Información general sobre Cloud Key Management Service

Cloud Key Management Service (Cloud KMS) te permite crear y gestionar claves criptográficas para usarlas en servicios compatibles Google Cloud y en tus propias aplicaciones. Con Cloud KMS, puedes hacer lo siguiente:

  • Genera claves de software o hardware, importa claves a Cloud KMS o vincula claves externas en tu sistema de gestión de claves externo (EKM) compatible.
  • Genera claves de Cloud HSM y úsalas con Cloud HSM para Google Workspace para habilitar el cifrado del lado del cliente (CSE) en Google Workspace.
  • Usar claves de cifrado gestionadas por el cliente (CMEKs) en Google Cloud productos con integración de CMEK. Las integraciones de CMEK usan tus claves de Cloud KMS para cifrar o "encapsular" tus claves de cifrado de datos (DEKs). El proceso de envolver las DEKs con claves de cifrado de claves (KEKs) se denomina cifrado envolvente.
  • Usa Autokey de Cloud KMS para automatizar el aprovisionamiento y la asignación. Con Autokey, no es necesario que aprovisiones con antelación conjuntos de claves, claves y cuentas de servicio. En su lugar, se generan a petición como parte de la creación de recursos.
  • Usa claves de Cloud KMS para las operaciones de encriptado y desencriptado. Por ejemplo, puedes usar la API o las bibliotecas de cliente de Cloud KMS para usar tus claves de Cloud KMS en el cifrado del lado del cliente.
  • Usa claves de Cloud KMS para crear o verificar firmas digitales o firmas de código de autenticación de mensajes (MAC).

Elige el cifrado adecuado para tus necesidades

Puedes usar la siguiente tabla para identificar qué tipo de cifrado se adapta a tus necesidades en cada caso práctico. La mejor solución para tus necesidades puede incluir una combinación de métodos de cifrado. Por ejemplo, puedes usar claves de software para los datos menos sensibles y claves de hardware o externas para los datos más sensibles. Para obtener más información sobre las opciones de cifrado descritas en esta sección, consulta Proteger datos en Google Cloud en esta página. Para obtener más información sobre el acuerdo de nivel de servicio (SLA) que se aplica al usar claves de Cloud KMS, Cloud HSM y Cloud EKM, consulta el acuerdo de nivel de servicio.

