Prácticas recomendadas para usar CMEK

En esta página, se describen las prácticas recomendadas para configurar la encriptación en reposo con claves de encriptación administradas por el cliente (CMEK) en tus recursos de Google Cloud. Esta guía está dirigida a arquitectos de nube y equipos de seguridad, y prácticas recomendadas y decisiones que debes tomar mientras diseñas tu CMEK arquitectura.

En esta guía, se da por sentado que ya conoces Cloud Key Management Service (Cloud KMS) y que leíste el análisis detallado de Cloud KMS.

Decisiones preliminares

Las recomendaciones de esta página están destinadas a los clientes que usan CMEK para lo siguiente: para encriptar sus datos. Si no estás seguro de si debes usar CMEK creadas de forma manual o automática como parte de tu estrategia de seguridad, esta sección te brinda orientación para tomar estas decisiones preliminares.

Decide si usarás CMEK

Te recomendamos que uses CMEK para encriptar datos en reposo en los servicios de Google Cloud si necesitas alguna de las siguientes funciones:

• Sé el propietario de tus claves de encriptación.

• Controla y administra tus claves de encriptación, incluida la elección de la ubicación, el nivel de protección, la creación, el control de acceso, la rotación, el uso y la destrucción.

• Genera material de clave en Cloud KMS o importa material de clave que se mantenga fuera de Google Cloud.

• Establece una política sobre dónde se deben usar tus claves.

• Borra de forma selectiva los datos protegidos por tus claves en el caso de la desvinculación o para solucionar eventos de seguridad (fragmentación criptográfica).

• Crea y usa claves únicas para un cliente y establece un límite criptográfico alrededor de tus datos.

• Registra el acceso administrativo y a los datos a las claves de encriptación.

• Cumple con la reglamentación actual o futura que requiera cualquiera de estos objetivos.

Si no necesitas estas capacidades, evalúa si la encriptación predeterminada resto con claves administradas por Google es adecuado para para tu caso de uso. Si decides usar solo la encriptación predeterminada, puedes dejar de leer esta guía.

Elige la creación de claves manual o automática

En esta guía, se describen las prácticas recomendadas para las decisiones que debes tomar cuando provisionas las CMEK por tu cuenta. Autokey de Cloud KMS toma algunas de estas decisiones por ti y automatiza muchas de las recomendaciones de esta guía. Usar Autokey es más sencillo que aprovisionar claves por tu cuenta y es la opción recomendada si las claves que crea Autokey cumplen con todos tus requisitos.

Autokey aprovisiona CMEK por ti. Las CMEK aprovisionadas por Autokey tienen las siguientes características:

• Nivel de protección: HSM
• Algoritmo: AES-256 GCM.

• Período de rotación: Un año.

  Después de que Autokey crea una clave, se crea un el administrador puede editar el período de rotación del valor predeterminado.

• Separación de obligaciones:
  • La cuenta de servicio del servicio obtiene automáticamente permisos de encriptación y desencriptación en la clave.
  • Los permisos de administrador de Cloud KMS se aplican a las claves como de costumbre. que creó Autokey. Los administradores de Cloud KMS pueden ver, actualizar, habilitar o inhabilitar y destruir claves creadas por Autokey Los administradores de Cloud KMS no reciben para encriptar y desencriptar.
  • Los desarrolladores de Autokey solo pueden solicitar la creación y la asignación de claves. No pueden ver ni administrar claves.
• Especificidad o nivel de detalle de la clave: Claves creadas por Autokey tienen un nivel de detalle que varía según el tipo de recurso. Para obtener detalles específicos del servicio sobre el nivel de detalle de la clave, consulta Servicios compatibles.

• Ubicación: Autokey crea claves en la misma ubicación que el recurso que se protegerá.

  Si necesitas crear recursos protegidos por CMEK en ubicaciones donde Cloud HSM no está disponible, debes crear tu CMEK de forma manual.

