Cloud External Key Manager

Este tema proporciona una descripción general de Cloud External Key Manager (Cloud EKM).

Terminología

  • Administrador de claves externas (EKM)

    El administrador de claves que se usa fuera de Google Cloud para administrar tus claves.

  • Cloud External Key Manager (Cloud EKM)

    Un servicio de Google Cloud para usar tus claves externas administradas dentro de un EKM compatible.

  • Cloud EKM a través de Internet

    Una versión de Cloud EKM en la que Google Cloud se comunica con tu administrador de claves externo a través de Internet.

  • Cloud EKM a través de una VPC

    Una versión de Cloud EKM en la que Google Cloud se comunica con tu administrador de claves externo a través de una nube privada virtual (VPC). Para obtener más información, consulta la Descripción general de la red de VPC.

  • Administración de claves de EKM desde Cloud KMS

    Cuando usas Cloud EKM a través de una VPC con un socio de administración de claves externo que admite el plano de control de Cloud EKM, puedes usar el modo de administración de EKM de Cloud KMS para simplificar el proceso de mantener claves externas en tu socio de administración de claves externo y en Cloud EKM. Para obtener más información, consulta Claves externas coordinadas y Administración de claves de EKM desde Cloud KMS en esta página.

  • Espacio criptográfico

    Un contenedor para los recursos dentro de tu socio de administración de claves externo. Tu espacio criptográfico se identifica con una ruta única. El formato de la ruta al espacio criptográfico varía según el socio de administración de claves externo, por ejemplo, v0/cryptospaces/YOUR_UNIQUE_PATH.

  • EKM administrado por socios

    Un acuerdo en el que un socio de confianza administra tu EKM por ti. Para obtener más información, consulta EKM administrado por socios en esta página.

  • Key Access Justifications

    Cuando usas Cloud EKM con Key Access Justifications, cada solicitud que se envía a tu socio de administración de claves externo incluye un campo que identifica el motivo de cada solicitud. Puedes configurar tu socio de administración de claves externo para permitir o rechazar solicitudes según el código de Key Access Justifications que se proporciona. Para obtener más información sobre Key Access Justifications, consulta la descripción general de Key Access Justifications.

Descripción general

Con Cloud EKM, puedes usar las claves que administras dentro de un socio de administración de claves externo compatible para proteger los datos en Google Cloud. Puedes proteger los datos en reposo en los servicios de integración de CMEK compatibles o mediante una llamada directa a la API de Cloud Key Management Service.

Cloud EKM ofrece varios beneficios:

  • Procedencia de clave: Tú controlas la ubicación y distribución de tus claves administradas de forma externa. Las claves administradas de forma externa nunca se almacenan ni en caché ni en Google Cloud. En su lugar, Cloud EKM se comunica directamente con el socio de administración de claves externo para cada solicitud.

  • Control de acceso: Tú administras el acceso a tus claves administradas de forma externa. Antes de poder usar una clave administrada de forma externa en Google Cloud, debes otorgar al proyecto de Google Cloud acceso para usar la clave. Puedes revocar este acceso en cualquier momento.

  • Administración de claves centralizada: Puedes administrar tus claves y políticas de acceso desde una sola interfaz de usuario, sin importar si los datos que protegen residen en la nube o de forma local.

En todos los casos, la clave reside en el sistema externo y nunca se envía a Google.

Puedes comunicarte con tu administrador de claves externo a través de Internet o a través de una nube privada virtual (VPC).

Cómo funciona Cloud EKM

Las versiones de claves de Cloud EKM constan de las siguientes partes:

  • Material de clave externa: El material de clave externa de una clave de Cloud EKM es el material criptográfico que se crea y almacena en tu EKM. Este material no sale de tu EKM y nunca se comparte con Google.
  • Referencia clave: Cada versión de clave de Cloud EKM contiene un URI de clave o una ruta de acceso de la clave. Este es un identificador único para el material de la clave externa que Cloud EKM usa cuando solicita operaciones criptográficas con la clave.
  • Material de clave interna: Cuando se crea una clave de Cloud EKM simétrica, Cloud KMS crea material de clave adicional en Cloud KMS, que nunca sale de Cloud KMS. Este material de claves se usa como una capa adicional de encriptación cuando te comunicas con tu EKM. Este material de claves internas no se aplica a las claves de firma asimétricas.

