Crea una conexión de EKM

En esta página, se muestra cómo configurar Cloud External Key Manager (Cloud EKM) para conectarte a tu proveedor de administración de claves externas (EKM) a través de una red de nube privada virtual (VPC).

Puedes usar claves externas mediante VPC en ubicaciones de Cloud KMS que admite EKM a través de VPC. Para obtener más información, consulta Ubicaciones de Cloud KMS .

Terminología

  • Conexión de EKM

    El recurso de Cloud KMS que se usa para configurar una conexión a tu externo de claves. En la consola de Google Cloud, esto se conoce como EKM a través de una conexión de VPC

  • Proyecto de VPC

    El proyecto que contiene el recurso de VPC que se usa para conectarte a tu administrador de claves externo.

  • Proyectos clave

    Los proyectos que contienen recursos de conexión de EKM y claves de Cloud EKM en Cloud KMS. Un proyecto clave puede ser igual a una VPC proyecto, pero no es obligatorio.

  • Espacio criptográfico

    Un contenedor para tus recursos dentro de tu socio de administración de claves externas. Tu criptoespacio se identifica con una ruta única de criptoespacio. El formato del espacio criptográfico varía según el socio de administración de claves externo, por ejemplo, v0/cryptospaces/YOUR_UNIQUE_PATH

Antes de comenzar

Después de completar los pasos que se indican a continuación, puedes comenzar a usar las claves de Cloud EKM para proteger tus datos.

Crea un nuevo proyecto

  1. En la consola de Google Cloud, ve a la página Administrar recursos.

    Ir a la página Administración de recursos

  2. Crea un proyecto de Google Cloud nuevo o selecciona uno existente.

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

  4. Obtén más información sobre los precios de Cloud EKM.

Habilite Cloud KMS

  1. Habilita la API de Cloud Key Management Service para el proyecto.

    Habilitar la API de Cloud Key Management Service

  2. Anota la cuenta de servicio de Cloud EKM de tu proyecto. En el siguiente ejemplo, reemplaza PROJECT_NUMBER por el número de proyecto de tu proyecto de Google Cloud. Esta información también es visible cada vez que usas la consola de Google Cloud para crear una clave de Cloud EKM.

    service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
    

Asegúrate de que gcloud CLI esté actualizada

Si vas a usar Google Cloud CLI, asegúrate de que esté actualizada con la siguiente comando:

gcloud CLI

gcloud components update

Prepara una red de VPC

Hay dos opciones a la hora de configurar una red de VPC:

De forma predeterminada, los proyectos nuevos contienen una red de modo automático que se propagó con reglas de firewall. Si la red de VPC no se usará con fines de producción, la red predeterminada en modo automático es la forma más rápida de comenzar.

Si tu administrador de claves externo se ejecuta de forma local y te conectarás a él a través de la conectividad híbrida, debes usar una red de modo personalizado, ya que proporciona control sobre los rangos de direcciones IP de la subred.

Sigue estos pasos para configurar tu VPC:

  1. Habilite el Acceso privado a Google

    El administrador de claves externo debe verificar el token OIDC que se encuentra en cada uno para cada solicitud. Para verificar el token, se debe recuperar la clave pública de OAuth2. del nombre de dominio www.googleapis.com. Si el administrador de claves externo ejecuta en Google Cloud y no tiene acceso a través de Internet (p.ej., una VM sin una IP externa o bloqueada por un firewall), sigue las instrucciones para configurar el Acceso privado a Google.

  2. Configuración del firewall para el rango de IP 35.199.192.0/19

    Las solicitudes de Cloud EKM provendrán de este rango. Crear ambos reglas de firewall de entrada y salida para TCP el puerto en el que escucha el administrador de claves externo.

Configura la conectividad híbrida

Si el administrador de claves externo se ejecuta de forma local, usa una solución de conectividad híbrida para conectar el VPC con tu red local. Una vez que tengas configura la conectividad, sigue estos pasos adicionales:

  1. Habilite el Acceso privado a Google

    El administrador de claves externo debe verificar el token de OIDC contenido en cada solicitud. Para verificar el token, se necesita para recuperar la clave pública de OAuth2 del nombre de dominio www.googleapis.com. Si el botón externo de claves se ejecuta localmente y no tiene acceso a través de Internet, sigue las instrucciones para configurar el Acceso privado a Google para hosts locales.

  2. Configuración de firewall para el rango de IP 35.199.192.0/19

    Las solicitudes de Cloud EKM provendrán de este rango. Configura el firewall de red local o un equipo similar para permitir el tráfico TCP en el puerto en el que está escuchando el administrador de claves externo.

  3. Asegúrate de que tu VPC tenga una ruta de retorno al rango de IP 35.199.192.0/19

    Tu red local debe tener una ruta para el 35.199.192.0/19 destino. Para obtener información sobre cómo cumplir con este requisito, consulta estrategias de ruta de retorno para destinos locales.

