En esta página, se muestra cómo crear claves de Cloud External Key Manager (Cloud EKM) en un llavero existente en Cloud Key Management Service (Cloud KMS).
Antes de comenzar
Antes de completar las tareas de esta página, debes tener lo siguiente:
-
Un recurso de proyecto de Google Cloud para contener tus recursos de Cloud KMS Te recomendamos que uses un proyecto independiente para tus recursos de Cloud KMS que no contenga ningún otro recurso de Google Cloud.
Anota la cuenta de servicio de Cloud EKM de tu proyecto. En el siguiente ejemplo, reemplaza
PROJECT_NUMBERpor el número de proyecto de tu proyecto de Google Cloud. Esta información también es visible cada vez que usas la consola de Google Cloud para crear una clave de Cloud EKM.service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com - El nombre y la ubicación del llavero de claves en el que deseas crear la clave. Elige un llavero de claves en una ubicación cercana a tus otros recursos y que admita Cloud EKM. Para ver las ubicaciones disponibles y los niveles de protección que admiten, consulta Ubicaciones de Cloud KMS. Para crear un llavero de claves, consulta Cómo crear un llavero de claves.
-
Para crear claves externas administradas de forma manual, debes crear la clave en el sistema de socios de administración de claves externas. Los pasos exactos varían según el socio de administración de claves externas.
- Si es necesario, solicita acceso a tu socio de administración de claves externas para participar.
-
Crea una clave simétrica o asimétrica en el sistema de socios de administración de claves externas o selecciona una clave existente.
Crea la clave en una región cercana a la región de Google Cloud que planeas usar para las claves de Cloud EKM. Esto ayuda a reducir la latencia de red entre el proyecto de Google Cloud y el socio de administración de claves externas. De lo contrario, es posible que experimentes una mayor cantidad de operaciones con errores. Para obtener más información, consulta Cloud EKM y las regiones.
- Anota el URI o la ruta de la clave externa. Necesitas esta información para crear una clave de Cloud EKM.
- En el sistema de socios de administración de claves externas, otorga a la cuenta de servicio de Google Cloud acceso para usar tus claves externas. Trata la cuenta de servicio como una dirección de correo electrónico. Es posible que los socios de EKM usen terminología diferente a la que se usa en este documento.
- Para crear un EKM con claves de VPC, debes crear una conexión de EKM.
- Opcional: Para usar gcloud CLI, prepara tu entorno.
In the Google Cloud console, activate Cloud Shell.
Roles obligatorios
Para obtener los permisos que necesitas para crear claves, pídele a tu administrador que te otorgue el rol de IAM de Administrador de Cloud KMS (roles/cloudkms.admin) en el proyecto o en un recurso superior.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene los permisos necesarios para crear claves. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para crear claves:
-
cloudkms.cryptoKeys.create -
cloudkms.cryptoKeys.get -
cloudkms.cryptoKeys.list -
cloudkms.cryptoKeyVersions.create -
cloudkms.cryptoKeyVersions.get -
cloudkms.cryptoKeyVersions.list -
cloudkms.keyRings.get -
cloudkms.keyRings.list -
cloudkms.locations.get -
cloudkms.locations.list -
resourcemanager.projects.get -
Para recuperar una clave pública, sigue estos pasos:
cloudkms.cryptoKeyVersions.viewPublicKey
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
Crea una clave externa coordinada
Console
En la consola de Google Cloud, ve a la página Administración de claves.
Haz clic en el nombre del llavero de claves para el que crearás la clave.
Haz clic en Crear clave.
En Nombre de la clave, ingresa un nombre para tu clave.
En Nivel de protección, selecciona Externo.
En Tipo de conexión del administrador de claves externo (EKM), selecciona a través de VPC.
En EKM a través de una conexión de VPC, selecciona una conexión.
Si no tienes el permiso
EkmConnection.list, debes ingresar el nombre del recurso de conexión de forma manual.Haga clic en Continuar.
En la sección Material de clave, deberías ver un mensaje sobre el material de clave nuevo que Cloud KMS solicita y genera en tu EKM. Si ves el campo Ruta de acceso a la clave, significa que el EKM a través de la conexión de VPC que elegiste no está configurado para claves externas coordinadas.