• Estado de la versión de clave: Las claves creadas recientemente que se solicitan con Autokey se crean como la versión de clave principal en el estado habilitado.
• Nombre del llavero de claves: Todas las claves que crea Autokey se crean en un el llavero de claves llamado autokey en el proyecto de Autokey en la ubicación. Los llaveros de claves en tu proyecto de Autokey se crean cuando El desarrollador de Autokey solicita la primera clave en una ubicación determinada.
• Nombres de las claves: Las claves creadas por Autokey siguen esta convención de nombres: PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
• Exportación de claves: Al igual que todas las claves de Cloud KMS, claves creadas por No se puede exportar Autokey.
• Seguimiento de claves: Al igual que todas las claves de Cloud KMS que se usan en los servicios integrados de CMEK compatibles con el seguimiento de claves, se realiza un seguimiento de las claves que crea Autokey en el panel de Cloud KMS.

Si tienes requisitos que no se pueden cumplir con las claves que crea Autokey, como un nivel de protección distinto de HSM o servicios que no son compatibles con Autokey, te recomendamos que uses CMEK creadas de forma manual en lugar de Autokey.

Diseña tu arquitectura CMEK

Cuando diseñes una arquitectura de CMEK, debes tener en cuenta la configuración de las claves que usarás y cómo se administran. Estas decisiones influyen en el costo, la sobrecarga operativa y la facilidad de implementación de capacidades, como la destrucción criptográfica.

En las siguientes secciones, se analizan las recomendaciones para cada opción de diseño.

Usar un proyecto de clave CMEK centralizado para cada entorno

Recomendamos usar un proyecto de clave CMEK centralizado para cada carpeta de entorno. No crees recursos encriptados con CMEK en el mismo proyecto en el que administras claves de Cloud KMS. Este enfoque ayuda a evitar el uso compartido de la encriptación entre los entornos y ayuda a habilitar la separación de obligaciones.

En el siguiente diagrama, se ilustran estos conceptos en el diseño recomendado:

• Cada carpeta de entorno tiene un proyecto de clave de Cloud KMS que se administra por separado de los proyectos de la aplicación.
• Las claves y los llaveros de claves de Cloud KMS se aprovisionan de claves de Cloud KMS y se usan para encriptar recursos en los proyectos de la aplicación.
• Las políticas de Identity and Access Management (IAM) se aplican a proyectos o carpetas para habilitar la separación de obligaciones. La principal que administra las claves de Cloud KMS en el proyecto de claves de Cloud KMS no es el mismo principal usa las claves de encriptación en proyectos de aplicaciones.

Si usas Autokey de Cloud KMS, se establecerá habilitado debe tener un proyecto de clave de Cloud KMS dedicado.

Crea llaveros de claves de Cloud KMS para cada ubicación

Debes crear llaveros de claves de Cloud KMS en las ubicaciones en las que implementes recursos de Google Cloud encriptados con CMEK.

• Los recursos regionales y zonales deben usar un llavero de claves y CMEK en la misma región que el recurso o en la ubicación global. Los recursos de una sola región y zonal no pueden usar un llavero de claves multirregional que no sea global.
• Los recursos multirregionales (como un conjunto de datos de BigQuery en la multirregión us) deben usar un llavero y una CMEK en la misma multirregión o región doble. Los recursos multirregionales no pueden usar un llavero de claves regional.
• Los recursos globales deben usar un llavero de claves y CMEK en la ubicación global.

Aplicar claves regionales es una parte de la estrategia de regionalización de datos. Cuando se aplica la aplicación forzosa del uso de llaveros de claves y claves en una región definida, también se aplica la aplicación forzosa de que los recursos deben coincidir con la región del llavero de claves. Orientación sobre los datos residencia, consulta Implementa los requisitos de residencia y soberanía de los datos.

Para cargas de trabajo que requieren alta disponibilidad o capacidades de recuperación ante desastres en varias ubicaciones, es tu responsabilidad evaluar si tu la carga de trabajo sea resiliente en caso de que Cloud KMS no esté disponible en una región determinada. Por ejemplo, un disco persistente de Compute Engine encriptado con una clave de Cloud KMS de us-central1 no se puede volver a crear en us-central2 en una situación de recuperación ante desastres en la que us-central1 no está disponible. Para mitigar el riesgo de esta situación, puedes planificar la encriptación de un recurso con claves global.

Para obtener más información, consulta Elige el mejor tipo de ubicación.

