta Crea recursos protegidos con la clave automática de Cloud KMS.

Información acerca de las claves creadas por Autokey

Las claves creadas por la clave automática de Cloud KMS tienen los siguientes atributos:

• Nivel de protección: HSM
• Algoritmo: AES-256 GCM

• Período de rotación: un año

  Una vez que la clave automática crea una clave, un administrador de Cloud KMS puede editar el período de rotación del valor predeterminado.

• Separación de obligaciones:

  • A la cuenta de servicio del servicio se le otorgan automáticamente permisos de encriptación y desencriptación en la clave.
  • Los permisos de administrador de Cloud KMS se aplican como de costumbre a las claves creadas por Autokey. Los administradores de Cloud KMS pueden ver, actualizar, habilitar o inhabilitar las claves creadas por Autokey. Los administradores de Cloud KMS no tienen permisos de encriptación y desencriptación.
  • Los desarrolladores de claves automáticas solo pueden solicitar la creación y asignación de claves. No pueden ver ni administrar las claves.

• Especificidad de la clave o nivel de detalle: las claves que crea Autokey tienen un nivel de detalle que varía según el tipo de recurso. Para obtener detalles específicos del servicio sobre el nivel de detalle de la clave, consulta la sección Servicios compatibles en esta página.

• Ubicación: Autokey crea claves en la misma ubicación que el recurso que se protegerá.

  Si necesitas crear recursos protegidos con CMEK en ubicaciones donde Cloud HSM no está disponible, debes crear tu CMEK de forma manual.

• Estado de la versión de la clave: Las claves recién creadas que se solicitan con Autokey se crean como la versión de la clave primaria en el estado habilitado.

• Nombre del llavero de claves: todas las claves que crea Autokey se crean en un llavero de claves llamado autokey en el proyecto de la clave automática en la ubicación seleccionada. Los llaveros de claves de tu proyecto de Autokey se crean cuando un desarrollador de claves automáticas solicita la primera clave en una ubicación determinada.

• Asignación de nombres de claves: La clave creada por Autokey sigue esta convención de nombres:

  PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
  

• Como todas las claves de Cloud KMS, las claves que crea Autokey no se pueden exportar.

• Como todas las claves de Cloud KMS que se usan en los servicios integrados de CMEK que son compatibles con el seguimiento de claves, las claves creadas por Autokey se registran en el panel de Cloud KMS.

Cómo aplicar la tecla automática

Si deseas aplicar el uso de la clave automática dentro de una carpeta, puedes hacerlo combinando los controles de acceso de IAM con las políticas de la organización de CMEK. Esto funciona quitando los permisos de creación de claves de las principales que no sean el agente de servicio de Autokey y, luego, solicitando que todos los recursos estén protegidos por CMEK con el proyecto de claves de Autokey. Si deseas obtener instrucciones detalladas para aplicar el uso de Autokey, consulta Aplica el uso de Autokey.

Servicios compatibles

En la siguiente tabla, se enumeran los servicios compatibles con la clave automática de Cloud KMS:

Servicio	Recursos protegidos	Nivel de detalle de la clave
Cloud Storage	storage.googleapis.com/Bucket Los objetos dentro de un bucket de almacenamiento usan la clave predeterminada del bucket. Autokey no crea claves para los recursos storage.object.	Una clave por bucket
Compute Engine	compute.googleapis.com/Disk compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/MachineImage Las instantáneas usan la clave del disco del que estás creando una instantánea. Autokey no crea claves para los recursos compute.snapshot.	Una clave por recurso
BigQuery	bigquery.googleapis.com/Dataset Autokey crea claves predeterminadas para los conjuntos de datos. Las tablas, los modelos, las consultas y las tablas temporales de un conjunto de datos usan la clave predeterminada del conjunto de datos. Autokey no crea claves para los recursos de BigQuery que no sean los conjuntos de datos. Para proteger los recursos que no forman parte de un conjunto de datos, debes crear tus propias claves predeterminadas a nivel del proyecto o de la organización.	Una clave por recurso
Secret Manager	secretmanager.googleapis.com/Secret Secret Manager solo es compatible con la clave automática de Cloud KMS cuando se crean recursos con Terraform o la API de REST.	Una clave por ubicación en un proyecto

Limitaciones

• No puedes borrar un recurso AutokeyConfig. Puedes inhabilitar la clave automática en la carpeta si actualizas AutokeyConfig para establecer enabled=false, pero el proyecto de clave configurado permanecerá en AutokeyConfig. Para cambiar el proyecto de clave configurado, actualiza el AutokeyConfig.
• Gcloud CLI no está disponible para los recursos de Autokey.
• Los controladores de claves no están en Cloud Asset Inventory.

¿Qué sigue?

• Para comenzar a usar la clave automática de Cloud KMS, un administrador de seguridad debe habilitar la clave automática de Cloud KMS.
• Para usar la clave automática de Cloud KMS después de habilitarla, un desarrollador puede crear recursos protegidos por CMEK mediante la clave automática.