En esta página, se muestra cómo configurar Cloud External Key Manager (Cloud EKM) para conectarte a tu proveedor de administración de claves externas (EKM) a través de una red de nube privada virtual (VPC).
Puedes usar claves externas mediante VPC en ubicaciones de Cloud KMS que admite EKM a través de VPC. Para obtener más información, consulta Ubicaciones de Cloud KMS .
Terminología
Conexión de EKM
El recurso de Cloud KMS que se usa para configurar una conexión a tu externo de claves. En la consola de Google Cloud, esto se conoce como EKM a través de una conexión de VPC
Proyecto de VPC
El proyecto que contiene el recurso de VPC que se usa para conectarte a tu administrador de claves externo.
Proyectos clave
Los proyectos que contienen recursos de conexión de EKM y claves de Cloud EKM en Cloud KMS. Un proyecto clave puede ser igual a una VPC proyecto, pero no es obligatorio.
Espacio criptográfico
Un contenedor para tus recursos dentro de tu socio de administración de claves externas. Tu criptoespacio se identifica con una ruta única de criptoespacio. El formato del espacio criptográfico varía según el socio de administración de claves externo, por ejemplo,
v0/cryptospaces/YOUR_UNIQUE_PATH
Antes de comenzar
Después de completar los pasos que se indican a continuación, puedes comenzar a usar las claves de Cloud EKM para proteger tus datos.
Crea un nuevo proyecto
En la consola de Google Cloud, ve a la página Administrar recursos.
Crea un proyecto de Google Cloud nuevo o selecciona uno existente.
-
Make sure that billing is enabled for your Google Cloud project.
Obtén más información sobre los precios de Cloud EKM.
Habilite Cloud KMS
Habilita la API de Cloud Key Management Service para el proyecto.
Anota la cuenta de servicio de Cloud EKM de tu proyecto. En el siguiente ejemplo, reemplaza
PROJECT_NUMBER
por el número de proyecto de tu proyecto de Google Cloud. Esta información también es visible cada vez que usas la consola de Google Cloud para crear una clave de Cloud EKM.service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
Asegúrate de que gcloud CLI esté actualizada
Si vas a usar Google Cloud CLI, asegúrate de que esté actualizada con la siguiente comando:
gcloud CLI
gcloud components update
Prepara una red de VPC
Hay dos opciones a la hora de configurar una red de VPC:
De forma predeterminada, los proyectos nuevos contienen una red de modo automático que se propagó con reglas de firewall. Si la red de VPC no se usará con fines de producción, la red predeterminada en modo automático es la forma más rápida de comenzar.
Si tu administrador de claves externo se ejecuta de forma local y te conectarás a él a través de la conectividad híbrida, debes usar una red de modo personalizado, ya que proporciona control sobre los rangos de direcciones IP de la subred.
Sigue estos pasos para configurar tu VPC:
Habilite el Acceso privado a Google
El administrador de claves externo debe verificar el token OIDC que se encuentra en cada uno para cada solicitud. Para verificar el token, se debe recuperar la clave pública de OAuth2. del nombre de dominio
www.googleapis.com
. Si el administrador de claves externo ejecuta en Google Cloud y no tiene acceso a través de Internet (p.ej., una VM sin una IP externa o bloqueada por un firewall), sigue las instrucciones para configurar el Acceso privado a Google.Configuración del firewall para el rango de IP
35.199.192.0/19
Las solicitudes de Cloud EKM provendrán de este rango. Crear ambos reglas de firewall de entrada y salida para TCP el puerto en el que escucha el administrador de claves externo.
Configura la conectividad híbrida
Si el administrador de claves externo se ejecuta de forma local, usa una solución de conectividad híbrida para conectar el VPC con tu red local. Una vez que tengas configura la conectividad, sigue estos pasos adicionales:
Habilite el Acceso privado a Google
El administrador de claves externo debe verificar el token de OIDC contenido en cada solicitud. Para verificar el token, se necesita para recuperar la clave pública de OAuth2 del nombre de dominio
www.googleapis.com
. Si el botón externo de claves se ejecuta localmente y no tiene acceso a través de Internet, sigue las instrucciones para configurar el Acceso privado a Google para hosts locales.Configuración de firewall para el rango de IP
35.199.192.0/19
Las solicitudes de Cloud EKM provendrán de este rango. Configura el firewall de red local o un equipo similar para permitir el tráfico TCP en el puerto en el que está escuchando el administrador de claves externo.
Asegúrate de que tu VPC tenga una ruta de retorno al rango de IP
35.199.192.0/19
Tu red local debe tener una ruta para el
35.199.192.0/19
destino. Para obtener información sobre cómo cumplir con este requisito, consulta estrategias de ruta de retorno para destinos locales.
