Crea una conexión de EKM

En esta página, se muestra cómo configurar Cloud External Key Manager (Cloud EKM) para conectarte a tu proveedor de administración de claves externo (EKM) Red de nube privada virtual (VPC).

Puedes usar claves externas mediante VPC en ubicaciones de Cloud KMS que admite EKM a través de VPC. Para obtener más información, consulta Ubicaciones de Cloud KMS .

Terminología

  • Conexión EKM

    El recurso de Cloud KMS que se usa para configurar una conexión a tu externo de claves. En la consola de Google Cloud, esto se conoce como EKM a través de una conexión de VPC

  • Proyecto de VPC

    El proyecto que contiene el recurso de VPC que se usa para conectarse a tu administrador de claves externo.

  • Proyectos clave

    Los proyectos que contienen recursos de conexión de EKM y claves de Cloud EKM en Cloud KMS. Un proyecto clave puede ser igual a una VPC proyecto, pero no es obligatorio.

  • Espacio criptográfico

    Un contenedor para tus recursos dentro de tu socio de administración de claves externas. Tu criptoespacio se identifica con una ruta única de criptoespacio. El formato del espacio criptográfico varía según el socio de administración de claves externo, por ejemplo, v0/cryptospaces/YOUR_UNIQUE_PATH.

Antes de comenzar

Después de completar los pasos que se indican a continuación, podrás comenzar a usar Cloud EKM claves para proteger tus datos.

Crea un nuevo proyecto

  1. En la consola de Google Cloud, ve a la página Administrar recursos.

    Ir a la página Administración de recursos

  2. Crea un proyecto de Google Cloud nuevo o selecciona uno existente.

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

    4. Obtén más información sobre los precios de Cloud EKM.

Habilite Cloud KMS

  1. Habilita la API de Cloud Key Management Service para el proyecto.

    Habilitar la API de Cloud Key Management Service

  2. Anota la cuenta de servicio de Cloud EKM de tu proyecto. En el siguiente ejemplo, reemplaza PROJECT_NUMBER por el número de proyecto de tu proyecto de Google Cloud. Esta información también será visible cada vez que uses la consola de Google Cloud para crear una clave de Cloud EKM.

    service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com

Asegúrate de que gcloud CLI esté actualizada

Si vas a usar Google Cloud CLI, asegúrate de que esté actualizada con la siguiente comando:

gcloud CLI

gcloud components update

Prepara una red de VPC

Hay dos opciones a la hora de configurar una red de VPC:

De forma predeterminada, los proyectos nuevos contienen una red de modo automático que se propagó con reglas de firewall. Si la red de VPC no se usará para fines de producción, el es la forma más rápida de comenzar.

Si tu administrador de claves externo se ejecuta de forma local y te conectarás a él a través de conectividad híbrida, deberías usar un modo personalizado red porque brinda control sobre los rangos de direcciones IP de la subred.

Sigue estos pasos para configurar tu VPC:

  1. Habilite el Acceso privado a Google

    El administrador de claves externo debe verificar el token OIDC que se encuentra en cada uno para cada solicitud. Para verificar el token, se debe recuperar la clave pública de OAuth2. del nombre de dominio www.googleapis.com. Si el administrador de claves externo ejecuta en Google Cloud y no tiene acceso a través de Internet (p.ej., una VM sin una IP externa o bloqueada por un firewall), sigue las instrucciones para configurar el Acceso privado a Google.

  2. Configuración del firewall para el rango de IP 35.199.192.0/19

    Las solicitudes de Cloud EKM provendrán de este rango. Crear ambos reglas de firewall de entrada y salida para TCP el puerto en el que escucha el administrador de claves externo.

Configura la conectividad híbrida

Si el administrador de claves externo se ejecuta de forma local, usa un solución de conectividad híbrida para conectar la VPC con tu red local. Una vez que tengas configura la conectividad, sigue estos pasos adicionales:

  1. Habilite el Acceso privado a Google

    El administrador de claves externo debe verificar el token OIDC que se encuentra en cada solicitud. Para verificar el token, se necesita para recuperar la clave pública de OAuth2 del nombre de dominio www.googleapis.com. Si el botón externo de claves se ejecuta localmente y no tiene acceso a través de Internet, sigue las instrucciones para configurar el Acceso privado a Google para hosts locales.

  2. Configuración del firewall para el rango de IP 35.199.192.0/19

    Las solicitudes de Cloud EKM provendrán de este rango. Configura tu un firewall de red local o equipo similar para permitir el tráfico de TCP en el puerto en el que escucha el administrador de claves externo.

  3. Asegúrate de que tu VPC tenga una ruta de retorno al rango de IP 35.199.192.0/19

    Tu red local debe tener una ruta para el 35.199.192.0/19 destino. Para obtener información sobre cómo cumplir con este requisito, consulta estrategias de ruta de retorno para destinos locales.

