Crea una clave externa

En esta página, se muestra cómo crear claves de Cloud External Key Manager (Cloud EKM) en un llavero de claves existente en Cloud Key Management Service (Cloud KMS).

Antes de comenzar

Antes de completar las tareas de esta página, necesitarás lo siguiente:

  • Un recurso de proyecto de Google Cloud que contenga tus recursos de Cloud KMS. Te recomendamos usar un proyecto separado para tus recursos de Cloud KMS que no contenga ningún otro recurso de Google Cloud.

    Anota la cuenta de servicio de Cloud EKM de tu proyecto. En el siguiente ejemplo, reemplaza PROJECT_NUMBER por el número de proyecto de tu proyecto de Google Cloud. Esta información también es visible cada vez que usas la consola de Google Cloud para crear una clave de Cloud EKM.

    service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com

  • El nombre y la ubicación del llavero de claves en el que quieres crear tu clave. Elige un llavero de claves en una ubicación cercana a tus otros recursos y que admita Cloud EKM. Para ver las ubicaciones disponibles y los niveles de protección que admiten, consulta Ubicaciones de Cloud KMS. Para crear un llavero de claves, consulta Crea un llavero de claves.

  • Para crear claves externas administradas de forma manual, debes crear la clave en el sistema de administración de claves externas. Los pasos exactos varían según el socio de administración de claves externas.

    1. Si es necesario, solicita acceso a tu socio de administración de claves externo para participar.

    2. Crea una clave simétrica o asimétrica en el sistema de administración de claves externas o selecciona una existente.

      Crea la clave en una región cercana a la región de Google Cloud que planeas usar para las claves de Cloud EKM. Esto ayuda a reducir la latencia de la red entre tu proyecto de Google Cloud y el socio de administración de claves externo. De lo contrario, es posible que experimentes una mayor cantidad de operaciones con errores. Para obtener más información, consulta Cloud EKM y las regiones.

    3. Toma nota del URI de la clave externa o la ruta de acceso de la clave. Necesitas esta información para crear una clave de Cloud EKM.

  • En el sistema de administración de claves externas, otorga a la cuenta de servicio de Google Cloud acceso para usar tus claves externas. Trata la cuenta de servicio como una dirección de correo electrónico. Es posible que los socios de EKM usen una terminología diferente a la que se usa en este tema.

  • Para crear un EKM a través de claves de VPC, debes crear un EKM a través de una conexión de VPC.

  • Opcional: Para usar gcloud CLI, prepara tu entorno.

    gcloud CLI

    En la consola de Google Cloud, activa Cloud Shell.

    Activar Cloud Shell

Funciones obligatorias

Si quieres obtener los permisos que necesitas para crear claves, pídele a tu administrador que te otorgue el rol de IAM Administrador de Cloud KMS (roles/cloudkms.admin) en el proyecto o en un recurso superior. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

Este rol predefinido contiene los permisos necesarios para crear claves. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para crear claves:

  • cloudkms.cryptoKeys.create
  • cloudkms.cryptoKeys.get
  • cloudkms.cryptoKeys.list
  • cloudkms.cryptoKeyVersions.create
  • cloudkms.cryptoKeyVersions.get
  • cloudkms.cryptoKeyVersions.list
  • cloudkms.keyRings.get
  • cloudkms.keyRings.list
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
  • Para recuperar una clave pública: cloudkms.cryptoKeyVersions.viewPublicKey

Es posible que también puedas obtener estos permisos con funciones personalizadas o con otras funciones predefinidas.

Crear una clave externa coordinada

Consola

  1. En la consola de Google Cloud, ve a la página Administración de claves.

    Ir a Key Management

  2. Haz clic en el nombre del llavero de claves para el que crearás la clave.

  3. Haz clic en Crear clave.

  4. En Nombre de la clave, ingresa un nombre.

  5. En Nivel de protección, selecciona Externo.

  6. En Tipo de conexión del administrador de claves externo (EKM), selecciona por VPC.

  7. Para EKM mediante conexión de VPC, selecciona una conexión.

    Si no tienes el permiso EkmConnection.list, debes ingresar de forma manual el nombre del recurso de conexión.

  8. Haz clic en Continuar.

  9. En la sección Material de la clave, deberías ver un mensaje sobre el material de clave nuevo que solicita Cloud KMS y que se genera en tu EKM. Si ves el campo Ruta de acceso de la clave, significa que la conexión de VPC de EKM que seleccionaste no está configurada para claves externas coordinadas.