Configura el resto de los parámetros de configuración de claves según sea necesario y, luego, haz clic en Crear.
Cloud EKM envía una solicitud a tu EKM para crear una clave nueva. La clave se muestra como Generación pendiente hasta que tu EKM devuelve la ruta de la clave y la clave de Cloud EKM está disponible.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys create KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--purpose PURPOSE \
--default-algorithm ALGORITHM \
--protection-level "external-vpc" \
--crypto-key-backend VPC_CONNECTION_RESOURCE_ID
Reemplaza lo siguiente:
KEY_NAME: el nombre de la clave.KEY_RING: Es el nombre del llavero de claves que contiene la clave.LOCATION: Es la ubicación de Cloud KMS del llavero de claves.PURPOSE: Es el propósito de la clave.ALGORITHM: Es el algoritmo que se usará para la clave, por ejemplo,google-symmetric-encryption. Para obtener una lista de los algoritmos compatibles, consulta Algoritmos.VPC_CONNECTION_RESOURCE_ID: Es el ID del recurso de la conexión de la EKM.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.
Crea un Cloud EKM administrado de forma manual con una clave de VPC
Console
En la consola de Google Cloud, ve a la página Administración de claves.
Haz clic en el nombre del llavero de claves para el que crearás la clave.
Haz clic en Crear clave.
En Nombre de la clave, ingresa un nombre para tu clave.
En Nivel de protección, selecciona Externo.
En Tipo de conexión del administrador de claves externo (EKM), selecciona a través de VPC.
En EKM a través de una conexión de VPC, selecciona una conexión.
Ten en cuenta que, si no tienes el permiso
EkmConnection.list, debes ingresar el nombre del recurso de conexión de forma manual.Haga clic en Continuar.
En el campo Ruta de acceso a la clave, ingresa la ruta de acceso a tu clave externa.
Configura el resto de los parámetros de configuración de claves según sea necesario y, luego, haz clic en Crear.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys create KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--purpose PURPOSE \
--default-algorithm ALGORITHM \
--protection-level "external-vpc" \
--skip-initial-version-creation \
--crypto-key-backend VPC_CONNECTION_RESOURCE_ID
Reemplaza lo siguiente:
KEY_NAME: el nombre de la clave.- KEY_RING
LOCATION: Es la ubicación de Cloud KMS del llavero de claves.PURPOSE: Es el propósito de la clave.ALGORITHM: Es el algoritmo que se usará para la clave, por ejemplo,google-symmetric-encryption. Para obtener una lista de los algoritmos compatibles, consulta Algoritmos.VPC_CONNECTION_RESOURCE_ID: Es el ID del recurso de la conexión de la EKM.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.
Crea un Cloud EKM administrado de forma manual a través de una clave de Internet
Console
En la consola de Google Cloud, ve a la página Administración de claves.
Haz clic en el nombre del llavero de claves para el que crearás la clave.
Haz clic en Crear clave.
En Nombre de la clave, ingresa un nombre para tu clave.
En Nivel de protección, selecciona Externo.
En Tipo de conexión del administrador de claves externo (EKM), selecciona a través de Internet.
Haga clic en Continuar.
En el campo URI de la clave, ingresa la ruta de acceso a tu clave externa.
Configura el resto de los parámetros de configuración de claves según sea necesario y, luego, haz clic en Crear.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.
Crea una clave externa vacía:
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --protection-level external \ --skip-initial-version-creation \ --default-algorithm ALGORITHM
Reemplaza lo siguiente:
KEY_NAME: el nombre de la clave.KEY_RING: Es el nombre del llavero de claves que contiene la clave.LOCATION: Es la ubicación de Cloud KMS del llavero de claves.PURPOSE: Es el propósito de la clave.ALGORITHM: Es el algoritmo que se usará para la clave, por ejemplo,google-symmetric-encryption. Para obtener una lista de los algoritmos compatibles, consulta Algoritmos.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca
--help.Crea una versión de clave nueva para la clave que acabas de crear:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri EXTERNAL_KEY_URI
Reemplaza
EXTERNAL_KEY_URIpor el URI de la clave externa.En el caso de las versiones de claves simétricas, agrega la marca
--primarypara establecer la versión de clave nueva como la versión principal.