Prácticas recomendadas para usar CMEK

En esta página, se describen las prácticas recomendadas para configurar la encriptación en reposo con claves de encriptación administradas por el cliente (CMEK) en tus recursos de Google Cloud. Esta guía está dirigida a arquitectos de nube y equipos de seguridad, y describe las prácticas recomendadas y las decisiones que debes tomar cuando diseñas tu arquitectura de CMEK.

En esta guía, se da por sentado que ya conoces Cloud Key Management Service (Cloud KMS) y que leíste el análisis detallado de Cloud KMS.

Decisiones preliminares

Las recomendaciones de esta página están destinadas a los clientes que usan CMEK para encriptar sus datos. Si no estás seguro de si debes usar CMEK creadas de forma manual o automática como parte de tu estrategia de seguridad, esta sección te brinda orientación para tomar estas decisiones preliminares.

Decide si usarás CMEK

Te recomendamos que uses CMEK para encriptar datos en reposo en los servicios de Google Cloud si necesitas alguna de las siguientes funciones:

• Ser propietario de tus claves de encriptación

• Controla y administra tus claves de encriptación, incluida la elección de la ubicación, el nivel de protección, la creación, el control de acceso, la rotación, el uso y la destrucción.

• Genera material de clave en Cloud KMS o importa material de clave que se mantenga fuera de Google Cloud.

• Establece una política sobre dónde se deben usar tus claves.

• Borra de forma selectiva los datos protegidos por tus claves en caso de desvinculación o para solucionar eventos de seguridad (fragmentación criptográfica).

• Crea y usa claves únicas para un cliente y establece un límite criptográfico alrededor de tus datos.

• Registra el acceso administrativo y a los datos a las claves de encriptación.

• Cumple con la reglamentación actual o futura que requiera cualquiera de estos objetivos.

Si no necesitas estas capacidades, evalúa si la encriptación predeterminada en reposo con claves administradas por Google es adecuada para tu caso de uso. Si decides usar solo la encriptación predeterminada, puedes dejar de leer esta guía.

Elige la creación manual o automática de claves

En esta guía, se describen las prácticas recomendadas para las decisiones que debes tomar cuando provisionas CMEK por tu cuenta. Autokey de Cloud KMS toma algunas de estas decisiones por ti y automatiza muchas de las recomendaciones de esta guía. Usar Autokey es más sencillo que aprovisionar claves por tu cuenta y es la opción recomendada si las claves que crea Autokey cumplen con todos tus requisitos.

Autokey aprovisiona CMEK por ti. Las CMEK aprovisionadas por Autokey tienen las siguientes características:

• Nivel de protección: HSM
• Algoritmo: AES-256 GCM

• Período de rotación: Un año.

  Después de que Autokey crea una clave, un administrador de Cloud KMS puede editar el período de rotación desde el valor predeterminado.

• Separación de obligaciones:
  • La cuenta de servicio del servicio obtiene automáticamente permisos de encriptación y desencriptación en la clave.
  • Los permisos de administrador de Cloud KMS se aplican como de costumbre a las claves que crea Autokey. Los administradores de Cloud KMS pueden ver, actualizar, habilitar o inhabilitar, y destruir las claves que creó Autokey. Los administradores de Cloud KMS no tienen permisos de encriptación ni desencriptación.
  • Los desarrolladores de Autokey solo pueden solicitar la creación y la asignación de claves. No pueden ver ni administrar claves.
• Especificidad o nivel de detalle de la clave: Las claves que crea Autokey tienen un nivel de detalle que varía según el tipo de recurso. Para obtener detalles específicos del servicio sobre el nivel de detalle de las claves, consulta Servicios compatibles.

• Ubicación: Autokey crea claves en la misma ubicación que el recurso que se protegerá.

  Si necesitas crear recursos protegidos por CMEK en ubicaciones donde Cloud HSM no está disponible, debes crear tu CMEK de forma manual.

