Se usó la API de Cloud Translation para traducir esta página.

Cloud External Key Manager

Este tema proporciona una descripción general de Cloud External Key Manager (Cloud EKM).

Terminología

Administrador de claves externas (EKM)

El administrador de claves que se usa fuera de Google Cloud para administrar tus claves.
Cloud External Key Manager (Cloud EKM)

Un servicio de Google Cloud para usar tus claves externas administradas dentro de un EKM compatible.
Cloud EKM a través de Internet

Una versión de Cloud EKM en la que Google Cloud se comunica con tu administrador de claves externo a través de Internet.
Cloud EKM a través de una VPC

Una versión de Cloud EKM en la que Google Cloud se comunica con tu administrador de claves externo en una nube privada virtual (VPC). Para ver más consulta Descripción general de la red de VPC.
Administración de claves EKM desde Cloud KMS

Cuando usas Cloud EKM a través de una VPC con una externo de administración de claves que admite Cloud EKM plano de control, puedes usar el EKM de Cloud KMS de administración para simplificar el proceso de mantener claves externas en con un socio de administración de claves externo y en Cloud EKM. Para obtener más información, consulta Claves externas coordinadas y Administración de claves EKM desde Cloud KMS en esta página.
Espacio criptográfico

Un contenedor para tus recursos dentro de tu socio de administración de claves externas. Tu criptoespacio se identifica con una ruta única de criptoespacio. El formato del espacio criptográfico varía según el socio de administración de claves externo, por ejemplo, v0/cryptospaces/YOUR_UNIQUE_PATH.
EKM administrado por el socio

Un acuerdo en el que un socio de confianza administra tu EKM por ti. Para obtener más información, consulta el EKM administrado por un socio sobre este .
Key Access Justifications

Cuando usas Cloud EKM con Key Access Justifications, cada solicitud a tu incluye un campo que identifica el motivo de cada solicitud. Puedes configurar tu socio de administración de claves externas para permitir o rechazar solicitudes según el Se proporcionó el código de Key Access Justifications. Para obtener más información Key Access Justifications, consulta Key Access Justifications descripción general.

Descripción general

Con Cloud EKM, puedes usar claves que administras en un socio de administración de claves externo admitido en Google Cloud. Puedes proteger los datos en reposo en la integración de CMEK compatible servicios o llamando directamente a la API de Cloud Key Management Service.

Cloud EKM ofrece varios beneficios:

Procedencia de clave: Controlas la ubicación y distribución de tus claves administradas de forma externa. Las claves administradas de forma externa nunca se almacenan ni en caché dentro de Google Cloud. En su lugar, Cloud EKM se comunica directamente con el socio de administración de claves externo para cada solicitud.
Control de acceso: Administras el acceso a tus claves administradas de forma externa en tu administrador de claves externo. No puedes usar una clave administrada de forma externa en Google Cloud sin otorgar primero el proyecto de Google Cloud acceso a la clave en tu administrador de claves externo. Puedes revocar este acceso en cualquier momento.
Administración de claves centralizada: Puedes administrar tus claves y políticas de acceso. desde una única interfaz de usuario, ya sea que los datos que protegen residen en en la nube o de forma local.

En todos los casos, la clave reside en el sistema externo y nunca se envía Google.

Puedes comunicarte con tu administrador de claves externo a través de Internet o a través de una nube privada virtual (VPC).

Cómo funciona Cloud EKM

Las versiones de claves de Cloud EKM constan de las siguientes partes:

Material de clave externa: el material de clave externa de un Cloud EKM es material criptográfico que se crea y almacena en tu EKM. Este material no sale de tu EKM y nunca se comparte con Google.
Referencia de clave: Cada versión de clave de Cloud EKM contiene una clave o una ruta de acceso a la clave. Este es un identificador único para el material de clave externa que usa Cloud EKM cuando solicita operaciones criptográficas la clave.
Material de clave interna: Cuando se crea una clave simétrica de Cloud EKM Cloud KMS crea material de clave adicional Cloud KMS, que nunca sale de Cloud KMS. El material de esta clave se usa como capa adicional de encriptación cuando se comunica con el EKM. Este material de clave interna no se aplica a las claves de firma asimétricas.