Si usas Autokey de Cloud KMS, se crean llaveros en la misma ubicación que los recursos que proteges.

Elige una estrategia de nivel de detalle de las claves

El nivel de detalle hace referencia a la escala y el alcance del uso previsto de cada clave. Para Por ejemplo, se dice que una clave que protege varios recursos es menos detallada. que una clave que protege solo un recurso.

Las claves de Cloud KMS aprovisionadas manualmente para CMEK se deben aprovisionar en avanzar antes de crear un recurso que se encriptará con la clave, como un disco persistente de Compute Engine. Puedes optar por crear claves detalladas para recursos individuales o para crear claves menos detalladas con el objetivo de reutilizarlas entre los recursos en general.

Si bien no existe un patrón universalmente correcto, considera lo siguiente: las compensaciones de diferentes patrones:

Claves de gran detalle: Por ejemplo, una clave para cada recurso individual

• Más control para inhabilitar versiones de claves de forma segura: Inhabilitar o destruir una versión de clave que se usa para un alcance limitado tiene un menor riesgo de afectar otros recursos que inhabilitar o destruir una clave compartida. Esto también significa que usar claves muy detalladas ayuda a reducir el impacto potencial de una que su clave está comprometida en comparación con el uso de claves con bajo nivel de detalle.
• Costo: El uso de claves detalladas requiere mantener versiones de claves más activas en comparación con una estrategia que usa claves con menor nivel de detalle. Porque Los precios de Cloud KMS se basan en la cantidad de versiones de claves, elegir un mayor nivel de detalle de la clave genera costos más altos.
• Capa operativa: El uso de claves altamente detalladas puede requerir un esfuerzo administrativo o herramientas adicionales para la automatización para aprovisionar una gran cantidad de recursos de Cloud KMS y administrar los controles de acceso de los agentes de servicio para que solo puedan usar las claves adecuadas. Si necesitas llaves con alta granularidad, Autokey podría ser una buena opción para automatizar el aprovisionamiento. Para obtener más información sobre el nivel de detalle de las claves de Autokey para cada servicio, consulta Servicios compatibles.

Claves de nivel de detalle bajo: por ejemplo, una clave para cada aplicación y cada región y para cada entorno

• Se debe tener cuidado para inhabilitar de forma segura las versiones de claves: Inhabilitar o destruir una que se usa para un alcance amplio requiere más cuidado que inhabilitar o destruir una clave muy detallada. Debes asegurarte de que todos los recursos que encriptó esa versión de clave se vuelvan a encriptar de forma segura con una versión de clave nueva antes de inhabilitar la versión de clave anterior. En el caso de muchos tipos de recursos, puedes ver el uso de claves para identificar dónde se usó una clave. Esta también significa que el uso de claves con un nivel de detalle bajo puede aumentar el impacto potencial de una clave que está comprometida cuando se compara con el uso de un alto nivel de detalle claves.
• Costo: El uso de claves menos detalladas requiere que se creen menos versiones de claves, y los precios de Cloud KMS se basan en la cantidad de versiones de claves activas.
• Capa operativa: Puedes definir y aprovisionar previamente una cantidad conocida de claves, con menos esfuerzo para garantizar los controles de acceso adecuados.

Elige el nivel de protección de las claves

Al crear una clave, es tu responsabilidad seleccionar la protección de nivel de servicio adecuado para cada clave según los requisitos para los datos y las cargas de trabajo encriptados con CMEK. Lo siguiente preguntas pueden ayudarte en tu evaluación:

1. ¿Necesitas alguna de las funciones de CMEK? Puedes revisar las capacidades que aparece en Decide si usar CMEK en esta página.

   • Si es así, continúa con la siguiente pregunta.
   • De lo contrario, te recomendamos que uses Encriptación predeterminada de Google.

2. ¿Es necesario que el material de clave permanezca dentro de la de un módulo de seguridad de hardware (HSM)?

   • Si es así, continúa con la siguiente pregunta.
   • De lo contrario, recomendamos usar CMEK con copias de seguridad claves.

3. ¿Exiges que el material de clave se almacene fuera de Google Cloud?

   • Si es así, recomendamos usar CMEK con Cloud External Key Manager.
   • De lo contrario, te recomendamos CMEK con Cloud HSM (claves respaldadas por hardware).