Para usar tus claves de Cloud EKM, Cloud EKM envía solicitudes de operaciones criptográficas a tu EKM. Por ejemplo, para encriptar datos con una clave de encriptación simétrica, Cloud EKM primero encripta los datos con el material de clave interna. Los datos encriptados se incluyen en una solicitud al EKM. El EKM une los datos encriptados en otra capa de encriptación con el material de la clave externa y, luego, muestra el texto cifrado resultante. Los datos encriptados con una clave de Cloud EKM no se pueden desencriptar sin el material de la clave externa y el material de la clave interna.

Si tu organización habilitó Key Access Justifications, tu socio de administración de claves externo registrará la justificación de acceso proporcionada y completará la solicitud solo para los códigos de motivos de justificación que permita tu política de Key Access Justifications en el socio de administración de claves externo.

La creación y administración de claves de Cloud EKM requiere los cambios correspondientes tanto en Cloud KMS como en EKM. Los cambios correspondientes se manejan de manera diferente para las claves externas administradas de forma manual y las claves externas coordinadas. Todas las claves externas a las que se accede a través de Internet se administran de forma manual. Las claves externas a las que se accede a través de una red de VPC se pueden administrar o coordinar de forma manual, según el modo de administración de EKM del EKM a través de la conexión de VPC. El modo de administración de EKM manual se usa para las claves administradas de forma manual. El modo de administración de EKM de Cloud KMS se usa para las claves externas coordinadas. Para obtener más información sobre los modos de administración de EKM, consulta Claves externas administradas de forma manual y Claves externas coordinadas en esta página.

En el siguiente diagrama, se muestra cómo Cloud KMS se ajusta al modelo de administración de claves. En este diagrama, se usan Compute Engine y BigQuery como dos ejemplos. También puedes ver la lista completa de servicios compatibles con las claves de Cloud EKM.

Diagrama que ilustra la encriptación y desencriptación con Cloud EKM

Puedes obtener información sobre las consideraciones y las restricciones cuando usas Cloud EKM.

Claves externas administradas de forma manual

En esta sección, se proporciona una descripción general de cómo funciona Cloud EKM con una clave externa administrada de forma manual.

  1. Puedes crear o usar una clave existente en un sistema asociado de administración de claves externo compatible. Esta clave tiene un URI único o ruta de acceso a la clave.
  2. Otorgas a tu proyecto de Google Cloud acceso para usar la clave en el sistema de administración de claves externas.
  3. En tu proyecto de Google Cloud, crea una versión de clave de Cloud EKM mediante el URI o la ruta de la clave para la clave administrada de forma externa.
  4. Las operaciones de mantenimiento, como la rotación de claves, deben administrarse de forma manual entre tu EKM y Cloud EKM. Por ejemplo, las operaciones de rotación de versiones de clave o de destrucción de versiones de clave deben completarse directamente en tu EKM y en Cloud KMS.

Dentro de Google Cloud, la clave aparece junto con tus otras claves de Cloud KMS y Cloud HSM, con nivel de protección EXTERNAL o EXTERNAL_VPC. La clave Cloud EKM y la externa del socio de administración de claves trabajan juntas para proteger tus datos. El material de la clave externa nunca se expone a Google.

Claves externas coordinadas

En esta sección, se proporciona una descripción general de cómo funciona Cloud EKM con una clave externa coordinada.

  1. Configura un EKM a través de una conexión de VPC y establece el modo de administración de EKM en Cloud KMS. Durante la configuración, debes autorizar a tu EKM para que acceda a tu red de VPC y a que tu cuenta de servicio del proyecto de Google Cloud acceda al espacio criptográfico en tu EKM. Tu conexión de EKM usa el nombre de host de tu EKM y una ruta de acceso criptográfico que identifica tus recursos dentro de tu EKM.

  2. Creas una clave externa en Cloud KMS. Cuando creas una clave de Cloud EKM mediante una EKM a través de una conexión de VPC con el modo de administración de EKM de Cloud KMS habilitado, los siguientes pasos se llevan a cabo de forma automática:

    1. Cloud EKM envía una solicitud de creación de clave a tu EKM.
    2. Tu EKM crea el material de clave solicitado. Este material de clave externa permanece en el EKM y nunca se envía a Google.
    3. Tu EKM muestra una ruta de acceso clave a Cloud EKM.
    4. Cloud EKM crea tu versión de clave de Cloud EKM mediante la ruta de clave que proporciona tu EKM.
  3. Las operaciones de mantenimiento en claves externas coordinadas se pueden iniciar desde Cloud KMS. Por ejemplo, las claves externas coordinadas que se usan para la encriptación simétrica pueden rotarse automáticamente según un programa establecido. Cloud EKM coordina la creación de versiones de claves nuevas en tu EKM. También puedes activar la creación o destrucción de versiones de claves en tu EKM desde Cloud KMS mediante la consola de Google Cloud, gcloud CLI, la API de Cloud KMS o las bibliotecas cliente de Cloud KMS.