• Estado de la versión de clave: Las claves creadas recientemente que se solicitan con Autokey se crean como la versión de clave primaria en el estado habilitado.
• Nombres de los llaveros de claves: Todas las claves que crea Autokey se crean en un llavero de claves llamado autokey en el proyecto de Autokey en la ubicación seleccionada. Los llaveros de claves de tu proyecto de Autokey se crean cuando un desarrollador de Autokey solicita la primera clave en una ubicación determinada.
• Nombres de las claves: Las claves creadas por Autokey siguen esta convención de nombres: PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
• Exportación de claves: Al igual que todas las claves de Cloud KMS, las claves que crea Autokey no se pueden exportar.
• Seguimiento de claves: Al igual que todas las claves de Cloud KMS que se usan en los servicios integrados de CMEK compatibles con el seguimiento de claves, se realiza un seguimiento de las claves que crea Autokey en el panel de Cloud KMS.

Si tienes requisitos que no se pueden cumplir con las claves que crea Autokey, como un nivel de protección distinto de HSM o servicios que no son compatibles con Autokey, te recomendamos que uses CMEK creadas de forma manual en lugar de Autokey.

Diseña tu arquitectura de CMEK

Cuando diseñes una arquitectura de CMEK, debes tener en cuenta la configuración de las claves que usarás y cómo se administran. Estas decisiones influyen en el costo, la sobrecarga operativa y la facilidad de implementación de capacidades, como la destrucción criptográfica.

En las siguientes secciones, se analizan las recomendaciones para cada opción de diseño.

Usa un proyecto de clave CMEK centralizado para cada entorno

Te recomendamos que uses un proyecto de clave de CMEK centralizado para cada carpeta de entorno. No crees recursos encriptados con CMEK en el mismo proyecto en el que administras las claves de Cloud KMS. Este enfoque ayuda a evitar el uso compartido de claves de encriptación entre entornos y permite la separación de tareas.

En el siguiente diagrama, se ilustran estos conceptos en el diseño recomendado:

• Cada carpeta de entorno tiene un proyecto de clave de Cloud KMS que se administra por separado de los proyectos de la aplicación.
• Los llaveros de claves y las claves de Cloud KMS se aprovisionan en el proyecto de claves de Cloud KMS, y estas claves se usan para encriptar recursos en los proyectos de la aplicación.
• Las políticas de Identity and Access Management (IAM) se aplican a proyectos o carpetas para permitir la separación de deberes. El principal que administra las claves de Cloud KMS en el proyecto de claves de Cloud KMS no es el mismo que usa las claves de encriptación en los proyectos de aplicaciones.

Si usas Autokey de Cloud KMS, cada carpeta para la que está habilitado Autokey debe tener un proyecto de clave de Cloud KMS dedicado.

Crea llaveros de claves de Cloud KMS para cada ubicación

Debes crear llaveros de claves de Cloud KMS en las ubicaciones en las que implementes recursos de Google Cloud encriptados con CMEK.

• Los recursos regionales y zonales deben usar un llavero de claves y CMEK en la misma región que el recurso o en la ubicación global. Los recursos de una sola región y zonales no pueden usar un llavero de claves multirregional que no sea global.
• Los recursos multirregionales (como un conjunto de datos de BigQuery en la multirregión us) deben usar un llavero y una CMEK en la misma multirregión o región doble. Los recursos multirregionales no pueden usar un llavero de claves regional.
• Los recursos globales deben usar un llavero de claves y CMEK en la ubicación global.

La aplicación forzosa de claves regionales es una parte de una estrategia de regionalización de datos. Cuando se aplica la aplicación forzosa del uso de llaveros de claves y claves en una región definida, también se aplica la aplicación forzosa de que los recursos deben coincidir con la región del llavero de claves. Para obtener orientación sobre la residencia de datos, consulta Implementa requisitos de soberanía y residencia de datos.

En el caso de las cargas de trabajo que requieren alta disponibilidad o capacidades de recuperación ante desastres en varias ubicaciones, es tu responsabilidad evaluar si tu carga de trabajo es resiliente en caso de que Cloud KMS deje de estar disponible en una región determinada. Por ejemplo, un disco persistente de Compute Engine encriptado con una clave de Cloud KMS de us-central1 no se puede volver a crear en us-central2 en una situación de recuperación ante desastres en la que us-central1 no está disponible. Para mitigar el riesgo de esta situación, puedes planificar la encriptación de un recurso con claves global.