Tipo de cifrado Coste Servicios compatibles Funciones
Google-owned and Google-managed encryption keys (Google Cloud cifrado predeterminado) Incluido Todos los Google Cloud servicios que almacenan datos de clientes
  • No necesitas configurar nada.
  • Cifra automáticamente los datos de los clientes guardados en cualquier Google Cloud servicio.
  • La mayoría de los servicios rotan las claves automáticamente.
  • Admite el cifrado con AES-256.
  • Validación FIPS 140-2 de nivel 1.
Claves de encriptado gestionadas por el cliente: software
(claves de Cloud KMS)		 0,06 USD por versión de clave Más de 40 servicios
Claves de encriptado gestionadas por el cliente (hardware)
(claves de Cloud HSM)		 De 1,00 a 2,50 USD por versión de clave al mes Más de 40 servicios
  • Se puede gestionar mediante Autokey de Cloud KMS.
  • Tú controlas la programación de la rotación automática de claves, los roles y permisos de gestión de identidades y accesos, y la habilitación, inhabilitación o eliminación de versiones de claves.
  • Admite claves simétricas y asimétricas para cifrar y descifrar.
  • Rota automáticamente las claves simétricas.
  • Admite varios algoritmos comunes.
  • Validación FIPS 140-2 de nivel 3.
  • Las claves son exclusivas de un cliente.
Claves de encriptado gestionadas por el cliente (externas)
(claves de Cloud EKM)		 3,00 USD por versión de clave al mes Más de 30 servicios
  • Tú controlas los roles y permisos de gestión de identidades y accesos, y puedes habilitar, inhabilitar o destruir versiones de claves.
  • Las llaves nunca se envían a Google.
  • El material de la clave se encuentra en un proveedor de gestión de claves externo (EKM) compatible.
  • Los servicios compatibles Google Cloud se conectan a tu proveedor de EKM a través de Internet o de una nube privada virtual (VPC).
  • Admite claves simétricas para cifrado y descifrado.
  • Rota manualmente las claves en coordinación con Cloud EKM y tu proveedor de EKM.
  • Validado según el estándar FIPS 140-2 de nivel 2 o de nivel 3, en función del EKM.
  • Las claves son exclusivas de un cliente.
Cifrado del lado del cliente con claves de Cloud KMS El coste de las versiones de claves activas depende del nivel de protección de la clave. Usar bibliotecas de cliente en tus aplicaciones
  • Tú controlas la programación de la rotación automática de claves, los roles y permisos de gestión de identidades y accesos, y la habilitación, inhabilitación o eliminación de versiones de claves.
  • Admite claves simétricas y asimétricas para cifrado, descifrado, firma y validación de firmas.
  • Las funciones varían según el nivel de protección de la clave.
Cloud HSM para Google Workspace Tarifa mensual fija por cada instancia, más el coste de las versiones de claves activas y las operaciones criptográficas. Usar claves de Cloud HSM para el cifrado del lado del cliente en Google Workspace
  • Tú controlas la programación de la rotación automática de claves, los roles y permisos de gestión de identidades y accesos, y la habilitación, inhabilitación o eliminación de versiones de claves.
  • Usar claves simétricas para cifrar y descifrar.
Claves de cifrado proporcionadas por el cliente Puede aumentar los costes asociados a Compute Engine o Cloud Storage
  • Proporcionas materiales clave cuando es necesario.
  • El material de la clave reside en la memoria. Google no almacena tus claves en sus servidores de forma permanente.
Confidential Computing Coste adicional por cada máquina virtual confidencial; puede aumentar el uso de registros y los costes asociados
  • Proporciona cifrado en uso para las VMs que gestionan datos o cargas de trabajo sensibles.
  • Google no puede acceder a las claves.

Protección de datos en Google Cloud

Google-owned and Google-managed encryption keys (cifrado predeterminado deGoogle Cloud )

De forma predeterminada, los datos en reposo de Google Cloud están protegidos por claves de Keystore, Google Cloudel servicio de gestión de claves interno. Google Cloudgestiona automáticamente las claves de Keystore, por lo que no tienes que hacer nada. La mayoría de los servicios rotan las claves automáticamente. Keystore admite una versión de clave principal y un número limitado de versiones de clave anteriores. La versión de clave principal se usa para cifrar las nuevas claves de cifrado de datos. Las versiones de clave anteriores se pueden seguir usando para desencriptar las claves de cifrado de datos. No puedes ver ni gestionar estas claves, ni consultar los registros de uso de claves. Los datos de varios clientes pueden usar la misma clave de cifrado de claves.

Este cifrado predeterminado utiliza módulos criptográficos validados para cumplir el estándar FIPS 140-2 de nivel 1.

Claves de encriptado gestionadas por el cliente (CMEKs)

Las claves de Cloud KMS que se usan para proteger tus recursos en servicios integrados con CMEK son claves de cifrado gestionadas por el cliente (CMEKs). Puedes tener y controlar las CMEKs, así como delegar las tareas de creación y asignación de claves en Autokey de Cloud KMS. Para obtener más información sobre cómo automatizar el aprovisionamiento de CMEKs, consulta Cloud Key Management Service con Autokey.

Puedes usar tus claves de Cloud KMS en servicios compatibles para ayudarte a alcanzar los siguientes objetivos:

  • Tener tus propias claves de cifrado.

  • Controla y gestiona tus claves de cifrado, incluida la elección de la ubicación, el nivel de protección, la creación, el control de acceso, la rotación, el uso y la destrucción.

  • Elimina de forma selectiva los datos protegidos por tus claves en caso de baja o para solucionar problemas de seguridad (destrucción criptográfica).

  • Crea claves de un solo inquilino específicas que establezcan un límite criptográfico en torno a tus datos.