Dentro de Google Cloud, la clave aparece junto con tus otras claves de Cloud KMS y Cloud HSM, con el nivel de protección EXTERNAL_VPC. La clave Cloud EKM y la externa del socio de administración de claves trabajan juntas para proteger tus datos. El material de la clave externa nunca se expone a Google.

Administración de claves de EKM desde Cloud KMS

EKM es posible gracias a las claves externas coordinadas a través de las conexiones de VPC que usan la administración de claves de EKM de Cloud KMS. Si tu EKM admite el plano de control de Cloud EKM, puedes habilitar la administración de claves de EKM desde Cloud KMS para tu EKM a través de conexiones de VPC para crear claves externas coordinadas. Con la administración de claves de EKM de Cloud KMS habilitada, Cloud EKM puede solicitar los siguientes cambios en tu EKM:

  • Crear una clave: Cuando creas una clave administrada de forma externa en Cloud KMS con un EKM compatible a través de una conexión de VPC, Cloud EKM envía tu solicitud de creación de clave a tu EKM. Cuando tienes éxito, tu EKM crea la clave y el material de la clave nuevos y muestra la ruta de la clave que Cloud EKM usará para acceder a la clave.

  • Rota una clave: Cuando rotas una clave administrada de forma externa en Cloud KMS con un EKM compatible a través de una conexión de VPC, Cloud EKM envía tu solicitud de rotación a tu EKM. Si no hay errores, tu EKM crea material de clave nuevo y muestra la ruta de acceso de la clave que Cloud EKM usará para acceder a la nueva versión de clave.

  • Destruir una clave: Cuando destruyes una versión de clave para una clave administrada de forma externa en Cloud KMS con un EKM compatible a través de una conexión de VPC, Cloud KMS programa la versión de clave para su destrucción en Cloud KMS. Si la versión de clave no se restablece antes de que finalice el período programado para su destrucción, Cloud EKM destruye su parte del material criptográfico de la clave y envía una solicitud de destrucción a tu EKM.

    Los datos encriptados con esta versión de clave no se pueden desencriptar después de destruir la versión de clave en Cloud KMS, incluso si el EKM aún no la destruyó. Para ver si el EKM destruyó correctamente la versión de clave, consulta los detalles de la clave en Cloud KMS.

Cuando las claves en tu EKM se administran desde Cloud KMS, el material de la clave aún reside en tu EKM. Google no puede realizar ninguna solicitud de administración de claves a tu EKM sin permiso explícito. Google no puede cambiar permisos ni políticas de Key Access Justifications en tu sistema de administración de claves externas. Si revocas los permisos de Google en tu EKM, las operaciones de administración de claves que se intentan en Cloud KMS fallarán.

Compatibilidad

Administradores de claves admitidos

Puede almacenar claves externas en los siguientes sistemas de administración de claves externas:

Servicios que admiten CMEK con Cloud EKM

Los siguientes servicios admiten la integración con Cloud KMS para claves externas (Cloud EKM):

Consideraciones

  • Cuando usas una clave Cloud EKM, Google no tiene control sobre la disponibilidad de tu clave administrada de forma externa en el sistema de administración de claves externas. Si pierdes las claves que administras fuera de Google Cloud, Google no podrá recuperar tus datos.

  • Revisa los lineamientos sobre socios y regiones de administración de claves externas cuando elijas las ubicaciones para tus claves de Cloud EKM.

  • Revisa el Acuerdo de Nivel de Servicio (ANS) de Cloud EKM.

  • La comunicación con un servicio externo a través de Internet puede generar problemas de confiabilidad, disponibilidad y latencia. En las aplicaciones con una tolerancia baja a estos tipos de riesgos, considera usar Cloud HSM o Cloud KMS para almacenar tu material de clave.

    • Si una clave externa no está disponible, Cloud KMS muestra un error FAILED_PRECONDITION y proporciona detalles en el detalle del error PreconditionFailure.

      Habilita el registro de auditoría de datos para mantener un registro de todos los errores relacionados con Cloud EKM. Los mensajes de error contienen información detallada para ayudar a identificar la fuente del error. Un ejemplo de error común es cuando un socio de administración de claves externo no responde a una solicitud dentro de un plazo razonable.

    • Necesitas un contrato de asistencia con el socio de administración de claves externo. La asistencia de Google Cloud solo puede ayudar con problemas en los servicios de Google Cloud y no puede asistir directamente con problemas en sistemas externos. En ocasiones, debes trabajar con el equipo de asistencia de ambos lados para solucionar problemas de interoperabilidad.