Estrategias de ruta de retorno para destinos locales

  • Para los túneles de Cloud VPN que usan enrutamiento estático, crea manualmente una ruta en tu red local cuyo destino es 35.199.192.0/19 y cuyo el túnel de Cloud VPN. Para túneles de Cloud VPN que usan enrutamiento basado en políticas, configura la red local selector de tráfico y la puerta de enlace de VPN local selector de tráfico remoto para incluir 35.199.192.0/19.

  • Para los túneles de Cloud VPN que usan enrutamiento dinámico o para Cloud Interconnect, configura el modo de anuncio personalizado para 35.199.192.0/19 en la sesión de BGP del Cloud Router que administra el túnel o el adjunto de VLAN.

Configura tu administrador de claves externo

Sigue las instrucciones de tu proveedor de EKM para configurar tu EKM.

Configura tu espacio criptográfico

Si usas Cloud EKM como parte de un acuerdo de EKM administrado por un socio, estos pasos se completaron para ti como parte del proceso de aprovisionamiento el proceso de administración de recursos.

Si tu proveedor de EKM es compatible con la administración de claves de EKM desde Cloud KMS, y de configuración deben realizarse en tu EKM:

  • Crea un espacio criptográfico para los recursos administrados por Cloud KMS en tu o Cloud EKM.

  • Otorga a tu cuenta de servicio de Cloud KMS acceso a tu espacio de criptografía y las claves que se crearon en ella.

  • Configura la política de Key Access Justifications para definir qué justificaciones de acceso si debe permitirse o rechazarse.

El proceso exacto para cada uno de estos pasos depende de tu EKM. Para ver más consulta la documentación de tu proveedor de EKM.

Crea un extremo de servicio del Directorio de servicios

Crea y configura un extremo de servicio del Directorio de servicios. en tu proyecto de VPC que apunte a la dirección IP privada y de tu administrador de claves externo. Si usas un balanceador de cargas en frente a varias réplicas de EKM, usa la dirección IP y el puerto del balanceador de cargas. Asegúrate de que el campo network del extremo de servicio del Directorio de servicios sea se complete.

Autoriza el acceso de Cloud EKM a tu VPC

Para cada proyecto clave, debes autorizar a Cloud EKM a acceder a tu VPC en nombre de ese proyecto, incluso si el proyecto clave y la proyecto de VPC sean los mismos. Cuando autorizas el acceso, las claves de tu proyecto clave pueden usar la VPC en tu proyecto de VPC.

  1. Asegúrate de que exista una cuenta de servicio de Cloud EKM para el proyecto.

    gcloud CLI

    gcloud beta services identity create \
  --service=cloudkms.googleapis.com \
  --project=KEY_PROJECT_ID

  2. Otorga las servicedirectory.viewer y servicedirectory.pscAuthorizedService en tu proyecto de VPC para service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com Si necesitas ayuda para obtener el ID y el número del proyecto, consulta Crea y administra proyectos.

    gcloud CLI

    gcloud projects add-iam-policy-binding VPC_PROJECT_ID \
  --member='serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com' \
  --role='roles/servicedirectory.viewer'

gcloud projects add-iam-policy-binding VPC_PROJECT_ID \
  --member='serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com' \
  --role='roles/servicedirectory.pscAuthorizedService'

Crea una conexión de EKM

Para conectar tu administrador de claves externo a Cloud EKM, crea un Conexión EKM en tu proyecto clave

Console

  1. En la consola de Google Cloud, ve a Infraestructura de KMS.

    Ir a la infraestructura de KMS

  2. Haz clic en Crear conexión.

  3. En Nombre de la conexión, ingresa un nombre para tu conexión.

  4. En Región, selecciona una ubicación para la conexión de EKM. Cualquiera Las claves de Cloud KMS asociadas con esta conexión deben estar en la ubicación como la conexión.

  5. En el campo ID de recurso de servicio (self_link), ingresa el valor del servicio de Directorio de servicios creado en el Sección Crea un extremo de servicio del Directorio de servicios. El servicio del directorio del servicio debe estar en la misma ubicación que el conexión.

  6. En el campo Nombre de host, agrega el nombre de host para tu administrador de claves externo.

  7. En Certificados, haz clic en Agregar certificado para subir uno o más. certificados del servidor X.509 para tu administrador de claves externo. Los certificados deben deben estar en formato DER.

  8. En Modo de administración de EKM, selecciona Manual para usar la conexión de EKM claves externas administradas manualmente o selecciona Cloud KMS para usar el externa para claves externas coordinadas.

  9. Si seleccionaste Cloud KMS para el modo de administración de EKM, Crypto Space path, ingresa la ruta del espacio criptográfico. o Cloud EKM.