  • Registra el acceso administrativo y de datos a las claves de cifrado.

  • Cumplir la normativa actual o futura que requiera alguno de estos objetivos.

Cuando usas claves de Cloud KMS con servicios integrados con CMEK, puedes usar políticas de la organización para asegurarte de que las CMEK se usen tal como se especifica en las políticas. Por ejemplo, puedes definir una política de la organización que asegure que tus recursos compatibles Google Cloud utilicen tus claves de Cloud KMS para el cifrado. Las políticas de organización también pueden especificar en qué proyecto deben residir los recursos clave.

Las funciones y el nivel de protección proporcionados dependen del nivel de protección de la clave:

  • Claves de software: puedes generar claves de software en Cloud KMS y usarlas en todas las Google Cloud ubicaciones. Puedes crear claves simétricas con rotación automática o claves asimétricas con rotación manual. Las claves de software gestionadas por el cliente usan módulos de criptografía de software con validación FIPS 140-2 de nivel 1. También puedes controlar el periodo de rotación, los roles y permisos de Gestión de Identidades y Accesos (IAM), y las políticas de la organización que rigen tus claves. Puedes usar tus claves de software con muchos recursos compatibles Google Cloud.

  • Claves de software importadas: puedes importar claves de software que hayas creado en otro lugar para usarlas en Cloud KMS. Puedes importar nuevas versiones de claves para rotar manualmente las claves importadas. Puedes usar roles y permisos de gestión de identidades y accesos, así como políticas de la organización, para controlar el uso de las claves importadas.

  • Claves de hardware y Cloud HSM: puedes generar claves de hardware en un clúster de módulos de seguridad de hardware (HSM) con validación FIPS 140-2 de nivel 3. Tienes control sobre el periodo de rotación, los roles y permisos de gestión de identidades y accesos, y las políticas de la organización que rigen tus claves. Cuando creas claves de HSM con Cloud HSM, Google Cloud gestiona los clústeres de HSM para que no tengas que hacerlo tú. Puedes usar tus claves de HSM con muchos recursos compatibles Google Cloud, los mismos servicios que admiten claves de software. Para disfrutar del máximo nivel de cumplimiento de seguridad, usa llaves de hardware.

  • Claves externas y Cloud EKM: puedes usar claves que residan en un gestor de claves externo (EKM). Cloud EKM te permite usar claves almacenadas en un gestor de claves admitido para proteger tusGoogle Cloud recursos. Puedes conectarte a tu EKM a través de Internet o de una nube privada virtual (VPC). Algunos Google Cloud servicios que admiten claves de Cloud KMS no admiten claves de Cloud EKM.

Para obtener más información sobre las ubicaciones de Cloud KMS que admiten cada nivel de protección, consulta Ubicaciones de Cloud KMS.

Claves de Cloud KMS

Puedes usar tus claves de Cloud KMS en aplicaciones personalizadas mediante las bibliotecas de cliente de Cloud KMS o la API de Cloud KMS. Las bibliotecas cliente y la API te permiten encriptar y desencriptar datos, firmar datos y validar firmas.

Claves de Cloud HSM

Puedes usar tus claves de Cloud HSM en Cloud HSM para Google Workspace para gestionar las claves que se usan en el cifrado del lado del cliente (CLC) de Google Workspace. Puedes incorporar Cloud HSM para Google Workspace.

Claves de cifrado proporcionadas por el cliente (CSEKs)

Cloud Storage y Compute Engine pueden usar claves de cifrado proporcionadas por el cliente (CSEKs). Con las claves de encriptado proporcionadas por el cliente, almacenas el material de la clave y lo proporcionas a Cloud Storage o Compute Engine cuando sea necesario. Google Cloud no almacena tus CSEKs de ninguna forma.

Confidential Computing

En Compute Engine, GKE y Dataproc, puedes usar la plataforma Confidential Computing para cifrar tus datos en uso. La computación confidencial asegura que tus datos permanezcan privados y cifrados incluso mientras se procesan.