Muestra estrategias de ruta para objetivos locales

  • Para los túneles de Cloud VPN que usan enrutamiento estático, crea manualmente una ruta en tu red local cuyo destino es 35.199.192.0/19 y cuyo el túnel de Cloud VPN. En los túneles de Cloud VPN que usan enrutamiento basado en políticas, configura el selector de tráfico local de Cloud VPN y el selector de tráfico remoto de la puerta de enlace de VPN local para incluir 35.199.192.0/19.

  • Para los túneles de Cloud VPN que usan enrutamiento dinámico o para Cloud Interconnect, configura el modo de anuncio personalizado para 35.199.192.0/19 en la sesión de BGP del Cloud Router que administra el túnel o el adjunto de VLAN.

Configura tu administrador de claves externo

Sigue las instrucciones de tu proveedor de EKM para configurar tu EKM.

Configura tu espacio criptográfico

Si usas Cloud EKM como parte de un acuerdo de EKM administrado por un socio, estos pasos se completaron por ti como parte del proceso de aprovisionamiento de tu socio.

Si tu proveedor de EKM es compatible con la administración de claves de EKM desde Cloud KMS, y de configuración deben realizarse en tu EKM:

  • Crea un Crypto Space para tus recursos administrados por Cloud KMS en tu EKM.

  • Otorga acceso a tu cuenta de servicio de Cloud KMS a tu espacio de criptografía y a las claves creadas en él.

  • Configura la política de Key Access Justifications para definir qué justificaciones de acceso se deben permitir o rechazar.

El proceso exacto para cada uno de estos pasos depende de tu EKM. Para obtener más información, consulta la documentación de tu proveedor de EKM.

Crea un extremo de servicio del Directorio de servicios

Crea y configura un extremo de servicio del Directorio de servicios. en tu proyecto de VPC que apunte a la dirección IP privada y de tu administrador de claves externo. Si usas un balanceador de cargas frente a varias réplicas de EKM, usa la dirección IP y el puerto del balanceador de cargas. Asegúrate de que el campo network del extremo de servicio del Directorio de servicios sea se complete.

Autoriza el acceso de Cloud EKM a tu VPC

Para cada proyecto clave, debes autorizar a Cloud EKM a acceder a tu VPC en nombre de ese proyecto, incluso si el proyecto clave y la proyecto de VPC sean los mismos. Cuando autorizas el acceso, las claves de tu proyecto clave pueden usar la VPC en tu proyecto de VPC.

  1. Asegúrate de que exista una cuenta de servicio de Cloud EKM para el proyecto.

    gcloud CLI

    gcloud beta services identity create \
      --service=cloudkms.googleapis.com \
      --project=KEY_PROJECT_ID
    
  2. Otorga los roles servicedirectory.viewer y servicedirectory.pscAuthorizedService en tu proyecto de VPC a service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com. Para obtener ayuda con la obtención del ID y el número del proyecto, consulta Crea y administra proyectos.

    gcloud CLI

    gcloud projects add-iam-policy-binding VPC_PROJECT_ID \
      --member='serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com' \
      --role='roles/servicedirectory.viewer'
    
    gcloud projects add-iam-policy-binding VPC_PROJECT_ID \
      --member='serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com' \
      --role='roles/servicedirectory.pscAuthorizedService'
    

Crea una conexión de EKM

Para conectar tu administrador de claves externo a Cloud EKM, crea una conexión de EKM en tu proyecto de claves.

Console

  1. En la consola de Google Cloud, ve a la página Infraestructura de KMS.

    Ir a la infraestructura de KMS

  2. Haz clic en Crear conexión.

  3. En Nombre de la conexión, ingresa un nombre para la conexión.

  4. En Región, selecciona una ubicación para la conexión de EKM. Todas las claves de Cloud KMS asociadas con esta conexión deben estar en la misma ubicación que la conexión.

  5. En el campo ID de recurso de servicio (self_link), ingresa el valor del servicio de Directorio de servicios creado en el Sección Crea un extremo de servicio del Directorio de servicios. El servicio de directorio de servicios debe estar en la misma ubicación que la conexión.

  6. En el campo Nombre de host, agrega el nombre de host para tu administrador de claves externo.

  7. En Certificados, haz clic en Agregar certificado para subir uno o más certificados de servidor X.509 para tu administrador de claves externo. Los certificados deben estar en formato DER.

  8. En Modo de administración de EKM, selecciona Manual para usar la conexión de EKM claves externas administradas manualmente o selecciona Cloud KMS para usar el externa para claves externas coordinadas.

  9. Si seleccionaste Cloud KMS para el modo de administración de EKM, en el campo Ruta de acceso a Crypto Space, ingresa la ruta de acceso a Crypto Space que te proporcionó tu EKM.