Para obtener más información, consulta Elige el mejor tipo de ubicación.

Si usas la clave automática de Cloud KMS, se crean llaveros en la misma ubicación que los recursos que proteges.

Elige una estrategia de nivel de detalle de las claves

El nivel de detalle hace referencia a la escala y el alcance del uso previsto de cada clave. Por ejemplo, se dice que una clave que protege varios recursos es menos detallada que una clave que protege solo un recurso.

Las claves de Cloud KMS aprovisionadas de forma manual para CMEK se deben aprovisionar con anticipación antes de crear un recurso que se encriptará con la clave, como un disco persistente de Compute Engine. Puedes optar por crear claves muy detalladas para recursos individuales o crear claves menos detalladas para reutilizar entre recursos de forma más amplia.

Si bien no hay un patrón correcto universal, ten en cuenta las siguientes soluciones de diferentes patrones:

Claves de gran detalle: Por ejemplo, una clave para cada recurso individual

• Más control para inhabilitar versiones de claves de forma segura: Inhabilitar o destruir una versión de clave que se usa para un alcance limitado tiene un menor riesgo de afectar otros recursos que inhabilitar o destruir una clave compartida. Esto también significa que usar claves altamente detalladas ayuda a reducir el posible impacto de que una clave se vea comprometida en comparación con el uso de claves de baja granularidad.
• Costo: El uso de claves detalladas requiere mantener versiones de claves más activas en comparación con una estrategia que usa claves con menor nivel de detalle. Debido a que los precios de Cloud KMS se basan en la cantidad de versiones de claves activas, elegir una mayor granularidad de claves genera costos más altos.
• Capa operativa: El uso de claves altamente detalladas puede requerir un esfuerzo administrativo o herramientas adicionales para la automatización para aprovisionar una gran cantidad de recursos de Cloud KMS y administrar los controles de acceso de los agentes de servicio para que solo puedan usar las claves adecuadas. Si necesitas llaves con alta granularidad, Autokey puede ser una buena opción para automatizar el aprovisionamiento. Para obtener más información sobre el nivel de detalle de las claves de Autokey para cada servicio, consulta Servicios compatibles.

Llaves de baja granularidad: Por ejemplo, una clave para cada aplicación, para cada región y para cada entorno

• Se debe tener cuidado para inhabilitar versiones de clave de forma segura: Inhabilitar o destruir una versión de clave que se usa para un alcance amplio requiere más cuidado que inhabilitar o destruir una clave altamente detallada. Debes asegurarte de que todos los recursos que encriptó esa versión de clave se vuelvan a encriptar de forma segura con una versión de clave nueva antes de inhabilitar la versión de clave anterior. En el caso de muchos tipos de recursos, puedes ver el uso de claves para identificar dónde se usó una clave. Esto también significa que usar claves de baja granularidad puede aumentar el impacto potencial de que una clave se vea comprometida en comparación con el uso de claves de alta granularidad.
• Costo: El uso de claves menos detalladas requiere que se creen menos versiones de claves, y los precios de Cloud KMS se basan en la cantidad de versiones de claves activas.
• Capa operativa: Puedes definir y aprovisionar previamente una cantidad conocida de claves, con menos esfuerzo para garantizar los controles de acceso adecuados.

Elige el nivel de protección de las llaves

Cuando creas una clave, es tu responsabilidad seleccionar el nivel de protección adecuado para cada clave en función de tus requisitos para los datos y las cargas de trabajo encriptados con CMEK. Las siguientes preguntas pueden ayudarte en tu evaluación:

1. ¿Necesitas alguna de las funciones de CMEK? Puedes revisar las funciones que se enumeran en Decide si usar CMEK en esta página.

   • Si es así, continúa con la siguiente pregunta.
   • De lo contrario, te recomendamos que uses la encriptación predeterminada de Google.

2. ¿Exiges que tu material de clave permanezca dentro del límite físico de un módulo de seguridad de hardware (HSM)?

