En esta página, se muestra cómo crear claves de Cloud External Key Manager (Cloud EKM) en una red el llavero de claves en Cloud Key Management Service (Cloud KMS).
Antes de comenzar
Antes de completar las tareas de esta página, debes tener lo siguiente:
Un recurso de proyecto de Google Cloud para contener tus recursos de Cloud KMS. Recomendamos usar un proyecto independiente para tu Cloud KMS que no contiene ninguna otra recursos de Google Cloud.
Anota la cuenta de servicio de Cloud EKM de tu proyecto. En el siguiente ejemplo, reemplaza
PROJECT_NUMBERpor el número de proyecto de tu proyecto de Google Cloud. Esta información también será visible cada vez que uses la consola de Google Cloud para crear una clave de Cloud EKM.service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
El nombre y la ubicación del llavero de claves en el que quieres crear la clave. Elige un llavero de claves en una ubicación que esté cerca de tus otros recursos y que es compatible con Cloud EKM. Para ver las ubicaciones disponibles y la protección a niveles de servicio compatibles, consulta Cloud KMS ubicaciones. Para crear un llavero de claves, consulta Crea un llavero de claves.
Para crear claves externas administradas manualmente, debes crearlas en el de administración de claves externas. Los pasos exactos varían según el socio de administración de claves externas.
Si es necesario, solicita acceso a tu socio de administración de claves externas para participar.
Crea una clave simétrica o asimétrica en el sistema de administración de claves externas o selecciona una clave existente.
Crea la clave en una región cercana a la región de Google Cloud que planeas usar para las claves de Cloud EKM. Esto ayuda a reducir la latencia de red entre el proyecto de Google Cloud y el socio de administración de claves externas. De lo contrario, es posible que experimentes una mayor cantidad de operaciones con errores. Para obtener más información, consulta Cloud EKM y regiones.
Anota el URI o la ruta de la clave externa. Lo necesitas información para crear una clave de Cloud EKM.
En el sistema de administración de claves externas, otorga a Google Cloud acceso a la cuenta de servicio para usar tus claves externas. Trata la cuenta de servicio como una dirección de correo electrónico. Los socios de EKM pueden usar terminología diferente a la que se usa en este tema.
Para crear un EKM mediante claves de VPC, tienes que crear un EKM mediante una VPC privada.
Opcional: Para usar gcloud CLI, prepara tu entorno.
gcloud CLI
In the Google Cloud console, activate Cloud Shell.
Roles obligatorios
A fin de obtener los permisos que necesitas para crear claves,
solicita a tu administrador que te otorgue el
Rol de IAM de administrador de Cloud KMS (roles/cloudkms.admin) en el proyecto o en un recurso superior.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene los permisos necesarios para crear claves. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para crear claves:
-
cloudkms.cryptoKeys.create -
cloudkms.cryptoKeys.get -
cloudkms.cryptoKeys.list -
cloudkms.cryptoKeyVersions.create -
cloudkms.cryptoKeyVersions.get -
cloudkms.cryptoKeyVersions.list -
cloudkms.keyRings.get -
cloudkms.keyRings.list -
cloudkms.locations.get -
cloudkms.locations.list -
resourcemanager.projects.get -
Para recuperar una clave pública, sigue estos pasos:
cloudkms.cryptoKeyVersions.viewPublicKey
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
Crea una clave externa coordinada
Console
En la consola de Google Cloud, ve a la página Administración de claves.
Haz clic en el nombre del llavero de claves para el que crearás la clave.
Haz clic en Crear clave.
En Nombre de la clave, ingresa un nombre para tu clave.
En Nivel de protección, selecciona Externo.
En Tipo de conexión del administrador de claves externo (EKM), selecciona a través de VPC.
Para EKM a través de una conexión de VPC, selecciona una conexión.
Si no tienes el permiso
EkmConnection.list, debes ingresar el nombre del recurso de conexión de forma manual.Haga clic en Continuar.
En la sección Material de clave, deberías ver un mensaje sobre la clave nueva. que solicita Cloud KMS y que se genera en tu EKM. Si ves el campo Ruta de la clave, el EKM a través de la conexión de VPC que la opción seleccionada no está configurada para claves externas coordinadas.
Establece el resto de la configuración de la clave según sea necesario y, luego, haz clic en Crear.