  10. Establece el resto de la configuración de clave según sea necesario y, luego, haz clic en Crear.

Cloud EKM envía una solicitud a tu EKM para crear una clave nueva. La clave se muestra como Generación pendiente hasta que tu EKM muestra la ruta de acceso a la clave y la clave de Cloud EKM esté disponible.

gcloud

Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Reemplaza lo siguiente:

  • KEY_NAME: el nombre de la clave.
  • KEY_RING: Es el nombre del llavero de claves que contiene la clave.
  • LOCATION: Es la ubicación de Cloud KMS del llavero de claves.
  • PURPOSE: Es el propósito de la clave.
  • ALGORITHM: Es el algoritmo que se usará para la clave, por ejemplo, google-symmetric-encryption. Para obtener una lista de los algoritmos admitidos, consulta Algoritmos.
  • VPC_CONNECTION_RESOURCE_ID: Es el ID del recurso de la conexión de EKM.

Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.

Crea un Cloud EKM administrado de forma manual mediante una clave de VPC

Consola

  1. En la consola de Google Cloud, ve a la página Administración de claves.

    Ir a Key Management

  2. Haz clic en el nombre del llavero de claves para el que crearás la clave.

  3. Haz clic en Crear clave.

  4. En Nombre de la clave, ingresa un nombre.

  5. En Nivel de protección, selecciona Externo.

  6. En Tipo de conexión del administrador de claves externo (EKM), selecciona por VPC.

  7. Para EKM mediante conexión de VPC, selecciona una conexión.

    Ten en cuenta que, si no tienes el permiso EkmConnection.list, debes ingresar de forma manual el nombre del recurso de conexión.

  8. Haz clic en Continuar.

  9. En el campo Ruta de acceso de la clave, ingresa la ruta de acceso a tu clave externa.

  10. Establece el resto de la configuración de clave según sea necesario y, luego, haz clic en Crear.

gcloud

Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --skip-initial-version-creation \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Reemplaza lo siguiente:

  • KEY_NAME: el nombre de la clave.
  • KEY_RING
  • LOCATION: Es la ubicación de Cloud KMS del llavero de claves.
  • PURPOSE: Es el propósito de la clave.
  • ALGORITHM: Es el algoritmo que se usará para la clave, por ejemplo, google-symmetric-encryption. Para obtener una lista de los algoritmos admitidos, consulta Algoritmos.
  • VPC_CONNECTION_RESOURCE_ID: Es el ID del recurso de la conexión de EKM.

Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.

Crea un Cloud EKM administrado de forma manual mediante una clave de Internet

Consola

  1. En la consola de Google Cloud, ve a la página Administración de claves.

    Ir a Key Management

  2. Haz clic en el nombre del llavero de claves para el que crearás la clave.

  3. Haz clic en Crear clave.

  4. En Nombre de la clave, ingresa un nombre.

  5. En Nivel de protección, selecciona Externo.

  6. En Tipo de conexión del administrador de claves externo (EKM), selecciona a través de Internet.

  7. Haz clic en Continuar.

  8. En el campo URI de la clave, ingresa la ruta de acceso a tu clave externa.

  9. Establece el resto de la configuración de clave según sea necesario y, luego, haz clic en Crear.

gcloud

Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.

  1. Crea una clave externa vacía:

    gcloud kms keys create KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --purpose PURPOSE \
  --protection-level external \
  --skip-initial-version-creation \
  --default-algorithm ALGORITHM

    Reemplaza lo siguiente:

    • KEY_NAME: el nombre de la clave.
    • KEY_RING: Es el nombre del llavero de claves que contiene la clave.
    • LOCATION: Es la ubicación de Cloud KMS del llavero de claves.
    • PURPOSE: Es el propósito de la clave.
    • ALGORITHM: Es el algoritmo que se usará para la clave, por ejemplo, google-symmetric-encryption. Para obtener una lista de los algoritmos admitidos, consulta Algoritmos.

    Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.

  2. Crea una versión de clave nueva para la clave que acabas de crear:

    gcloud kms keys versions create \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --external-key-uri EXTERNAL_KEY_URI

    Reemplaza EXTERNAL_KEY_URI por el URI de la clave externa.

    En el caso de las versiones de clave simétricas, agrega la marca --primary para establecer la versión de clave nueva como la principal.

¿Qué sigue?