Para usar tus claves de Cloud EKM, este envía solicitudes para las operaciones criptográficas a tu EKM. Por ejemplo, para encriptar datos con un clave de encriptación simétrica, Cloud EKM primero encripta los datos usando el material de clave interno. Los datos encriptados se incluyen en una solicitud al EKM. El EKM une los datos encriptados en otra capa de encriptación usando el y, luego, muestra el texto cifrado resultante. Datos encriptados con una clave de Cloud EKM no se pueden desencriptar sin la clave externa y el material de clave interno.

Si tu organización habilitó Key Access Justifications, tu socio de administración de claves externo registra la justificación de acceso proporcionada y solo completa la solicitud para los códigos de motivos de justificación permitidos por el Política de Key Access Justifications en el socio de administración de claves externas.

La creación y administración de claves de Cloud EKM requiere los cambios correspondientes en Cloud KMS y EKM. Los cambios correspondientes se controlan de manera diferente para las claves externas administradas manualmente y las claves claves externas. Todas las claves externas a las que se accede a través de Internet administrada. Las claves externas a las que se accede mediante una red de VPC pueden administrarse según el modo de administración del EKM mediante una conexión de VPC. El modo de administración manual de EKM se usa para las claves administradas de forma manual. El El modo de administración de EKM de Cloud KMS se usa para claves externas coordinadas. Para para obtener más información sobre los modos de administración de EKM, consulta Acerca de claves y las claves externas coordinadas en esta página.

En el siguiente diagrama, se muestra cómo Cloud KMS encaja en la administración de claves model. En este diagrama, se usan Compute Engine y BigQuery como dos ejemplos: También puedes consultar la lista completa de servicios compatibles con Cloud EKM claves.

Diagrama que ilustra la encriptación y desencriptación con Cloud EKM

Puedes obtener información sobre las consideraciones y las restricciones cuando usas Cloud EKM.

Claves externas administradas de forma manual

En esta sección, se proporciona una descripción general de cómo funciona Cloud EKM con un con una clave externa administrada manualmente.

Puedes crear o usar una clave existente en un socio de administración de claves externo admitido de la aplicación. Esta clave tiene un URI único o ruta de acceso a la clave.
Le otorgas a tu proyecto de Google Cloud acceso para usar la clave, en el sistema de administración de claves externas.
En tu proyecto de Google Cloud, crea una clave de Cloud EKM con el URI o la ruta de la clave para la administrada de forma externa.
Las operaciones de mantenimiento, como la rotación de claves, se deben administrar de forma manual entre tu EKM y Cloud EKM. Por ejemplo, la rotación de la versión de clave o operaciones de destrucción de versiones de claves deben completarse directamente en tu EKM y en Cloud KMS.

Dentro de Google Cloud, la clave aparece junto a tus otras Claves de Cloud KMS y Cloud HSM, con nivel de protección EXTERNAL o EXTERNAL_VPC. La clave de Cloud EKM y la la clave de socio de administración de claves externas funcionan en conjunto para proteger tus datos. La clave externa material no se expone nunca a Google.

Claves externas coordinadas

Esta sección proporciona una descripción general de cómo funciona Cloud EKM con un una clave externa coordinada.

Configuras un EKM a través de una VPC conexión, Configurando el modo de administración de EKM en Cloud KMS. Durante la configuración, puedes debes autorizar tu EKM para acceder a tu red de VPC y autorizar tu Cuenta de servicio del proyecto de Google Cloud para acceder a tu espacio criptográfico tu EKM. Tu conexión EKM usa el nombre de host de tu EKM y una encriptación al espacio que identifica tus recursos dentro de tu EKM.
Creas una clave externa en Cloud KMS. Cuando creas una clave de Cloud EKM con un mediante una conexión de VPC con el modo de administración EKM de Cloud KMS habilitado, los siguientes pasos se realizan automáticamente:
1. Cloud EKM envía una solicitud de creación de clave a tu EKM.
2. Tu EKM crea el material de clave solicitado. Este material de clave externa permanecen en el EKM y nunca se envían a Google.
3. Tu EKM muestra una ruta de clave a Cloud EKM.
4. Cloud EKM crea tu versión de clave de Cloud EKM con el de la clave de acceso proporcionada por tu EKM.
Las operaciones de mantenimiento en claves externas coordinadas se pueden iniciar desde Cloud KMS. Por ejemplo, las claves externas coordinadas que se usan la criptografía simétrica se puede rotar automáticamente según un programa establecido. El la creación de nuevas versiones de claves se coordina en tu EKM Cloud EKM. También puedes activar la creación o destrucción de versiones de claves en tu EKM desde Cloud KMS con el La consola de Google Cloud, gcloud CLI, Cloud KMS la API o las bibliotecas cliente de Cloud KMS.