Muestra estrategias de ruta para objetivos locales
Para los túneles de Cloud VPN que usan enrutamiento estático, crea manualmente una ruta en tu red local cuyo destino es
35.199.192.0/19
y cuyo el túnel de Cloud VPN. En los túneles de Cloud VPN que usan enrutamiento basado en políticas, configura el selector de tráfico local de Cloud VPN y el selector de tráfico remoto de la puerta de enlace de VPN local para incluir35.199.192.0/19
.Para los túneles de Cloud VPN que usan enrutamiento dinámico o para Cloud Interconnect, configura el modo de anuncio personalizado para
35.199.192.0/19
en la sesión de BGP del Cloud Router que administra el túnel o el adjunto de VLAN.
Configura tu administrador de claves externo
Sigue las instrucciones de tu proveedor de EKM para configurar tu EKM.
Configura tu espacio criptográfico
Si usas Cloud EKM como parte de un acuerdo de EKM administrado por un socio, estos pasos se completaron por ti como parte del proceso de aprovisionamiento de tu socio.
Si tu proveedor de EKM es compatible con la administración de claves de EKM desde Cloud KMS, y de configuración deben realizarse en tu EKM:
Crea un Crypto Space para tus recursos administrados por Cloud KMS en tu EKM.
Otorga acceso a tu cuenta de servicio de Cloud KMS a tu espacio de criptografía y a las claves creadas en él.
Configura la política de Key Access Justifications para definir qué justificaciones de acceso se deben permitir o rechazar.
El proceso exacto para cada uno de estos pasos depende de tu EKM. Para obtener más información, consulta la documentación de tu proveedor de EKM.
Crea un extremo de servicio del Directorio de servicios
Crea y configura un extremo de servicio del Directorio de servicios. en tu proyecto de VPC que apunte a la dirección IP privada y de tu administrador de claves externo. Si usas un balanceador de cargas frente a varias réplicas de EKM, usa la dirección IP y el puerto del balanceador de cargas. Asegúrate de que el campo network del extremo de servicio del Directorio de servicios sea se complete.
Autoriza el acceso de Cloud EKM a tu VPC
Para cada proyecto clave, debes autorizar a Cloud EKM a acceder a tu VPC en nombre de ese proyecto, incluso si el proyecto clave y la proyecto de VPC sean los mismos. Cuando autorizas el acceso, las claves de tu proyecto clave pueden usar la VPC en tu proyecto de VPC.
Asegúrate de que exista una cuenta de servicio de Cloud EKM para el proyecto.
gcloud CLI
gcloud beta services identity create \ --service=cloudkms.googleapis.com \ --project=KEY_PROJECT_ID
Otorga los roles
servicedirectory.viewer
yservicedirectory.pscAuthorizedService
en tu proyecto de VPC aservice-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
. Para obtener ayuda con la obtención del ID y el número del proyecto, consulta Crea y administra proyectos.gcloud CLI
gcloud projects add-iam-policy-binding VPC_PROJECT_ID \ --member='serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com' \ --role='roles/servicedirectory.viewer' gcloud projects add-iam-policy-binding VPC_PROJECT_ID \ --member='serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com' \ --role='roles/servicedirectory.pscAuthorizedService'
Crea una conexión de EKM
Para conectar tu administrador de claves externo a Cloud EKM, crea una conexión de EKM en tu proyecto de claves.
Console
En la consola de Google Cloud, ve a la página Infraestructura de KMS.
Haz clic en
Crear conexión.En Nombre de la conexión, ingresa un nombre para la conexión.
En Región, selecciona una ubicación para la conexión de EKM. Todas las claves de Cloud KMS asociadas con esta conexión deben estar en la misma ubicación que la conexión.
En el campo ID de recurso de servicio (self_link), ingresa el valor del servicio de Directorio de servicios creado en el Sección Crea un extremo de servicio del Directorio de servicios. El servicio de directorio de servicios debe estar en la misma ubicación que la conexión.
En el campo Nombre de host, agrega el nombre de host para tu administrador de claves externo.
En Certificados, haz clic en Agregar certificado para subir uno o más certificados de servidor X.509 para tu administrador de claves externo. Los certificados deben estar en formato DER.
En Modo de administración de EKM, selecciona Manual para usar la conexión de EKM claves externas administradas manualmente o selecciona Cloud KMS para usar el externa para claves externas coordinadas.
Si seleccionaste Cloud KMS para el modo de administración de EKM, en el campo Ruta de acceso a Crypto Space, ingresa la ruta de acceso a Crypto Space que te proporcionó tu EKM.