   • Si es así, continúa con la siguiente pregunta.
   • De lo contrario, te recomendamos que uses CMEK con claves con copia de seguridad de software.

3. ¿Exiges que el material de clave se almacene fuera de Google Cloud?

   • Si es así, te recomendamos CMEK con Cloud External Key Manager.
   • De lo contrario, te recomendamos CMEK con Cloud HSM (claves respaldadas por hardware).

Autokey solo admite el nivel de protección de HSM. Si necesitas otros niveles de protección, debes aprovisionar las claves por tu cuenta.

Usa material de clave generado por Google siempre que sea posible

Esta sección no se aplica a las claves de Cloud EKM.

Cuando creas una clave, debes permitir que Cloud KMS genere el material de clave por ti o importar manualmente el material de clave generado fuera de Google Cloud. Cuando sea posible, te recomendamos que elijas la opción generada. Esta opción no expone el material de clave sin procesar fuera de Cloud KMS y crea automáticamente versiones de claves nuevas según el período de rotación de claves que elijas. Si necesitas la opción de importar tu propio material de claves, te recomendamos que evalúes las siguientes consideraciones operativas y los riesgos de usar el enfoque de trae tu propia clave (BYOK):

• ¿Puedes implementar la automatización para importar versiones de claves nuevas de forma coherente? Esto incluye la configuración de Cloud KMS para restringir las versiones de claves solo a la importación y la automatización fuera de Cloud KMS para generar e importar material de clave de forma coherente. ¿Cuál es el impacto si tu automatización no crea una versión de clave nueva en el momento esperado?
• ¿Cómo piensas almacenar de forma segura o en depósito el material de clave original?
• ¿Cómo puedes mitigar el riesgo de que tu proceso para importar claves filtre el material de clave sin procesar?
• ¿Cuál sería el impacto de volver a importar una clave destruida previamente porque el material de clave sin procesar se retuvo fuera de Google Cloud?
• ¿El beneficio de importar material clave por tu cuenta justifica el aumento de la sobrecarga y el riesgo operativos?

Elige el propósito y el algoritmo de clave adecuados para tus necesidades

Cuando creas una clave, debes seleccionar el propósito y el algoritmo subyacente para la clave. En el caso de los casos de uso de CMEK, solo se pueden usar claves con el propósito simétrico ENCRYPT_DECRYPT. Este propósito de clave siempre usa el algoritmo GOOGLE_SYMMETRIC_ENCRYPTION, que usa claves del Estándar de encriptación avanzada de 256 bits (AES-256) en modo Galois/contador (GCM), que se rellenó con metadatos internos de Cloud KMS. Cuando usas Autokey, esta configuración se aplica automáticamente.

Para otros casos de uso, como la encriptación del cliente, revisa los propósitos y algoritmos de claves disponibles para elegir la opción más adecuada para tu caso de uso.

Elige un período de rotación

Te recomendamos que evalúes el período de rotación de claves adecuado para tus necesidades. La frecuencia de rotación de claves depende de los requisitos de tus cargas de trabajo según la sensibilidad o el cumplimiento. Por ejemplo, es posible que se requiera la rotación de claves al menos una vez al año para cumplir con ciertos estándares de cumplimiento, o bien puedes elegir un período de rotación más frecuente para cargas de trabajo altamente sensibles.

Después de rotar una clave simétrica, la versión nueva se marca como la versión de clave primaria y se usa para todas las solicitudes nuevas para proteger la información. Las versiones de clave anteriores permanecen disponibles para desencriptar los datos encriptados anteriormente protegidos con esa versión. Cuando rotas una clave, los datos que se encriptaron con versiones de claves anteriores no se vuelven a encriptar de forma automática.

La rotación frecuente de claves ayuda a limitar la cantidad de mensajes encriptados con la misma versión de clave, lo que ayuda a reducir el riesgo y las consecuencias de que se vulnere una clave.

Si usas Autokey, las claves se crean con un período de rotación de claves predeterminado de un año. Puedes cambiar el período de rotación de las claves después de crearlas.

Aplica los controles de acceso adecuados

Te recomendamos que consideres los principios de privilegio mínimo y separación de obligaciones cuando planifiques los controles de acceso. En las siguientes secciones, se presentan estas recomendaciones.