Autokey solo admite el nivel de protección de HSM. Si necesitas otros niveles de protección, debes aprovisionar las claves por tu cuenta.

Usa material de clave generado por Google siempre que sea posible

Esta sección no se aplica a las claves de Cloud EKM.

Cuando creas una clave, debes permitir que Cloud KMS genere el el material de clave por ti o importar el material de clave generado de forma manual fuera de Google Cloud. Cuando sea posible, te recomendamos que elijas opción generada. Esta opción no expone el material sin procesar de la clave fuera de Cloud KMS y crea automáticamente nuevas versiones de claves según la clave de rotación que elijas. Si necesitas la opción de importar tu propio material de claves, te recomendamos que evalúes las siguientes consideraciones operativas y los riesgos de usar el enfoque de trae tu propia clave (BYOK):

• ¿Puedes implementar la automatización para importar versiones de claves nuevas de forma coherente? Esto incluye la configuración de Cloud KMS para restringir las versiones de claves solo a la importación y la automatización fuera de Cloud KMS para generar e importar material de clave de forma coherente. ¿Qué es el impacto si tu automatización no puede crear una nueva versión de clave en el el horario esperado?
• ¿Cómo quieres almacenar de forma segura o depositar en custodia el material de clave original?
• ¿Cómo puedes mitigar el riesgo de que tu proceso para importar claves filtre el material de clave sin procesar?
• ¿Cuál sería el impacto de volver a importar una clave destruida previamente porque el material de clave sin procesar se retuvo fuera de Google Cloud?
• ¿El beneficio de importar material clave por tu cuenta justifica el aumento de la sobrecarga y el riesgo operativos?

Elige el propósito y el algoritmo de clave adecuados para tus necesidades

Cuando creas una clave, debes seleccionar el propósito y el algoritmo subyacente para la clave. En el caso de los casos de uso de CMEK, solo se pueden usar claves con el propósito simétrico ENCRYPT_DECRYPT. Este propósito de clave siempre usa el algoritmo GOOGLE_SYMMETRIC_ENCRYPTION, que usa claves del Estándar de encriptación avanzada de 256 bits (AES-256) en modo Galois/contador (GCM), que se rellenó con metadatos internos de Cloud KMS. Cuando usas Autokey, esta configuración se aplica automáticamente.

Para otros casos de uso, como la encriptación del cliente, revisa la clave disponible y algoritmos para elegir la opción más adecuada para tu caso de uso.

Elige un período de rotación

Te recomendamos que evalúes el período de rotación de claves adecuado para tus necesidades. La frecuencia de la rotación de claves depende de los requisitos de las cargas de trabajo según la sensibilidad o el cumplimiento. Por ejemplo, es posible que se requiera la rotación de claves al menos una vez al año para cumplir con ciertos estándares de cumplimiento, o bien puedes elegir un período de rotación más frecuente para cargas de trabajo altamente sensibles.

Después de rotar una clave simétrica, la versión nueva se marca como la clave primaria. y se usa en todas las solicitudes nuevas para proteger la información. Las versiones de clave anteriores permanecen disponibles para desencriptar los datos encriptados anteriormente protegidos con esa versión. Cuando rotas una clave, los datos que se encriptaron con versiones de claves anteriores no se vuelven a encriptar de forma automática.

La rotación frecuente de claves ayuda a limitar la cantidad de mensajes encriptados con la misma versión de clave, lo que ayuda a reducir el riesgo y las consecuencias de que se vulnere una clave.

Si usas Autokey, las claves se crean con un período de rotación de claves predeterminado de un año. Puedes cambiar el período de rotación. para las claves una vez creadas.

Aplica los controles de acceso adecuados

Te recomendamos que consideres los principios de privilegio mínimo y separación. de tareas cuando planificas los controles de acceso. En las siguientes secciones, se presentan estas recomendaciones.

Aplica el principio de privilegio mínimo

Cuando asignes permisos para administrar CMEK, considera el principio de privilegio mínimo y otorga los permisos mínimos necesarios para realizar una tarea. Mié te recomendamos que evites usar roles básicos. En cambio, otorgar roles predefinidos de Cloud KMS para mitigar y riesgos de incidentes de seguridad relacionados con el acceso con privilegios excesivos.