Opcional. Para establecer la conexión EKM como la conexión predeterminada para esta y la ubicación del proyecto, selecciona la casilla de verificación Establecer conexión como predeterminada. Si actualmente se configuró otra conexión de EKM como la conexión predeterminada para este proyecto y esta ubicación, esta conexión de EKM reemplazará la predeterminada existente.
Haz clic en Crear.
gcloud
Para usar Cloud KMS en la línea de comandos, primero Instala o actualiza a la versión más reciente de Google Cloud CLI.
Si quieres crear una conexión EKM para claves externas administradas manualmente, ejecuta el siguiente comando:
gcloud beta kms ekm-connections create EKM_CONNECTION \ --location LOCATION \ --service-directory-service SERVICE_DIRECTORY_SERVICE \ --hostname HOSTNAME \ --server-certificates-files SERVER_CERTIFICATE_FILES \ --key-management-mode manual
Reemplaza lo siguiente:
EKM_CONNECTION
: Es un nombre para la conexión de EKM.LOCATION
: Es la ubicación de Cloud KMS en la que deseas crear la conexión de EKM. Todas las claves de Cloud KMS asociadas con esta conexión deben estar en la misma ubicación que la conexión.SERVICE_DIRECTORY_SERVICE
: Es el ID de recurso del el Directorio de servicios para tu conexión.HOSTNAME
: Es el nombre de host de tu administrador de claves externo.SERVER_CERTIFICATE_FILES
: Es una lista separada por comas de archivos que contienen certificados de servidor X.509 para tu administrador de claves externo. Los certificados deben estar en formato DER.
Para crear una conexión de EKM para claves externas coordinadas, ejecuta el siguiente comando:
gcloud beta kms ekm-connections create EKM_CONNECTION \ --location LOCATION \ --service-directory-service SERVICE_DIRECTORY_SERVICE \ --hostname HOSTNAME \ --server-certificates-files SERVER_CERTIFICATE_FILES \ --key-management-mode cloud-kms \ --crypto-space-path CRYPTO_SPACE_PATH
Reemplaza lo siguiente:
EKM_CONNECTION
: Es un nombre para la conexión de EKM.LOCATION
: Es la ubicación de Cloud KMS en la que deseas crear la conexión de EKM. Todas las claves de Cloud KMS asociadas con esta conexión deben estar en la misma ubicación que la conexión.SERVICE_DIRECTORY_SERVICE
: Es el ID de recurso del el Directorio de servicios para tu conexión.HOSTNAME
: Es el nombre de host de tu administrador de claves externo.SERVER_CERTIFICATE_FILES
: Es una lista separada por comas de archivos que contienen certificados de servidor X.509 para tu administrador de claves externo. Los certificados deben estar en formato DER.CRYPTO_SPACE_PATH
: Es la ruta del espacio criptográfico que proporciona tu proveedor de EKM.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
API
En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.
Si quieres crear una conexión EKM para claves externas coordinadas, ejecuta el siguiente comando: siguiente comando:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConnections" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --header "x-goog-user-project: PROJECT_ID" \ --data '{ "name": "EKM_CONNECTION", "serviceResolvers": [ { "serviceDirectoryService": "SERVICE_DIRECTORY_SERVICE", "hostname": "HOSTNAME", "serverCertificates": [ { SERVER_CERTIFICATES } ] } ] "keyManagementMode": "CLOUD_KMS", "cryptoSpacePath": "CRYPTO_SPACE_PATH" }'
Reemplaza lo siguiente:
PROJECT_ID
: El ID del proyecto en el que deseas crear la conexión de EKM.LOCATION
: Es el servicio de Cloud KMS en el que deseas crear la conexión de EKM.EKM_CONNECTION
: Es el nombre que se usará para la conexión de EKM.SERVER_CERTIFICATES
: Es una lista de hasta 10 objetosCertificate
que representan certificados de servidor de hoja.HOSTNAME
: Es el nombre de host de tu administrador de claves externo.CRYPTO_SPACE_PATH
: Es la ruta del espacio criptográfico que proporciona tu proveedor de EKM.
Si quieres crear una conexión EKM para claves externas administradas manualmente, ejecuta el siguiente comando: siguiente comando:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConnections" \ --request "POST" \ --header "authorization: Bearer TOKEN" \ --header "content-type: application/json" \ --header "x-goog-user-project: PROJECT_ID" \ --data '{ "name": "EKM_CONNECTION", "serviceResolvers": [ { "serviceDirectoryService": "SERVICE_DIRECTORY_SERVICE", "hostname": "HOSTNAME", "serverCertificates": [ { SERVER_CERTIFICATES } ] } ] }'
Reemplaza lo siguiente:
PROJECT_ID
: El ID del proyecto en el que deseas crear la conexión de EKM.LOCATION
: Es el servicio de Cloud KMS en el que deseas crear la conexión de EKM.EKM_CONNECTION
: Es el nombre que se usará para la conexión de EKM.SERVER_CERTIFICATES
: Una lista de hasta 10Certificate
objetos que representan certificados de servidor de hoja.HOSTNAME
: Es el nombre de host de tu administrador de claves externo.