  10. Opcional. Para establecer la conexión EKM como la conexión predeterminada para esta y la ubicación del proyecto, selecciona la casilla de verificación Establecer conexión como predeterminada. Si otra conexión EKM está establecida actualmente como la conexión predeterminada para este proyecto y ubicación, esta conexión EKM reemplaza de forma predeterminada.

  11. Haz clic en Crear.

gcloud

Para usar Cloud KMS en la línea de comandos, primero Instala o actualiza a la versión más reciente de Google Cloud CLI.

Si quieres crear una conexión EKM para claves externas administradas manualmente, ejecuta el siguiente comando: siguiente comando:

gcloud beta kms ekm-connections create EKM_CONNECTION \
    --location LOCATION \
    --service-directory-service SERVICE_DIRECTORY_SERVICE \
    --hostname HOSTNAME \
    --server-certificates-files SERVER_CERTIFICATE_FILES \
    --key-management-mode manual

Reemplaza lo siguiente:

  • EKM_CONNECTION: Es un nombre para la conexión EKM.
  • LOCATION: Es la ubicación de Cloud KMS en la que deseas crear. la conexión EKM. Cualquier clave de Cloud KMS asociada debe estar en la misma ubicación que la conexión.
  • SERVICE_DIRECTORY_SERVICE: Es el ID de recurso del el Directorio de servicios para tu conexión.
  • HOSTNAME: Es el nombre de host de tu administrador de claves externo.
  • SERVER_CERTIFICATE_FILES: Una lista de archivos separados por comas con certificados del servidor X.509 para tu administrador de claves externo. Los certificados deben estar en formato DER.

Si quieres crear una conexión EKM para claves externas coordinadas, ejecuta el siguiente comando: siguiente comando:

gcloud beta kms ekm-connections create EKM_CONNECTION \
    --location LOCATION \
    --service-directory-service SERVICE_DIRECTORY_SERVICE \
    --hostname HOSTNAME \
    --server-certificates-files SERVER_CERTIFICATE_FILES \
    --key-management-mode cloud-kms \
    --crypto-space-path CRYPTO_SPACE_PATH

Reemplaza lo siguiente:

  • EKM_CONNECTION: Es un nombre para la conexión EKM.
  • LOCATION: Es la ubicación de Cloud KMS en la que deseas crear. la conexión EKM. Cualquier clave de Cloud KMS asociada debe estar en la misma ubicación que la conexión.
  • SERVICE_DIRECTORY_SERVICE: Es el ID de recurso del el Directorio de servicios para tu conexión.
  • HOSTNAME: Es el nombre de host de tu administrador de claves externo.
  • SERVER_CERTIFICATE_FILES: Una lista de archivos separados por comas con certificados del servidor X.509 para tu administrador de claves externo. Los certificados deben estar en formato DER.
  • CRYPTO_SPACE_PATH: Es la ruta de criptoespacio que proporciona tu proveedor de EKM.

Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.

API

En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.

Si quieres crear una conexión EKM para claves externas coordinadas, ejecuta el siguiente comando: siguiente comando:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConnections" \
    --request "POST" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --header "x-goog-user-project: PROJECT_ID" \
    --data '{
      "name": "EKM_CONNECTION",
      "serviceResolvers": [
        {
          "serviceDirectoryService": "SERVICE_DIRECTORY_SERVICE",
          "hostname": "HOSTNAME",
          "serverCertificates": [
            {
              SERVER_CERTIFICATES
            }
          ]
        }
      ]
      "keyManagementMode": "CLOUD_KMS",
      "cryptoSpacePath": "CRYPTO_SPACE_PATH"
    }'

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto en el que deseas crear el elemento. EKM.
  • LOCATION: Es el Cloud KMS en el que deseas crear el EKM.
  • EKM_CONNECTION: Es el nombre que se usará para la conexión de EKM.
  • SERVER_CERTIFICATES: Es una lista de hasta 10 objetos Certificate que representan certificados de servidor de hoja.
  • HOSTNAME: Es el nombre de host de tu administrador de claves externo.
  • CRYPTO_SPACE_PATH: Es la ruta de criptoespacio que proporciona tu proveedor de EKM.

Si quieres crear una conexión EKM para claves externas administradas manualmente, ejecuta el siguiente comando: siguiente comando:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConnections" \
    --request "POST" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --header "x-goog-user-project: PROJECT_ID" \
    --data '{
      "name": "EKM_CONNECTION",
      "serviceResolvers": [
        {
          "serviceDirectoryService": "SERVICE_DIRECTORY_SERVICE",
          "hostname": "HOSTNAME",
          "serverCertificates": [
            {
              SERVER_CERTIFICATES
            }
          ]
        }
      ]
    }'

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto en el que deseas crear el elemento. EKM.
  • LOCATION: Es el Cloud KMS en el que deseas crear el EKM.
  • EKM_CONNECTION: Es el nombre que se usará para la conexión de EKM.
  • SERVER_CERTIFICATES: Una lista de hasta 10 Certificate objetos que representan certificados de servidor de hoja.
  • HOSTNAME: Es el nombre de host de tu administrador de claves externo.