Los incumplimientos de este principio y los problemas relacionados se pueden detectar automáticamente con los hallazgos de vulnerabilidades de Security Command Center para IAM.

Plan de separación de obligaciones

Mantener identidades y permisos separados para quienes administran tu claves de encriptación y quiénes las usan. El NIST SP 800-152 define una separación de deberes entre el oficial de criptografía que habilita y administra los servicios de un sistema de administración de claves criptográficas y un usuario que usa esas claves para encriptar o desencriptar recursos.

Cuando usas CMEK para administrar la encriptación en reposo con los servicios de Google Cloud, el rol de IAM para usar claves de encriptación se asigna al agente de servicio del servicio de Google Cloud, no al usuario individual. Por ejemplo, para crear objetos en un bucket encriptado de Cloud Storage, se necesita un el usuario solo necesita el rol de IAM roles/storage.objectCreator el agente de servicio de Cloud Storage en el mismo proyecto (como service-PROJECT_NUMBER@gs-project-accounts.iam.gserviceaccount.com) necesita el rol de IAM roles/cloudkms.cryptoKeyEncrypterDecrypter.

En la siguiente tabla, se indican los roles de IAM que se suelen asociada con qué puesto de trabajo:

Función de IAM	Descripción	Designación de la SP 800-152 del NIST
roles/cloudkms.admin	Proporciona acceso a los recursos de Cloud KMS, excepto al acceso a tipos de recursos y operaciones criptográficas restringidos.	Oficial criptográfico
roles/cloudkms.cryptoKeyEncrypterDecrypter	Proporciona la capacidad de usar los recursos de Cloud KMS para Solo para operaciones encrypt y decrypt.	Usuario de un sistema de administración de claves criptográficas
roles/cloudkms.viewer	Habilita las operaciones get y list.	Administrador de auditorías

Las infracciones de este principio y los problemas relacionados se pueden detectar automáticamente por los hallazgos de vulnerabilidades de Security Command para Cloud KMS

Aplica CMEK de forma coherente

En las siguientes secciones, se describen controles adicionales para ayudar a mitigar los riesgos como el uso incoherente de claves o la eliminación o destrucción accidental.

Aplicar retenciones de proyectos

Te recomendamos que protejas los proyectos con retenciones para evitar su eliminación accidental. Cuando se aplica una retención de proyecto, la clave de Cloud KMS se bloqueará su eliminación hasta que se quite la retención.

Requiere claves CMEK

Recomendamos que apliques el uso de CMEK en tu entorno con de las políticas de la organización.

Usa constraints/gcp.restrictNonCmekServices para bloquear para crear ciertos tipos de recursos sin especificar una clave CMEK.

Se requiere que las claves se inhabiliten antes de la destrucción

Te recomendamos inhabilitar las versiones de claves antes de programar su destrucción. Esto ayuda a validar que la clave no esté en uso activo y es un paso importante para determinar si es seguro destruir una versión de clave. No se puede acceder a los datos ni a los recursos protegidos por las CMEK después de que se inhabilite o destruya la versión de clave correspondiente. Una versión de clave con el estado inhabilitado no se pueden utilizar, pero se pueden volver a habilitar en el futuro si es necesario.

Te recomendamos que uses la restricción de la política de la organización constraints/cloudkms.disableBeforeDestroy para exigir que se inhabilite una clave antes de que se pueda programar su destrucción.

Exigir una duración mínima programada para la destrucción

Te recomendamos que establezcas una duración mínima para la destrucción programada. La destrucción de claves es una operación irreversible que puede provocar la pérdida de datos. De de forma predeterminada, Cloud KMS usa una duración programada para destrucción de 30 días (a veces llamado período de eliminación no definitiva) antes de que el material de una clave sea irrecuperable antes de que se destruyan. Esto proporciona tiempo para restablecer una clave en caso de destrucción accidental. Sin embargo, es posible que una persona con el rol de administrador de Cloud KMS cree una clave con una duración de destrucción programada de hasta 24 horas, lo que podría no ser suficiente para detectar un problema y restablecer la clave. La duración de programada para la destrucción solo se puede configurar durante la creación de la clave.

