En esta página, se muestra cómo programar una versión de clave de Cloud Key Management Service para la destrucción permanente. En Cloud KMS, el material de clave criptográfica que usas para encriptar, desencriptar, firmar y verificar datos se almacena en una versión de clave. Una clave tiene cero o más versiones. Cuando rotas una clave, se crea una versión nueva de la clave.
Destruir una versión de clave significa que el material de clave se borra de forma permanente. Cuando destruyes una versión de clave, no se borran otros detalles, como el nombre y el número de la versión de la clave. Después de destruir una clave, los datos que se encriptaron con la versión de clave no se pueden desencriptar.
Debido a que la destrucción de claves es irreversible, Cloud KMS no te permite destruir versiones de claves de inmediato. En su lugar, programas la destrucción de una clave. La versión de clave permanece en el state de destrucción programada durante un tiempo configurable. Durante el período de destrucción programada, puedes restablecer una versión de clave para cancelar su destrucción.
La duración predeterminada de la destrucción programada es de 30 días. Puedes configurar una programación personalizada para la duración de la destrucción de una clave durante su creación. Tu organización puede aplicar un período mínimo de duración programada para la destrucción mediante la configuración de la restricción Duración mínima programada de destrucción por clave en las políticas de la organización.
También puedes administrar el acceso a la clave mediante la administración de identidades y accesos (IAM). Las operaciones de IAM son coherentes en segundos. Para obtener más información, consulta Usa IAM.
También puedes inhabilitar una versión de clave de forma temporal. Te recomendamos inhabilitar las versiones de claves antes de programar su destrucción como parte de los procedimientos para garantizar que la clave se pueda destruir de manera segura. Según las políticas de la organización, es posible que debas inhabilitar una versión de clave antes de programar su destrucción. Para obtener más información sobre cómo controlar la destrucción de versiones de claves mediante las políticas de la organización, consulta Cómo controlar la destrucción de versiones de claves.
En el resto de este tema, programar una clave para su destrucción se denomina destrucción de la clave, aunque esta destrucción no sea inmediata.
Antes de comenzar
Comprender los riesgos
La destrucción de una versión de clave es una operación permanente. Destruir una versión de clave que aún es necesaria implica los siguientes riesgos:
Interrupción del servicio: Si destruyes una clave necesaria para iniciar un contenedor o una instancia, tus servicios o aplicaciones pueden dejar de estar disponibles.
Pérdida permanente de datos: si destruyes una clave que se usó para encriptar datos, esos datos dejarán de estar disponibles. Los datos encriptados con una clave destruida se consideran destruidos de forma criptográfica. En algunos casos, la destrucción de una clave puede provocar que los recursos encriptados se borren de forma permanente.
Problemas regulatorios o de cumplimiento: Si destruyes una clave necesaria para acceder a datos que están sujetos a un período de retención antes de que se complete ese período, podrías estar infringiendo un requisito normativo o de cumplimiento.
Funciones obligatorias
Para obtener los permisos que necesitas para destruir y restablecer versiones de claves, pídele a tu administrador que te otorgue el rol de IAM de Administrador de Cloud KMS (roles/cloudkms.admin
) en la clave.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.
Es posible que también puedas obtener los permisos necesarios a través de funciones personalizadas o, también, otras funciones predefinidas.
Verifica si la versión de clave está en uso
Antes de destruir una versión de clave, completa los siguientes pasos para verificar si está en uso:
Consulta los detalles de seguimiento de uso de la clave de la clave. Si algún recurso está protegido por la versión de clave que deseas destruir, vuelve a encriptarlo con otra versión de clave.
Activa los registros para cualquier servicio o aplicación que pueda usar la versión de clave.
Activa los registros en el proyecto de Cloud KMS que contenga la clave.
Inhabilita la versión de clave. Si inhabilitas la versión de clave, no se podrá usar. Con la versión de clave inhabilitada, cualquier intento de usarla falla.
Supervisa los registros hasta que te asegures de que ninguna aplicación o servicio aún depende de la versión de clave que inhabilitaste. Si algún error indica que hubo un error en el acceso a la versión de clave, configura la aplicación o el recurso para que use otra versión de clave.
El tiempo que pasas supervisando los registros antes de destruir una versión de clave depende del tipo de clave, su patrón de uso y su nivel de sensibilidad. Por ejemplo, antes de destruir una versión de clave que se usa en un proceso que se ejecuta de forma trimestral, mantén la versión de clave inhabilitada hasta que el proceso se complete de forma correcta.
Verifica el uso de la clave con los requisitos de cumplimiento aplicables. Por ejemplo, la versión de clave y los datos encriptados con ella pueden estar sujetos a períodos de retención de datos.
Estos pasos te ayudan a identificar si una clave aún podría ser necesaria. Sin embargo, no pueden garantizar que ya no sea necesaria una versión de clave. Tu organización debe implementar procedimientos y lineamientos para garantizar que la destrucción de la versión de clave no cause efectos negativos.
Destruir una versión de clave
Puedes destruir una versión de clave habilitada o inhabilitada.
Consola
En la consola de Google Cloud, ve a la página Administración de claves.
Marca la casilla junto a la versión de clave que deseas programar para la destrucción.
Haz clic en Destruir en el encabezado.
En el mensaje de confirmación, ingresa el nombre de la clave y, luego, haz clic en Programar destrucción.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala la versión más reciente de Google Cloud CLI o actualízala a la versión más reciente.
gcloud kms keys versions destroy KEY_VERSION \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION
Reemplaza lo siguiente:
KEY_VERSION
: Es el número de la versión de clave que deseas destruir.KEY_NAME
: Es el nombre de la clave de la que deseas destruir una versión de clave.KEY_RING
: Es el nombre del llavero de claves que contiene la clave.LOCATION
: Es la ubicación de Cloud KMS del llavero de claves.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
API
En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.