Aplica el principio de privilegio mínimo

Cuando asignes permisos para administrar CMEK, considera el principio de privilegio mínimo y otorga los permisos mínimos necesarios para realizar una tarea. Te recomendamos que evites usar los roles básicos. En su lugar, otorga roles predefinidos de Cloud KMS para mitigar los riesgos de incidentes de seguridad relacionados con el acceso con privilegios excesivos.

Los incumplimientos de este principio y los problemas relacionados se pueden detectar automáticamente con los hallazgos de vulnerabilidades de Security Command Center para IAM.

Planifica la separación de obligaciones

Mantén identidades y permisos separados para quienes administran tus claves de encriptación y quienes las usan. El NIST SP 800-152 define una separación de deberes entre el oficial de criptografía que habilita y administra los servicios de un sistema de administración de claves criptográficas y un usuario que usa esas claves para encriptar o desencriptar recursos.

Cuando usas CMEK para administrar la encriptación en reposo con los servicios de Google Cloud, el rol de IAM para usar claves de encriptación se asigna al agente de servicio del servicio de Google Cloud, no al usuario individual. Por ejemplo, para crear objetos en un bucket de Cloud Storage encriptado, un usuario solo necesita el rol de IAM roles/storage.objectCreator, y el agente de servicio de Cloud Storage en el mismo proyecto (como service-PROJECT_NUMBER@gs-project-accounts.iam.gserviceaccount.com) necesita el rol de IAM roles/cloudkms.cryptoKeyEncrypterDecrypter.

En la siguiente tabla, se enumeran las funciones de IAM que suelen estar asociadas con cada función laboral:

Función de IAM	Descripción	Designación de la SP 800-152 del NIST
roles/cloudkms.admin	Proporciona acceso a los recursos de Cloud KMS, excepto al acceso a tipos de recursos y operaciones criptográficas restringidos.	Oficial criptográfico
roles/cloudkms.cryptoKeyEncrypterDecrypter	Proporciona la capacidad de usar los recursos de Cloud KMS solo para operaciones de encrypt y decrypt.	Usuario del sistema de administración de claves criptográficas
roles/cloudkms.viewer	Habilita las operaciones get y list.	Administrador de auditorías

Los incumplimientos de este principio y los problemas relacionados se pueden detectar automáticamente con los resultados de las vulnerabilidades de Security Command para Cloud KMS.

Aplica CMEK de forma coherente

En las siguientes secciones, se describen controles adicionales para ayudar a mitigar riesgos, como el uso de claves incoherente o la eliminación o destrucción accidentales.

Aplica retenciones de proyectos

Te recomendamos que protejas los proyectos con retenciones para evitar su eliminación accidental. Cuando se aplica una retención de proyecto, se bloquea la eliminación del proyecto de claves de Cloud KMS hasta que se quita la retención.

Cómo requerir claves CMEK

Te recomendamos que apliques el uso de CMEK en todo tu entorno con las restricciones de la política de la organización.

Usa constraints/gcp.restrictNonCmekServices para bloquear solicitudes para crear ciertos tipos de recursos sin especificar una clave CMEK.

Exigir una duración mínima programada para la destrucción

Te recomendamos que establezcas una duración mínima de programación para destrucción. La destrucción de claves es una operación irreversible que puede provocar la pérdida de datos. De forma predeterminada, Cloud KMS usa una duración de programada para su destrucción (a veces llamada período de eliminación no definitiva) de 30 días antes de que el material de la clave se destruya de forma irrecuperable. Esto proporciona tiempo para restablecer una clave en caso de destrucción accidental. Sin embargo, es posible que alguien con el rol de administrador de Cloud KMS cree una clave con una duración de destrucción programada de hasta 24 horas, lo que podría no ser suficiente para detectar un problema y restablecer la clave. La duración de programada para la destrucción solo se puede configurar durante la creación de la clave.

Mientras una clave esté programada para su destrucción, no se puede usar para operaciones criptográficas, y las solicitudes para usarla fallan. Durante este tiempo, supervisa los registros de auditoría para comprobar que la clave no esté en uso. Si quieres volver a usar la clave, debes restore antes de que finalice el período programado para la destrucción.