Garantizar que todas las claves creadas cumplan con un requisito mínimo programado para su destrucción duración, te recomendamos configurar la restricción de la política de la organización constraints/cloudkms.minimumDestroyScheduledDurations con un período de espera de 30 días o la duración que prefieras. Esta política de la organización impide que los usuarios creen claves con una duración de destrucción programada inferior al valor especificado en la política.

Aplica los niveles de protección permitidos para las CMEK

Te recomendamos que apliques tus requisitos de niveles de protección de claves de manera coherente en todo tu entorno con las restricciones de la política de la organización.

Usa constraints/cloudkms.allowedProtectionLevels. para aplicar que las claves nuevas, las versiones de claves y los trabajos de importación deben usar la protección niveles que permitas.

Configura controles de detección para CMEK

Google Cloud proporciona varios controles de detección para las CMEK. En las siguientes secciones, se explica cómo habilitar y usar estos controles relevantes para Cloud KMS.

Habilita y agrega los registros de auditoría

Te recomendamos que agregues los registros de auditoría de actividad del administrador de Cloud KMS (junto con los registros de actividad del administrador de todos los servicios) en una ubicación centralizada para todos los recursos de tu organización. Esto permite que un equipo de seguridad o auditor revise toda la actividad relacionadas con la creación o modificación de recursos de Cloud KMS a la vez. Para guía para configurar receptores de registros agregados, consulta cómo agregar y almacenar de tu organización.

De forma opcional, puedes habilitar los registros de acceso a los datos para registrar operaciones que usan las claves. incluidas las operaciones de encriptación y desencriptación. Cuando usas CMEK, esto puede generar volumen de registros y afectar tus costos porque cada operación de cada que usa CMEK creará registros de acceso a los datos. Antes de habilitar el acceso a los datos de registros, te recomendamos que definas un caso de uso claro para los registros adicionales y evaluar cómo aumentarán los costos de los registros.

Supervisar el uso de las claves

Puedes ver el uso de claves con la API de inventario de Cloud KMS para ayudarte a identificar los recursos de Google Cloud de tu organización que dependen de las claves de Cloud KMS y están protegidos por ellas. Este panel se puede usar para supervisar el estado, el uso y la disponibilidad de las versiones de claves y los recursos correspondientes que protegen. El panel también identifica los datos a los que no se puede acceder debido a una clave inhabilitada o destruida para que puedas realizar acciones, como purgar los datos inaccesibles o volver a habilitar la clave.

También puedes usar Cloud Monitoring con Cloud KMS para configurar alertas para eventos críticos, como programar una clave para su destrucción. Cloud Monitoring te da la oportunidad de clasificar por qué dicha operación y activar un proceso descendente opcional para restablecer la clave si según sea necesario.

Te recomendamos que establezcas un plan operativo para detectar automáticamente los eventos que consideres importantes y revisar periódicamente el panel de uso de claves.

Habilitar Security Command Center para los hallazgos de vulnerabilidades de Cloud KMS

Security Command Center genera resultados de vulnerabilidades que destacar parámetros de configuración incorrectos asociados con Cloud KMS y otras de Google Cloud. Recomendamos que habilites Security Command Center y, luego, integres estos hallazgos en tus operaciones de seguridad existentes. Estos hallazgos incluyen problemas como claves de Cloud KMS de acceso público, proyectos de Cloud KMS con el rol owner demasiado permisivo o roles de IAM que incumplen la separación de deberes.

Evalúa tus requisitos de cumplimiento

Los distintos frameworks de cumplimiento tienen requisitos distintos para la encriptación y la administración de claves. Un framework de cumplimiento generalmente describe los conceptos de alto nivel principios y objetivos de la administración de claves de encriptación, pero no es prescriptivo sobre el producto o la configuración en particular que logra el cumplimiento. Es es tu responsabilidad comprender los requisitos del marco de trabajo de cumplimiento y cómo tus controles, incluida la administración de claves, pueden cumplir con esos requisitos.