Dentro de Google Cloud, la clave aparece junto a tus otras Claves de Cloud KMS y Cloud HSM, con nivel de protección EXTERNAL_VPC. La clave de Cloud EKM y la clave del socio de administración de claves externas funcionan para proteger tus datos. El material de clave externa nunca se expone Google.

Administración de claves EKM desde Cloud KMS

EKM posibilita las claves externas coordinadas mediante conexiones de VPC que usan Administración de claves EKM desde Cloud KMS Si tu EKM admite el SDK de puedes habilitar la administración de claves EKM desde Cloud KMS para tu EKM mediante conexiones de VPC para crear claves externas coordinadas Con La administración de claves de EKM desde Cloud KMS está habilitada, Cloud EKM puede solicitar los siguientes cambios en tu EKM:

Crear una clave: Cuando creas una clave administrada de forma externa en Cloud KMS con un EKM compatible a través de una conexión de VPC Cloud EKM envía la solicitud de creación de la clave a tu EKM. Cuándo exitosa, tu EKM crea la nueva clave y el material de clave y devuelve el la ruta de acceso de la clave que Cloud EKM usará para acceder a la clave.
Rotar una clave: Cuando rotas una clave administrada de forma externa en Cloud KMS con un EKM compatible a través de una conexión de VPC Cloud EKM envía la solicitud de rotación a tu EKM. Si tiene éxito, tu EKM crea nuevo material de clave y devuelve la ruta de la clave para Cloud EKM que se usará para acceder a la versión de clave nueva.
Destruye una clave: Cuando destruyes una versión de clave de una clave administrada de forma externa. en Cloud KMS con un EKM compatible a través de una conexión de VPC Cloud KMS programa la destrucción de la versión de clave en Cloud KMS. Si la versión de clave no se restablece antes de la fecha para su destrucción, Cloud EKM destruye su parte del de tu clave de encriptación y envía una solicitud de destrucción a tu EKM.

Los datos encriptados con esta versión de clave no se pueden desencriptar después de la clave versión se destruye en Cloud KMS, incluso si el EKM aún no destruyó la versión de clave. Puedes ver si el EKM se destruyó la versión de la clave viendo los detalles de la clave en Cloud KMS.

Cuando las claves de tu EKM se administran desde Cloud KMS, aún reside en tu EKM. Google no puede realizar ninguna solicitud de administración de claves a tu sin permiso explícito. Google no puede cambiar los permisos ni las políticas de Key Access Justifications en tu sistema de administración de claves externas. Si revocas permisos de Google en tu EKM, se intentarán realizar operaciones de administración Cloud KMS falla.

Compatibilidad

Administradores de claves admitidos

Puede almacenar claves externas en los siguientes sistemas de administración de claves externas:

Se admite actualmente:
- Fortanix
- Futurex
- Thales
- Virtru

Servicios compatibles con CMEK con Cloud EKM

Los siguientes servicios admiten la integración con Cloud KMS para externas (Cloud EKM):

AlloyDB para PostgreSQL
Artifact Registry
Copia de seguridad para GKE
BigQuery
Bigtable
Cloud Composer
Cloud Data Fusion
Cloud Functions
API de Cloud Healthcare
Cloud Logging: Datos en el Enrutador de registros y Datos en el almacenamiento de Logging
Cloud Run
Cloud SQL
Cloud Storage
Cloud Tasks
Cloud Workstations
Compute Engine: Discos persistentes , Instantáneas , Imágenes personalizadas , y Imágenes de máquina
Contact Center AI Insights
Database Migration Service: Migraciones de MySQL: datos escritos en bases de datos , Migraciones a PostgreSQL: Datos escritos en bases de datos , Migraciones de PostgreSQL a AlloyDB: Datos escritos en bases de datos , y Datos en reposo de Oracle a PostgreSQL
Dataflow
Dataproc: Datos de clústeres de Dataproc en discos de VM y Datos sin servidores de Dataproc en discos de VM
Dataproc Metastore
Dialogflow CX
Document AI
Eventarc
Filestore
Firestore (Vista previa)
Google Distributed Cloud
Google Kubernetes Engine: Datos sobre discos de VM y Secretos de la capa de la aplicación
Looker (Google Cloud Core)
Memorystore para Redis
Migrate to Virtual Machines
Pub/Sub
Secret Manager
Secure Source Manager
Spanner
ID de interlocutor (DG restringida)
Speech-to-Text
Vertex AI
Instancias de Vertex AI Workbench
Workflows

