En esta página se explica cómo crear claves de Cloud External Key Manager (Cloud EKM) en un conjunto de claves de Cloud Key Management Service (Cloud KMS).
Antes de empezar
Antes de completar las tareas de esta página, necesitas lo siguiente:
-
Un recurso de proyecto que contenga tus recursos de Cloud KMS. Google Cloud Te recomendamos que uses un proyecto independiente para tus recursos de Cloud KMS que no contenga ningún otro recurso. Google Cloud
Anota la cuenta de servicio de Cloud EKM de tu proyecto. En el ejemplo siguiente, sustituye
PROJECT_NUMBERpor el Google Cloud número de proyecto. Esta información también se muestra cada vez que usas la consola Google Cloud para crear una clave de Cloud EKM.service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com - El nombre y la ubicación del conjunto de claves en el que quieras crear la clave. Elige un conjunto de claves en una ubicación cercana a tus otros recursos y que admita Cloud EKM. Para ver las ubicaciones disponibles y los niveles de protección que admiten, consulta Ubicaciones de Cloud KMS. Para crear un conjunto de claves, consulta Crear un conjunto de claves.
-
Para crear claves externas gestionadas manualmente, debes crear la clave en el sistema del partner de gestión de claves externo. Los pasos exactos varían en función del partner de gestión de claves externas.
- Si es necesario, pide acceso a tu partner de gestión de claves externas para participar.
-
Crea una clave simétrica o asimétrica en el sistema del partner de gestión de claves externo o selecciona una clave.
Crea la clave en una región cercana a la Google Cloud región que quieras usar para las claves de Cloud EKM. De esta forma, se reduce la latencia de red entre tu proyecto Google Cloud y el partner de gestión de claves externas. De lo contrario, es posible que aumente el número de operaciones fallidas. Para obtener más información, consulta Cloud EKM y regiones.
- Anota el URI o la ruta de la clave externa. Necesitas esta información para crear una clave de EKM de Cloud.
- En el sistema del partner de gestión de claves externo, concede a la cuenta de servicio Google Cloud acceso para usar tus claves externas. Trata la cuenta de servicio como una dirección de correo. Es posible que los partners de EKM usen una terminología diferente a la que se utiliza en este documento.
- Para crear claves de EKM en VPC, debes crear una conexión de EKM.
- Opcional: Para usar la CLI de gcloud, prepara tu entorno.
In the Google Cloud console, activate Cloud Shell.
Roles obligatorios
Para obtener los permisos que necesitas para crear claves, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de Cloud KMS (roles/cloudkms.admin) en el proyecto o en un recurso principal.
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene los permisos necesarios para crear claves. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:
Permisos obligatorios
Para crear claves, se necesitan los siguientes permisos:
-
cloudkms.cryptoKeys.create -
cloudkms.cryptoKeys.get -
cloudkms.cryptoKeys.list -
cloudkms.cryptoKeyVersions.create -
cloudkms.cryptoKeyVersions.get -
cloudkms.cryptoKeyVersions.list -
cloudkms.keyRings.get -
cloudkms.keyRings.list -
cloudkms.locations.get -
cloudkms.locations.list -
resourcemanager.projects.get -
Para obtener una clave pública, sigue estos pasos:
cloudkms.cryptoKeyVersions.viewPublicKey
También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.
Crear una clave externa coordinada
Consola
En la consola de Google Cloud , ve a la página Gestión de claves.
Haga clic en el nombre del conjunto de claves para el que creará una clave.
Haz clic en Crear clave.
En Key name (Nombre de la clave), escribe el nombre de la clave.
En Nivel de protección, selecciona Externo.
En Tipo de conexión de gestor de claves externo (EKM), selecciona a través de VPC.
En Gestión de claves empresariales a través de una conexión de VPC, selecciona una conexión.
Si no tienes el permiso
EkmConnection.list, debes introducir manualmente el nombre del recurso de conexión.Haz clic en Continuar.
En la sección Material de clave, debería ver un mensaje sobre el material de clave nuevo solicitado por Cloud KMS y generado en su EKM. Si ves el campo Ruta de la clave, significa que la conexión de EKM a través de VPC que has seleccionado no está configurada para claves externas coordinadas.