Para garantizar que todas las claves creadas cumplan con una duración mínima de destrucción programada, te recomendamos que configures la restricción de la política de la organización constraints/cloudkms.minimumDestroyScheduledDuration con un mínimo de 30 días o la duración que prefieras. Esta política de la organización impide que los usuarios creen claves con una duración de destrucción programada inferior al valor especificado en la política.

Aplica los niveles de protección permitidos para las CMEK

Te recomendamos que apliques tus requisitos de niveles de protección de claves de manera coherente en todo tu entorno con las restricciones de la política de la organización.

Usa constraints/cloudkms.allowedProtectionLevels para aplicar la política de que las claves, las versiones de claves y los trabajos de importación nuevos deben usar los niveles de protección que permites.

Configura controles de detección para CMEK

Google Cloud proporciona varios controles de detección para las CMEK. En las siguientes secciones, se explica cómo habilitar y usar estos controles relevantes para Cloud KMS.

Habilita y agrega el registro de auditoría

Te recomendamos que agregues los registros de auditoría de actividad del administrador de Cloud KMS (junto con los registros de actividad del administrador de todos los servicios) en una ubicación centralizada para todos los recursos de tu organización. Esto permite que un equipo de seguridad o un auditor revisen toda la actividad relacionada con la creación o modificación de recursos de Cloud KMS a la vez. Para obtener orientación sobre cómo configurar receptores de registros agregados, consulta Agrega y almacena los registros de tu organización.

De forma opcional, puedes habilitar los registros de acceso a los datos para registrar las operaciones que usan las claves, incluidas las operaciones de encriptación y desencriptación. Cuando usas CMEK, esto puede generar un volumen de registros sustancial y afectar tus costos, ya que cada operación de cada servicio que usa CMEK creará registros de acceso a los datos. Antes de habilitar los registros de acceso a los datos, te recomendamos que definas un caso de uso claro para los registros adicionales y evalúes cómo aumentarán tus costos de registro.

Supervisa el uso de las claves

Puedes ver el uso de claves con la API de inventario de Cloud KMS para ayudarte a identificar los recursos de Google Cloud de tu organización que dependen de las claves de Cloud KMS y están protegidos por ellas. Este panel se puede usar para supervisar el estado, el uso y la disponibilidad de las versiones de claves y los recursos correspondientes que protegen. El panel también identifica los datos a los que no se puede acceder debido a una clave inhabilitada o destruida para que puedas realizar acciones, como purgar los datos inaccesibles o volver a habilitar la clave.

También puedes usar Cloud Monitoring con Cloud KMS para configurar alertas para eventos críticos, como programar la destrucción de una clave. Cloud Monitoring te brinda la oportunidad de determinar por qué se realizó una operación de este tipo y activar un proceso descendente opcional para restablecer la clave si es necesario.

Te recomendamos que establezcas un plan operativo para detectar automáticamente los eventos que consideres importantes y revisar periódicamente el panel de uso de claves.

Habilita Security Command Center para ver los resultados de vulnerabilidades de Cloud KMS

Security Command Center genera resultados de vulnerabilidades que destacan los parámetros de configuración incorrectos asociados con Cloud KMS y otros recursos. Te recomendamos que habilites Security Command Center y que integres estos resultados en tus operaciones de seguridad existentes. Estos hallazgos incluyen problemas como claves de Cloud KMS de acceso público, proyectos de Cloud KMS con el rol owner demasiado permisivo o roles de IAM que incumplen la separación de deberes.

Evalúa tus requisitos de cumplimiento

Los diferentes marcos de cumplimiento tienen requisitos diferentes para la encriptación y la administración de claves. Por lo general, un marco de cumplimiento describe los principios y objetivos de alto nivel de la administración de claves de encriptación, pero no es prescriptivo sobre el producto o la configuración en particular que logra el cumplimiento. Es tu responsabilidad comprender los requisitos de tu marco de cumplimiento y cómo tus controles, incluida la administración de claves, pueden cumplir con esos requisitos.