Consulta la documentación sobre la API de EkmConnection.create
para obtener más información.
Estado del certificado
Cuando hayas subido un certificado para tu conexión EKM, podrás verificar el estado general del certificado de la conexión EKM, así como el estado de cada certificado de la Página de la infraestructura de KMS.
Las conexiones EKM tienen un estado general en la columna Estado del certificado de cada conexión. Si una conexión de EKM tiene un estado que no es Activo, te recomendamos que actualices los certificados de tu conexión de EKM.
Las conexiones EKM y los certificados individuales pueden tener el siguiente estado:
- Activo: El certificado es válido y no está por vencer.
- Vence en 30 días: El certificado es válido, pero tiene fecha de vencimiento. en los próximos 30 días.
- Vencido: El certificado venció y ya no es válido. Recomendaciones actualizar los certificados vencidos.
- Aún no es válido: El certificado no está activo. Esto puede suceder si la fecha de inicio del certificado sea en el futuro.
Si tu certificado ya no es válido, actualiza tu conexión EKM en la consola de Google Cloud.
Console
En la consola de Google Cloud, ve a Infraestructura de KMS.
Haz clic en el nombre del EKM a través de la conexión de VPC con el certificado que debe actualizarse.
Haz clic en Editar conexión.
Haz clic en Agregar certificado para subir uno o más certificados del servidor X.509 para tu administrador de claves externo. Los certificados deben estar en formato DER.
Quita los certificados vencidos. Coloca el cursor sobre el certificado vencido y selecciona el ícono Borrar que se encuentra a la derecha.
Haz clic en Actualizar conexión para actualizar el EKM a través de la conexión de VPC.
Establece una conexión EKM como predeterminada
Puedes establecer una conexión de EKM como la predeterminada para un proyecto y una ubicación determinados. Cuando se establece una conexión de EKM predeterminada para un proyecto y una ubicación, los nuevos EKM de Cloud por claves de VPC creados en llaveros de esa ubicación usan la conexión de EKM indicada, a menos que se seleccione otra conexión de EKM.
Para establecer una conexión de EKM como la predeterminada para su proyecto y ubicación, completa los siguientes pasos:
Console
En la consola de Google Cloud, ve a la página Infraestructura de KMS.
Haz clic en la conexión EKM que quieres establecer como predeterminada.
Haz clic en Editar conexión.
En Conexión predeterminada, selecciona la casilla de verificación Establecer conexión como predeterminada para LOCATION.
Haz clic en Actualizar conexión.
gcloud CLI
gcloud beta kms ekm-config update --location=LOCATION --default-ekm-connection=projects/PROJECT_ID/locations/LOCATION/ekmConnections/DEFAULT_EKM_CONNECTION
Reemplaza lo siguiente:
LOCATION
: El Cloud KMS para el que deseas configurar la conexión EKM predeterminada.PROJECT_ID
: Es el nombre del proyecto para el que deseas establecer. la conexión EKM predeterminada.DEFAULT_EKM_CONNECTION
: Es el nombre de la conexión EKM que que deseas establecer como predeterminada para esta ubicación. La ubicación de la conexión del EKM debe coincidir con la ubicación que se proporciona enLOCATION
.
API
Para configurar la conexión EKM predeterminada de una ubicación, usa el EkmConfig.patch
método:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConfig" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"defaultEkmConnection": "projects/PROJECT_ID/locations/LOCATION/ekmConnections/DEFAULT_EKM_CONNECTION"}'
Reemplaza lo siguiente:
PROJECT_ID
: Es el ID del proyecto para el que deseas establecer. una conexión EKM predeterminada.LOCATION
: Es el servicio de Cloud KMS para el que deseas configurar la conexión de EKM predeterminada.DEFAULT_EKM_CONNECTION
: Es el nombre del EKM. que quieres establecer como predeterminada para esta ubicación. La ubicación de la conexión EKM debe coincidir con la ubicación proporcionada enLOCATION
Si se estableció otra conexión EKM como predeterminada para esta ubicación, el la conexión EKM seleccionada la reemplazará como predeterminada. Solo se puede establecer una conexión EKM predeterminada para un proyecto y una ubicación determinados.