  10. Opcional. Para establecer la conexión EKM como la conexión predeterminada para esta y la ubicación del proyecto, selecciona la casilla de verificación Establecer conexión como predeterminada. Si actualmente se configuró otra conexión de EKM como la conexión predeterminada para este proyecto y esta ubicación, esta conexión de EKM reemplazará la predeterminada existente.

  11. Haz clic en Crear.

gcloud

Para usar Cloud KMS en la línea de comandos, primero Instala o actualiza a la versión más reciente de Google Cloud CLI.

Si quieres crear una conexión EKM para claves externas administradas manualmente, ejecuta el siguiente comando:

gcloud beta kms ekm-connections create EKM_CONNECTION \
    --location LOCATION \
    --service-directory-service SERVICE_DIRECTORY_SERVICE \
    --hostname HOSTNAME \
    --server-certificates-files SERVER_CERTIFICATE_FILES \
    --key-management-mode manual

Reemplaza lo siguiente:

  • EKM_CONNECTION: Es un nombre para la conexión de EKM.
  • LOCATION: Es la ubicación de Cloud KMS en la que deseas crear la conexión de EKM. Todas las claves de Cloud KMS asociadas con esta conexión deben estar en la misma ubicación que la conexión.
  • SERVICE_DIRECTORY_SERVICE: Es el ID de recurso del el Directorio de servicios para tu conexión.
  • HOSTNAME: Es el nombre de host de tu administrador de claves externo.
  • SERVER_CERTIFICATE_FILES: Es una lista separada por comas de archivos que contienen certificados de servidor X.509 para tu administrador de claves externo. Los certificados deben estar en formato DER.

Para crear una conexión de EKM para claves externas coordinadas, ejecuta el siguiente comando:

gcloud beta kms ekm-connections create EKM_CONNECTION \
    --location LOCATION \
    --service-directory-service SERVICE_DIRECTORY_SERVICE \
    --hostname HOSTNAME \
    --server-certificates-files SERVER_CERTIFICATE_FILES \
    --key-management-mode cloud-kms \
    --crypto-space-path CRYPTO_SPACE_PATH

Reemplaza lo siguiente:

  • EKM_CONNECTION: Es un nombre para la conexión de EKM.
  • LOCATION: Es la ubicación de Cloud KMS en la que deseas crear la conexión de EKM. Todas las claves de Cloud KMS asociadas con esta conexión deben estar en la misma ubicación que la conexión.
  • SERVICE_DIRECTORY_SERVICE: Es el ID de recurso del el Directorio de servicios para tu conexión.
  • HOSTNAME: Es el nombre de host de tu administrador de claves externo.
  • SERVER_CERTIFICATE_FILES: Es una lista separada por comas de archivos que contienen certificados de servidor X.509 para tu administrador de claves externo. Los certificados deben estar en formato DER.
  • CRYPTO_SPACE_PATH: Es la ruta del espacio criptográfico que proporciona tu proveedor de EKM.

Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.

API

En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.

Si quieres crear una conexión EKM para claves externas coordinadas, ejecuta el siguiente comando: siguiente comando:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConnections" \
    --request "POST" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --header "x-goog-user-project: PROJECT_ID" \
    --data '{
      "name": "EKM_CONNECTION",
      "serviceResolvers": [
        {
          "serviceDirectoryService": "SERVICE_DIRECTORY_SERVICE",
          "hostname": "HOSTNAME",
          "serverCertificates": [
            {
              SERVER_CERTIFICATES
            }
          ]
        }
      ]
      "keyManagementMode": "CLOUD_KMS",
      "cryptoSpacePath": "CRYPTO_SPACE_PATH"
    }'

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto en el que deseas crear la conexión de EKM.
  • LOCATION: Es el servicio de Cloud KMS en el que deseas crear la conexión de EKM.
  • EKM_CONNECTION: Es el nombre que se usará para la conexión de EKM.
  • SERVER_CERTIFICATES: Es una lista de hasta 10 objetos Certificate que representan certificados de servidor de hoja.
  • HOSTNAME: Es el nombre de host de tu administrador de claves externo.
  • CRYPTO_SPACE_PATH: Es la ruta del espacio criptográfico que proporciona tu proveedor de EKM.

Si quieres crear una conexión EKM para claves externas administradas manualmente, ejecuta el siguiente comando: siguiente comando:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConnections" \
    --request "POST" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --header "x-goog-user-project: PROJECT_ID" \
    --data '{
      "name": "EKM_CONNECTION",
      "serviceResolvers": [
        {
          "serviceDirectoryService": "SERVICE_DIRECTORY_SERVICE",
          "hostname": "HOSTNAME",
          "serverCertificates": [
            {
              SERVER_CERTIFICATES
            }
          ]
        }
      ]
    }'

Reemplaza lo siguiente:

  • PROJECT_ID: El ID del proyecto en el que deseas crear la conexión de EKM.
  • LOCATION: Es el servicio de Cloud KMS en el que deseas crear la conexión de EKM.
  • EKM_CONNECTION: Es el nombre que se usará para la conexión de EKM.
  • SERVER_CERTIFICATES: Una lista de hasta 10 Certificate objetos que representan certificados de servidor de hoja.
  • HOSTNAME: Es el nombre de host de tu administrador de claves externo.