Llama al método CryptoKeyVersions.destroy para destruir una versión de clave.
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION:destroy" \ --request "POST" \ --header "authorization: Bearer TOKEN"
Si no puedes destruir una versión de clave, es posible que tu organización requiera que las versiones de clave se inhabiliten antes de la destrucción. Intenta inhabilitar la versión de la clave antes de destruirla.
Cuando envías la solicitud de destrucción, el estado de la versión de clave se programa para la destrucción. Una vez que la clave está configurada para la duración de la destrucción, se destruye el estado de la versión de clave, lo que significa que se inicia una eliminación lógica del material de clave de los sistemas activos, y el cliente no puede recuperar el material de clave. El material de clave puede permanecer en los sistemas de Google hasta 45 días a partir de la hora programada de destrucción.
A fin de recibir una alerta cuando una versión de clave está programada para su destrucción, consulta Usa Cloud Monitoring con Cloud KMS.
Las versiones de clave destruidas no son recursos facturados.
Destruye claves externas
Para quitar de forma permanente la asociación entre una clave de Cloud EKM y una clave externa, puedes destruir la versión de clave. Una vez que transcurre el período de Destrucción programada, se destruye la clave. Una vez que se destruye la versión de clave, ya no puedes encriptar ni desencriptar los datos que se encriptaron con la versión de clave de Cloud EKM.
Destruir una versión de clave administrada de forma manual en Cloud KMS no modifica la clave en el administrador de claves externo. Recomendamos destruir primero la clave o la versión de clave en Google Cloud. Una vez que se destruye la versión de clave de Cloud EKM, puedes destruir el material de la clave en el administrador de claves externo.
Destruir una versión de clave externa coordinada en Cloud KMS primero destruye la versión de clave en Google Cloud y, luego, envía una solicitud de destrucción al EKM para destruir el material de la clave externa.
Restablece una versión de clave
Durante el período en el que el estado de una versión de clave está programado para su destrucción, puedes enviar una solicitud de restablecimiento para restablecerla.
Consola
Ve a la página Administración de claves en la consola de Google Cloud.
Haz clic en el nombre del llavero de claves que contiene la clave cuya versión se restablecerá.
Haz clic en la clave cuya versión de clave deseas restablecer.
Marca la casilla junto a la versión de clave que deseas restablecer.
Haga clic en Restablecer en el encabezado.
En el mensaje de confirmación, haz clic en Restablecer.
gcloud
Para usar Cloud KMS en la línea de comandos, primero instala la versión más reciente de Google Cloud CLI o actualízala a la versión más reciente.
gcloud kms keys versions restore key-version \ --key key \ --keyring key-ring \ --location location
Reemplaza key-version por la versión de la clave que deseas restablecer. Reemplaza key por el nombre de la clave. Reemplaza key-ring por el nombre del llavero de claves en el que se encuentra la clave. Reemplaza location por la ubicación de Cloud KMS para el llavero de claves.
Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help
.
C#
Para ejecutar este código, primero configura un entorno de desarrollo de C# e instala el SDK de C# para Cloud KMS.
Go
Para ejecutar este código, primero configura un entorno de desarrollo de Go y, luego, instala el SDK de Go para Cloud KMS.
Java
Para ejecutar este código, primero configura un entorno de desarrollo de Java y, luego, instala el SDK de Java para Cloud KMS.
Node.js
Para ejecutar este código, primero configura un entorno de desarrollo de Node.js y, luego, instala el SDK de Node.js para Cloud KMS.
PHP
Para ejecutar este código, primero obtén información sobre cómo usar PHP en Google Cloud y, luego, instala el SDK de PHP para Cloud KMS.
Python
Para ejecutar este código, primero configura un entorno de desarrollo de Python y, luego, instala el SDK de Python para Cloud KMS.
Ruby
Para ejecutar este código, primero configura un entorno de desarrollo de Ruby y, luego, instala el SDK de Ruby para Cloud KMS.
API
En estos ejemplos, se usa curl como un cliente HTTP para demostrar el uso de la API. Para obtener más información sobre el control de acceso, consulta Accede a la API de Cloud KMS.
Restablece una versión de clave mediante una llamada al método CryptoKeyVersions.restore.
curl "https://cloudkms.googleapis.com/v1/projects/project-id/locations/location-id/keyRings/key-ring-id/cryptoKeys/crypto-key-id/cryptoKeyVersions/version-id:restore" \ --request "POST" \ --header "authorization: Bearer token"
Una vez completada la solicitud de restablecimiento, se inhabilita el estado de la versión de clave. Debes habilitar la clave para poder usarla.
Permisos de IAM obligatorios
Para destruir una versión de clave, el llamador necesita el permiso de IAM cloudkms.cryptoKeyVersions.destroy
en la clave, el llavero de claves o el proyecto, la carpeta o la organización.
Para restablecer una versión de clave, el emisor necesita el permiso cloudkms.cryptoKeyVersions.restore
.
Ambos permisos se otorgan a la función de administrador de Cloud KMS (roles/cloudkms.admin
).
Cronograma de eliminación
Cloud KMS se compromete a borrar el material de claves del cliente de toda la infraestructura de Google en un plazo de 45 días a partir del momento de la destrucción programada. Esto incluye la eliminación de datos de sistemas activos y copias de seguridad de centros de datos. Otros datos del cliente están sujetos al cronograma estándar de eliminación de Google Cloud de 180 días.