Si deseas obtener orientación sobre cómo los servicios de Google Cloud pueden ayudarte a cumplir con los requisitos de diferentes marcos de cumplimiento, consulta los siguientes recursos:

• Cumplimiento de las normas de Cloud y Recursos sobre las reglamentaciones

• Guía de implementación del FedRAMP en Google Cloud

• Cumplimiento de las Normas de seguridad de datos de la PCI

• Protecting healthcare data on Google Cloud

Resumen de prácticas recomendadas

En la siguiente tabla, se resumen las prácticas recomendadas de este documento:

Tema	Tarea
Decide si usarás CMEK	Usa CMEK si necesitas alguna de las funciones que habilitan las CMEK.
Elige la creación de claves manual o automática	Usa Autokey de Cloud KMS si las características de las claves creadas por Autokey satisfacen tus necesidades.
Proyectos clave de Cloud KMS	Usar un proyecto clave centralizado para cada entorno. No crear Recursos de Cloud KMS en el mismo proyecto que Google Cloud recursos que protegen las claves.
Llaveros de claves de Cloud KMS	Crea llaveros de claves de Cloud KMS para cada ubicación en la que quieras proteger Google Cloud de Google Cloud.
Nivel de detalle de las claves	Elige un patrón de nivel de detalle de clave que satisfaga tus necesidades, o usa Autokey para aprovisionar claves automáticamente con el nivel de detalle recomendado para cada servicio.
Nivel de protección	Elige Cloud EKM si tu material de clave debe almacenarse fuera de Google Cloud. Elige Cloud HSM si tu material de clave pueden alojarse en módulos de seguridad de hardware (HSM) de Google. Elige las claves de software si tus necesidades no requieren Cloud HSM ni Cloud EKM. Revisa la guía para seleccionar un nivel de protección.
Key material	Para el material de claves alojado en Google Cloud, usa material de claves cuando sea posible. Si usas material de clave importado, la automatización y los procedimientos necesarios mitigar los riesgos.
Propósito y algoritmo de clave	Todas las claves de CMEK deben usar el propósito de clave simétrica ENCRYPT_DECRYPT y el algoritmo GOOGLE_SYMMETRIC_ENCRYPTION.
Período de rotación	Usa la rotación de claves automática para asegurarte de que las claves se roten de un proyecto. Elegir y aplicar un período de rotación que satisfaga tus necesidades idealmente, no menos de una vez al año. Usa una rotación de claves más frecuente para cargas de trabajo sensibles.
Privilegio mínimo	Otorga los roles predefinidos más limitados que permitan a las principales para completar sus tareas. No uses roles básicos.
Separación de obligaciones	Mantén permisos separados para los administradores de claves y las principales. que usan claves.
Retenciones del proyecto	Usa retenciones del proyecto para evitar la eliminación accidental de tu clave. proyectos.
Cómo requerir CMEK	Usa el constraints/gcp.restrictNonCmekServices “compute.vmExternalIpAccess”.
Se requiere que las claves se inhabiliten antes de la destrucción	Usa el constraints/cloudkms.disableBeforeDestroy “compute.vmExternalIpAccess”.
Requerir un mínimo programado para la duración de la destrucción	Usa el constraints/cloudkms.minimumDestroyScheduledDurations “compute.vmExternalIpAccess”.
Aplica los niveles de protección permitidos para las CMEK	Usa el constraints/cloudkms.allowedProtectionLevels “compute.vmExternalIpAccess”.
Habilita y agrega los registros de auditoría	Agrupa los registros de auditoría de actividad administrativa de todos los recursos de tu organización. Considera si deseas habilitar el registro de las operaciones con claves.
Supervisar el uso de las claves	Usa la API de inventario de Cloud KMS o la consola de Google Cloud para el uso de claves. De manera opcional, usa Cloud Monitoring para configurar alertas para operaciones sensibles, como programar la destrucción de una clave.
Habilita Security Command Center para Cloud KMS	Revisa los resultados de las vulnerabilidades y, luego, incorpóralos a tus operaciones de seguridad.
Evalúa los requisitos de cumplimiento	Revisa tu arquitectura de Cloud KMS y compárala con los requisitos de cumplimiento que debes cumplir.

¿Qué sigue?

• Obtén más información sobre cómo Cloud KMS Autokey reduce el esfuerzo por usar CMEK de forma coherente.