Si deseas obtener orientación sobre cómo los servicios de Google Cloud pueden ayudarte a cumplir con los requisitos de diferentes marcos de cumplimiento, consulta los siguientes recursos:

• Recursos normativos y de cumplimiento de Cloud

• Guía de implementación del FedRAMP en Google Cloud

• Cumplimiento de las Normas de seguridad de datos de la PCI

• Protecting healthcare data on Google Cloud

Resumen de prácticas recomendadas

En la siguiente tabla, se resumen las prácticas recomendadas de este documento:

Tema	Tarea
Decide si usarás CMEK	Usa CMEK si necesitas alguna de las funciones que habilitan las CMEK.
Elige la creación manual o automática de claves	Usa Autokey de Cloud KMS si las características de las claves creadas por Autokey satisfacen tus necesidades.
Proyectos de claves de Cloud KMS	Usa un proyecto de claves centralizado para cada entorno. No crees recursos de Cloud KMS en el mismo proyecto que los recursos de Google Cloud que protegen las claves.
Llaveros de claves de Cloud KMS	Crea llaveros de claves de Cloud KMS para cada ubicación en la que deseas proteger los recursos de Google Cloud.
Nivel de detalle de las claves	Elige un patrón de nivel de detalle de claves que satisfaga tus necesidades o usa Autokey para aprovisionar claves automáticamente con el nivel de detalle recomendado para cada servicio.
Nivel de protección	Elige Cloud EKM si tu material de claves debe almacenarse fuera de Google Cloud. Elige Cloud HSM si tu material de claves se puede alojar en módulos de seguridad de hardware (HSM) propiedad de Google. Elige las claves de software si tus necesidades no requieren Cloud HSM ni Cloud EKM. Revisa la guía para seleccionar un nivel de protección.
Key material	Para el material de clave alojado en Google Cloud, usa el material de clave generado por Google cuando sea posible. Si usas material de claves importado, implementa la automatización y los procedimientos para mitigar los riesgos.
Propósito y algoritmo de clave	Todas las claves de CMEK deben usar el propósito de clave simétrica ENCRYPT_DECRYPT y el algoritmo GOOGLE_SYMMETRIC_ENCRYPTION.
Período de rotación	Usa la rotación de claves automática para asegurarte de que tus claves se roten según el programa. Elige y aplica un período de rotación que satisfaga tus necesidades, idealmente, no menos de una vez al año. Usa una rotación de claves más frecuente para cargas de trabajo sensibles.
Privilegio mínimo	Otorgar los roles predefinidos más limitados que permitan a los directores completar sus tareas No uses roles básicos.
Separación de obligaciones	Mantén permisos separados para los administradores de claves y las principales entidades que usan claves.
Retenciones del proyecto	Usa retenciones del proyecto para evitar la eliminación accidental de tus proyectos clave.
Cómo requerir CMEK	Usa la restricción constraints/gcp.restrictNonCmekServices.
Exigir una duración mínima programada para la destrucción	Usa la restricción constraints/cloudkms.minimumDestroyScheduledDuration.
Aplica los niveles de protección permitidos para las CMEK	Usa la restricción constraints/cloudkms.allowedProtectionLevels.
Habilita y agrega el registro de auditoría	Agrupa los registros de auditoría de actividad administrativa de todos los recursos de tu organización. Considera si deseas habilitar el registro de operaciones con claves.
Supervisa el uso de las claves	Usa la API de inventario de Cloud KMS o la consola de Google Cloud para comprender el uso de claves. De manera opcional, usa Cloud Monitoring para configurar alertas para operaciones sensibles, como programar la destrucción de una clave.
Habilita Security Command Center para Cloud KMS	Revisa los resultados de las vulnerabilidades y, luego, incorpóralos a tus operaciones de seguridad.
Evalúa los requisitos de cumplimiento	Revisa tu arquitectura de Cloud KMS y compárala con los requisitos de cumplimiento que debes cumplir.

¿Qué sigue?

• Obtén más información sobre cómo Cloud KMS Autokey reduce el esfuerzo por usar CMEK de forma coherente.