Consulta la documentación sobre la API de EkmConnection.create para obtener más información.

Estado del certificado

Cuando hayas subido un certificado para tu conexión EKM, podrás verificar el estado general del certificado de la conexión EKM, así como el estado de cada certificado de la Página de la infraestructura de KMS.

Las conexiones EKM tienen un estado general en la columna Estado del certificado de cada conexión. Si una conexión de EKM tiene un estado que no es Activo, te recomendamos que actualices los certificados de tu conexión de EKM.

Las conexiones EKM y los certificados individuales pueden tener el siguiente estado:

  • Activo: El certificado es válido y no está por vencer.
  • Vence en 30 días: El certificado es válido, pero tiene fecha de vencimiento. en los próximos 30 días.
  • Vencido: El certificado venció y ya no es válido. Recomendaciones actualizar los certificados vencidos.
  • Aún no es válido: El certificado no está activo. Esto puede suceder si la fecha de inicio del certificado sea en el futuro.

Si tu certificado ya no es válido, actualiza tu conexión EKM en la consola de Google Cloud.

Console

  1. En la consola de Google Cloud, ve a Infraestructura de KMS.

    Ir a la infraestructura de KMS

  2. Haz clic en el nombre del EKM a través de la conexión de VPC con el certificado que debe actualizarse.

  3. Haz clic en Editar conexión.

  4. Haz clic en Agregar certificado para subir uno o más certificados del servidor X.509 para tu administrador de claves externo. Los certificados deben estar en formato DER.

  5. Quita los certificados vencidos. Coloca el cursor sobre el certificado vencido y selecciona el ícono Borrar que se encuentra a la derecha.

  6. Haz clic en Actualizar conexión para actualizar el EKM a través de la conexión de VPC.

Establece una conexión EKM como predeterminada

Puedes establecer una conexión de EKM como la predeterminada para un proyecto y una ubicación determinados. Cuando se establece una conexión de EKM predeterminada para un proyecto y una ubicación, los nuevos EKM de Cloud por claves de VPC creados en llaveros de esa ubicación usan la conexión de EKM indicada, a menos que se seleccione otra conexión de EKM.

Para establecer una conexión de EKM como la predeterminada para su proyecto y ubicación, completa los siguientes pasos:

Console

  1. En la consola de Google Cloud, ve a la página Infraestructura de KMS.

    Ir a la infraestructura de KMS

  2. Haz clic en la conexión EKM que quieres establecer como predeterminada.

  3. Haz clic en Editar conexión.

  4. En Conexión predeterminada, selecciona la casilla de verificación Establecer conexión como predeterminada para LOCATION.

  5. Haz clic en Actualizar conexión.

gcloud CLI

gcloud beta kms ekm-config update
  --location=LOCATION
  --default-ekm-connection=projects/PROJECT_ID/locations/LOCATION/ekmConnections/DEFAULT_EKM_CONNECTION

Reemplaza lo siguiente:

  • LOCATION: El Cloud KMS para el que deseas configurar la conexión EKM predeterminada.
  • PROJECT_ID: Es el nombre del proyecto para el que deseas establecer. la conexión EKM predeterminada.
  • DEFAULT_EKM_CONNECTION: Es el nombre de la conexión EKM que que deseas establecer como predeterminada para esta ubicación. La ubicación de la conexión del EKM debe coincidir con la ubicación que se proporciona en LOCATION.

API

Para configurar la conexión EKM predeterminada de una ubicación, usa el EkmConfig.patch método:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConfig" \
    --request "PATCH" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --data '{"defaultEkmConnection": "projects/PROJECT_ID/locations/LOCATION/ekmConnections/DEFAULT_EKM_CONNECTION"}'

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto para el que deseas establecer. una conexión EKM predeterminada.
  • LOCATION: Es el servicio de Cloud KMS para el que deseas configurar la conexión de EKM predeterminada.
  • DEFAULT_EKM_CONNECTION: Es el nombre del EKM. que quieres establecer como predeterminada para esta ubicación. La ubicación de la conexión EKM debe coincidir con la ubicación proporcionada en LOCATION

Si se estableció otra conexión EKM como predeterminada para esta ubicación, el la conexión EKM seleccionada la reemplazará como predeterminada. Solo se puede establecer una conexión EKM predeterminada para un proyecto y una ubicación determinados.

¿Qué sigue?