  • Cloud EKM se puede usar con el HSM privado alojado para crear una solución de HSM de usuario único integrada en Cloud KMS. Para obtener más información, elige un socio de Cloud EKM que admita HSM de usuario único y revisa los requisitos para los HSM privados alojados.

  • Habilita el registro de auditoría en tu administrador de claves externo para capturar el acceso y el uso a tus claves de EKM.

Restricciones

  • No se admite la rotación automática.
  • Cuando creas una clave de Cloud EKM mediante la API o Google Cloud CLI, esta no debe tener una versión inicial de la clave. Esto no se aplica a las claves de Cloud EKM creadas con la consola de Google Cloud.
  • Las operaciones de Cloud EKM están sujetas a cuotas específicas, además de las cuotas de las operaciones de Cloud KMS.

Claves de encriptación simétricas

Claves de firma asimétricas

Administradores y regiones de claves externas

Cloud EKM debe poder acceder a tus claves con rapidez para evitar errores. Cuando crees una clave de Cloud EKM, elige una ubicación de Google Cloud que esté geográficamente cerca de la ubicación de la clave de socio de administración de claves externas. Consulta la documentación del socio para obtener detalles sobre su disponibilidad en cuanto a su ubicación.

  • Cloud EKM a través de Internet: disponible en todas las ubicaciones de Google Cloud compatibles con Cloud KMS, excepto global y nam-eur-asia1
  • Cloud EKM a través de una VPC: Solo está disponible en las ubicaciones regionales compatibles con Cloud KMS.

Consulta la documentación de tu socio de administración de claves externas para determinar qué ubicaciones admiten.

Uso multirregional

Cuando usas una clave administrada de forma externa con una multirregión, los metadatos de la clave están disponibles en varios centros de datos dentro de esa multirregión. Estos metadatos incluyen la información necesaria para comunicarse con el socio de administración de claves externo. Si tu aplicación realiza una conmutación por error de un centro de datos a otro dentro de la multirregión, el centro de datos nuevo inicia las solicitudes clave. El centro de datos nuevo puede tener características de red diferentes a las del centro de datos anterior, incluida la distancia del socio de administración de claves externo y la probabilidad de tiempos de espera. Te recomendamos que solo uses una multirregión con Cloud EKM si el administrador de claves externo que elegiste proporciona baja latencia a todas las áreas de esa multirregión.

EKM administrado por el socio

El EKM administrado por el socio te permite usar Cloud EKM a través de un socio soberano de confianza que administra el sistema de EKM por ti. Con EKM administrado por el socio, tu socio crea y administra las claves que usas en Cloud EKM. El socio se asegura de que tu EKM cumpla con los requisitos de soberanía.

Cuando te incorporas a tu socio soberano, este aprovisiona recursos en Google Cloud y tu EKM. Estos recursos incluyen un proyecto de Cloud KMS para administrar tus claves de Cloud EKM y un EKM a través de la conexión de VPC configurada para la administración de claves de EKM desde Cloud KMS. Tu socio crea recursos en las ubicaciones de Google Cloud según los requisitos de residencia de tus datos.

Cada clave de Cloud EKM incluye metadatos de Cloud KMS, lo que permite que Cloud EKM envíe solicitudes a tu EKM para realizar operaciones criptográficas con el material de clave externa que nunca sale de tu EKM. Las claves de Cloud EKM simétricas también incluyen material de claves internas de Cloud KMS que nunca salen de Google Cloud. Para obtener más información sobre los extremos interno y externo de las claves de Cloud EKM, consulta Cómo funciona Cloud EKM en esta página.

Para obtener más información sobre el EKM administrado por socios, consulta Configura Cloud KMS administrado por socios.

Supervisa el uso de Cloud EKM

Puedes usar Cloud Monitoring para supervisar tu conexión de EKM. Las siguientes métricas pueden ayudarte a comprender el uso de EKM:

  • cloudkms.googleapis.com/ekm/external/request_latencies
  • cloudkms.googleapis.com/ekm/external/request_count

Para obtener más información sobre estas métricas, consulta las métricas de cloudkms. Puedes crear un panel para hacer un seguimiento de estas métricas. Si deseas obtener información para configurar un panel a fin de supervisar tu conexión de EKM, consulta Supervisa el uso de EKM.

Obtén asistencia

Si tienes un problema con Cloud EKM, comunícate con el equipo de asistencia.

¿Qué sigue?