Consulta la documentación sobre la API de EkmConnection.create para obtener más información.

Estado del certificado

Cuando hayas subido un certificado para tu conexión EKM, podrás verificar el estado general del certificado de la conexión EKM, así como el estado de cada certificado de la Página de la infraestructura de KMS.

Las conexiones EKM tienen un estado general en la columna Estado del certificado de cada conexión. Si una conexión EKM tiene un estado que no es Activa, te recomendamos que actualices los certificados de tu conexión EKM.

Las conexiones EKM y los certificados individuales pueden tener el siguiente estado:

  • Activo: El certificado es válido y no se acerca a su fecha de vencimiento.
  • Vence en 30 días: El certificado es válido, pero tiene fecha de vencimiento. en los próximos 30 días.
  • Vencido: El certificado venció y ya no es válido. Recomendaciones actualizar los certificados vencidos.
  • Aún no es válido: El certificado no está activo. Esto puede suceder si la fecha de inicio del certificado sea en el futuro.

Si tu certificado ya no es válido, actualiza tu conexión EKM en la Consola de Google Cloud

Console

  1. En la consola de Google Cloud, ve a Infraestructura de KMS.

    Ir a la infraestructura de KMS

  2. Haz clic en el nombre del EKM a través de la conexión de VPC con el certificado que debe actualizarse.

  3. Haz clic en Editar conexión.

  4. Haz clic en Agregar certificado para subir uno o más certificados del servidor X.509 para tu administrador de claves externo. Los certificados deben estar en formato DER.

  5. Quita los certificados vencidos. Coloca el cursor sobre el certificado vencido y selecciona el ícono Borrar que se encuentra a la derecha.

  6. Haz clic en Actualizar conexión para actualizar el EKM a través de la conexión de VPC.

Establece una conexión EKM como predeterminada

Puedes establecer una conexión de EKM como la conexión predeterminada para un proyecto determinado y la ubicación. Cuando se configura una conexión EKM predeterminada para un proyecto y una ubicación, Cloud EKM mediante claves de VPC creadas en llaveros de claves en esa ubicación usará la conexión EKM indicada, a menos que se seleccione otra conexión de EKM.

Para establecer una conexión EKM como la predeterminada para su proyecto y ubicación, completa sigue estos pasos:

Console

  1. En la consola de Google Cloud, ve a Infraestructura de KMS.

    Ir a la infraestructura de KMS

  2. Haz clic en la conexión EKM que quieres establecer como predeterminada.

  3. Haz clic en Editar conexión.

  4. En Conexión predeterminada, selecciona la opción Establecer conexión como predeterminada. for LOCATION.

  5. Haz clic en Actualizar conexión.

gcloud CLI

gcloud beta kms ekm-config update
  --location=LOCATION
  --default-ekm-connection=projects/PROJECT_ID/locations/LOCATION/ekmConnections/DEFAULT_EKM_CONNECTION

Reemplaza lo siguiente:

  • LOCATION: El Cloud KMS para el que deseas configurar la conexión EKM predeterminada.
  • PROJECT_ID: Es el nombre del proyecto para el que deseas establecer. la conexión EKM predeterminada.
  • DEFAULT_EKM_CONNECTION: Es el nombre de la conexión EKM que que deseas establecer como predeterminada para esta ubicación. La ubicación de la La conexión EKM debe coincidir con la ubicación proporcionada en LOCATION.

API

Para configurar la conexión EKM predeterminada de una ubicación, usa el EkmConfig.patch método:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConfig" \
    --request "PATCH" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --data '{"defaultEkmConnection": "projects/PROJECT_ID/locations/LOCATION/ekmConnections/DEFAULT_EKM_CONNECTION"}'

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto para el que deseas establecer. una conexión EKM predeterminada.
  • LOCATION: El Cloud KMS para el que deseas configurar la conexión EKM predeterminada.
  • DEFAULT_EKM_CONNECTION: Es el nombre del EKM. que quieres establecer como predeterminada para esta ubicación. La ubicación de la conexión EKM debe coincidir con la ubicación proporcionada en LOCATION.

Si se estableció otra conexión EKM como predeterminada para esta ubicación, el la conexión EKM seleccionada la reemplazará como predeterminada. Solo una conexión EKM puede predeterminada para un proyecto y una ubicación determinados.

¿Qué sigue?