Cloud EKM envía una solicitud a tu EKM para crear una clave nueva. La clave Se muestra como Pending Generation hasta que tu EKM devuelva la ruta de la clave. y la clave de Cloud EKM está disponible.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys create KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--purpose PURPOSE \
--default-algorithm ALGORITHM \
--protection-level "external-vpc" \
--crypto-key-backend VPC_CONNECTION_RESOURCE_ID
Reemplaza lo siguiente:
KEY_NAME: el nombre de la clave.KEY_RING: Es el nombre del llavero de claves que contiene la clave.LOCATION: Es la ubicación de Cloud KMS del llavero de claves.PURPOSE: el propósito de la clave.ALGORITHM: Es el algoritmo que se usará para la clave, por ejemplo.google-symmetric-encryptionPara obtener una lista de los algoritmos compatibles, consulta Algoritmos.VPC_CONNECTION_RESOURCE_ID: Es el ID de recurso del EKM. conexión.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.
Crea un Cloud EKM administrado de forma manual a través de una clave de VPC
Console
En la consola de Google Cloud, ve a la página Administración de claves.
Haz clic en el nombre del llavero de claves para el que crearás la clave.
Haz clic en Crear clave.
En Nombre de la clave, ingresa un nombre para tu clave.
En Nivel de protección, selecciona Externo.
En Tipo de conexión del administrador de claves externo (EKM), selecciona a través de VPC.
Para EKM a través de una conexión de VPC, selecciona una conexión.
Ten en cuenta que, si no tienes el permiso
EkmConnection.list, debes ingresar el nombre del recurso de conexión de forma manual.Haga clic en Continuar.
En el campo Key path, ingresa la ruta de acceso a tu clave externa.
Establece el resto de la configuración de la clave según sea necesario y, luego, haz clic en Crear.
gcloud
Para usar Cloud KMS en la línea de comandos, primero Instala o actualiza a la versión más reciente de Google Cloud CLI.
gcloud kms keys create KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--purpose PURPOSE \
--default-algorithm ALGORITHM \
--protection-level "external-vpc" \
--skip-initial-version-creation \
--crypto-key-backend VPC_CONNECTION_RESOURCE_ID
Reemplaza lo siguiente:
KEY_NAME: el nombre de la clave.- KEY_RING
LOCATION: Es la ubicación de Cloud KMS del llavero de claves.PURPOSE: el propósito de la clave.ALGORITHM: Es el algoritmo que se usará para la clave, por ejemplo.google-symmetric-encryptionPara obtener una lista de los algoritmos compatibles, consulta Algoritmos.VPC_CONNECTION_RESOURCE_ID: Es el ID de recurso del EKM. conexión.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.
Crea un Cloud EKM administrado manualmente a través de una clave de Internet
Console
En la consola de Google Cloud, ve a Administración de claves.
Haz clic en el nombre del llavero de claves para el que crearás la clave.
Haz clic en Crear clave.
En Nombre de la clave, ingresa un nombre para tu clave.
En Nivel de protección, selecciona Externo.
En Tipo de conexión del administrador de claves externo (EKM), selecciona a través de Internet.
Haga clic en Continuar.
En el campo URI de la clave, ingresa la ruta de acceso a tu clave externa.
Configura el resto de los parámetros de configuración de claves según sea necesario y, luego, haz clic en Crear.
gcloud
Para usar Cloud KMS en la línea de comandos, primero Instala o actualiza a la versión más reciente de Google Cloud CLI.
Crea una clave externa vacía:
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --protection-level external \ --skip-initial-version-creation \ --default-algorithm ALGORITHM
Reemplaza lo siguiente:
KEY_NAME: el nombre de la clave.KEY_RING: Es el nombre del llavero de claves que contiene la clave.LOCATION: Es la ubicación de Cloud KMS del llavero de claves.PURPOSE: Es el propósito de la clave.ALGORITHM: Es el algoritmo que se usará para la clave, por ejemplo.google-symmetric-encryptionPara obtener una lista de los algoritmos compatibles, consulta Algoritmos.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca
--help.Crea una versión de clave nueva para la clave que acabas de crear:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri EXTERNAL_KEY_URI
Reemplaza
EXTERNAL_KEY_URIpor el URI de la clave externa.En el caso de las versiones de claves simétricas, agrega la marca
--primarypara establecer la versión de clave nueva como la versión principal.