Consideraciones

Cuando usas una clave de Cloud EKM, Google no controla el la disponibilidad de tu clave administrada de forma externa en el sistema de administración de claves externas. Si pierdes las claves que administras fuera de Google Cloud, Google no podrá recuperar tus datos.
Revisa los lineamientos sobre socios y regiones de administración de claves externas cuando elijas las ubicaciones para tus claves de Cloud EKM.
Revisa el Acuerdo de Nivel de Servicio (ANS) de Cloud EKM.
Comunicarse con un servicio externo a través de Internet puede generar problemas de confiabilidad, disponibilidad y latencia. Para aplicaciones con una baja tolerancia a estos tipos de riesgos, considera usar Cloud HSM o Cloud KMS para almacenar tu material de clave.
- Si no hay una clave externa disponible, Cloud KMS muestra FAILED_PRECONDITION y se proporcionan detalles en el PreconditionFailure detalle del error.
  
  Habilita los registros de auditoría de datos para mantener un registro de todos errores relacionados con Cloud EKM. Los mensajes de error contienen detalles específica para ayudar a identificar la fuente del error. Un ejemplo de un un error común es cuando un socio de administración de claves externas no responde a una solicitud. dentro de un plazo razonable.
- Necesitas un contrato de asistencia con el socio de administración de claves externas. La asistencia de Google Cloud solo puede ayudar con problemas en servicios de Google Cloud y no puede brindar asistencia directa con los problemas sistemas externos. A veces, debes trabajar con apoyo de ambos lados para solucionar problemas de interoperabilidad.
Cloud EKM se puede usar con Bare Metal Rack HSM para crear una solución de HSM de un solo usuario integrada Cloud KMS. Para obtener más información, elige un socio de Cloud EKM que admita HSM de usuario único y revisará el requisitos para los HSM de Bare Metal Rack
Habilita el registro de auditoría en tu administrador de claves externo para captar el acceso y uso a tus claves de EKM.

Precaución: Cuando usas claves de Cloud EKM por Internet, hay una de que la clave deje de estar disponible. Según los servicios que uses se pueden producir errores fatales o datos inaccesibles. Por ejemplo, usas una clave CMEK externa para encriptar la capa de aplicación de Google Kubernetes Engine tus nodos pueden dejar de estar disponibles si no pueden desencriptar el Secret. La imposibilidad de acceder a la clave externa también puede causar datos permanentes pérdida de reputación y de talento. Por ejemplo, si la clave CMEK que se usa para encriptar una base de datos de Spanner sigue sin estar disponible durante más de 30 días consecutivos, Spanner borra automáticamente la base de datos. Cuando la versión de clave actual no es disponibles, no puedes recuperar los datos rotándolos a una nueva versión de clave. Para una mejor disponibilidad, considera usar Cloud EKM mediante VPC o Claves de Cloud HSM

Restricciones

No se admite la rotación automática.
Cuando creas una clave de Cloud EKM con la API o el Google Cloud CLI, no debe tener una versión de clave inicial. Esto no aplica a las claves de Cloud EKM creadas con la consola de Google Cloud.
Las operaciones de Cloud EKM están sujetas a cuotas específicas, además de las cuotas de las operaciones de Cloud KMS.

Claves de encriptación simétricas

Las claves de encriptación simétricas solo son compatibles con lo siguiente:
- Claves de encriptación administradas por el cliente (CMEK) en servicios de integración compatibles.
- Encriptación y desencriptación simétricas directamente con Cloud KMS.
Los datos que se encriptan con Cloud EKM a través de un la clave no se puede desencriptar sin usar Cloud EKM.