Configura el resto de los ajustes de la clave según sea necesario y, a continuación, haz clic en Crear.
Cloud EKM envía una solicitud a tu EKM para crear una clave. La clave se muestra como Generación pendiente hasta que tu EKM devuelva la ruta de la clave y la clave de Cloud EKM esté disponible.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de la CLI de Google Cloud.
gcloud kms keys create KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--purpose PURPOSE \
--default-algorithm ALGORITHM \
--protection-level "external-vpc" \
--crypto-key-backend VPC_CONNECTION_RESOURCE_ID
Haz los cambios siguientes:
KEY_NAME: el nombre de la clave.KEY_RING: el nombre del conjunto de claves que contiene la clave.LOCATION: la ubicación de Cloud KMS del conjunto de claves.PURPOSE: el propósito de la clave.ALGORITHM: el algoritmo que se va a usar para la clave. Por ejemplo,google-symmetric-encryption. Para ver una lista de los algoritmos admitidos, consulta Algoritmos.VPC_CONNECTION_RESOURCE_ID: el ID de recurso de la conexión EKM.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.
Crear una clave de Cloud EKM gestionada manualmente mediante una clave de VPC
Consola
En la consola de Google Cloud , ve a la página Gestión de claves.
Haga clic en el nombre del conjunto de claves para el que creará una clave.
Haz clic en Crear clave.
En Key name (Nombre de la clave), escribe el nombre de la clave.
En Nivel de protección, selecciona Externo.
En Tipo de conexión de gestor de claves externo (EKM), selecciona a través de VPC.
En Gestión de claves empresariales a través de una conexión de VPC, selecciona una conexión.
Si no tienes el permiso
EkmConnection.list, debes introducir manualmente el nombre del recurso de conexión.Haz clic en Continuar.
En el campo Ruta de clave, introduce la ruta a tu clave externa.
Configura el resto de los ajustes de la clave según sea necesario y, a continuación, haz clic en Crear.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de la CLI de Google Cloud.
gcloud kms keys create KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--purpose PURPOSE \
--default-algorithm ALGORITHM \
--protection-level "external-vpc" \
--skip-initial-version-creation \
--crypto-key-backend VPC_CONNECTION_RESOURCE_ID
Haz los cambios siguientes:
KEY_NAME: el nombre de la clave.- KEY_RING
LOCATION: la ubicación de Cloud KMS del conjunto de claves.PURPOSE: el propósito de la clave.ALGORITHM: el algoritmo que se va a usar para la clave. Por ejemplo,google-symmetric-encryption. Para ver una lista de los algoritmos admitidos, consulta Algoritmos.VPC_CONNECTION_RESOURCE_ID: el ID de recurso de la conexión EKM.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.
Crear una clave de Cloud EKM gestionada manualmente a través de Internet
Consola
En la consola de Google Cloud , ve a la página Gestión de claves.
Haga clic en el nombre del conjunto de claves para el que creará una clave.
Haz clic en Crear clave.
En Key name (Nombre de la clave), escribe el nombre de la clave.
En Nivel de protección, selecciona Externo.
En Tipo de conexión de External Key Manager (EKM), selecciona a través de Internet.
Haz clic en Continuar.
En el campo URI de la clave, introduce la ruta a tu clave externa.
Configura el resto de los ajustes de la clave según sea necesario y, a continuación, haz clic en Crear.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de la CLI de Google Cloud.
Crea una clave externa vacía:
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --protection-level external \ --skip-initial-version-creation \ --default-algorithm ALGORITHM
Haz los cambios siguientes:
KEY_NAME: el nombre de la clave.KEY_RING: el nombre del conjunto de claves que contiene la clave.LOCATION: la ubicación de Cloud KMS del conjunto de claves.PURPOSE: el propósito de la clave.ALGORITHM: el algoritmo que se va a usar para la clave. Por ejemplo,google-symmetric-encryption. Para ver una lista de los algoritmos admitidos, consulta Algoritmos.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca
--help.Crea una versión de clave para la clave que acabas de crear:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri EXTERNAL_KEY_URI
Sustituye
EXTERNAL_KEY_URIpor el URI de la clave externa.En el caso de las versiones de claves simétricas, añade la marca
--primarypara definir la nueva versión de la clave como principal.