Claves de firma asimétricas

Las claves de firma asimétricas se limitan a un subconjunto de Cloud KMS con algoritmos criptográficos eficaces.
Las claves de firma asimétricas solo son compatibles con los siguientes elementos:
- Firma asimétrica directamente con Cloud KMS.
- Clave de firma personalizada con Aprobación de acceso.
Una vez que se configura un algoritmo de firma asimétrica en una clave de Cloud EKM, no se puede modificar.
La firma se debe realizar en el campo data.

Administradores y regiones de claves externas

Cloud EKM debe poder acceder a tus claves rápidamente para evitar un error. Cuando crees una clave de Cloud EKM, elige un ubicación de Google Cloud que se encuentra geográficamente cerca de la ubicación de la la clave de socio de administración de claves externas. Consulta la documentación del socio para obtener detalles al respecto. la disponibilidad de ubicación del socio.

Cloud EKM a través de Internet: disponible en cualquier servicio de Google Cloud locations compatibles con Cloud KMS, excepto global y nam-eur-asia1.
Cloud EKM a través de una VPC: solo disponible en ubicaciones regionales admitidas para Cloud KMS

Consulta la documentación de tu socio de administración de claves externas para determinar qué ubicaciones admiten.

Uso multirregional

Cuando usas una clave administrada de forma externa con una multirregión, los metadatos de la está disponible en varios centros de datos de la multirregión. Este metadato incluye la información necesaria para comunicarse con el socio de administración de claves externo. Si el conmutan por error de un centro de datos a otro dentro de la multirregión, el centro de datos nuevo inicia solicitudes clave. Es posible que el nuevo centro de datos tenga características de la red respecto del centro de datos anterior, incluida la distancia el socio de administración de claves externo y la probabilidad de que se agote el tiempo de espera. Recomendamos usar solo un multirregional con Cloud EKM si el administrador de claves externo proporciona baja latencia a todas las áreas de esa multirregión.

EKM administrado por el socio

EKM administrado por socios te permite usar Cloud EKM a través de un soberano socio que administra tu sistema EKM por ti. Con EKM administrado por socios, tus socio crea y administra las claves que usted usar en Cloud EKM. El socio se asegura de que tu EKM cumpla con soberanía de los datos.

Cuando te incorporas a un socio soberano, este aprovisiona recursos en Google Cloud y tu EKM. Estos recursos incluyen un bucket de Cloud KMS proyecto para administrar tus claves de Cloud EKM y un EKM a través de una conexión de VPC para la administración de claves EKM desde Cloud KMS. Tu socio crea recursos en Ubicaciones de Google Cloud según tus requisitos de residencia de datos.

Cada clave de Cloud EKM incluye metadatos de Cloud KMS, que permiten que Cloud EKM envíe solicitudes a tu EKM para realizar operaciones criptográficas con el material de clave externo que nunca salga de tu EKM. Las claves simétricas de Cloud EKM también incluyen Material de clave interna de Cloud KMS que nunca sale de Google Cloud Obtén más información sobre los lados interno y externo de Cloud EKM consulta Cómo funciona Cloud EKM en esta página.

Para obtener más información sobre el EKM administrado por socios, consulta Configura el administrador de socios Cloud KMS

Supervisa el uso de Cloud EKM

Puedes usar Cloud Monitoring para supervisar tu conexión de EKM. Lo siguiente pueden ayudarte a comprender tu uso de EKM:

cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count

Para obtener más información sobre estas métricas, consulta Métricas de cloudkms. Puedes crear un panel para hacer un seguimiento de estas métricas. Aprende a configurar un panel para supervisar tu conexión de EKM, consulta Supervisa el uso de EKM.

Obtén asistencia

Si tienes un problema con Cloud EKM, comunícate con el equipo de asistencia.

¿Qué sigue?

Configura Cloud EKM a través de Internet.
Crea una conexión de EKM para usar EKM a través de VPC.
Comienza a usar la API.
Lee la Referencia de la API de Cloud KMS.
Obtén más información sobre Logging en Cloud KMS. Logging se basa en operaciones y se aplica a claves con niveles de protección de software y HSM.
Consulta Arquitecturas de referencia para una implementación confiable de los servicios de Cloud EKM para obtener recomendaciones sobre la configuración de un servicio de External Key Manager (EKM) de implementación integrada en Cloud EKM.