Cloud External Key Manager

Este tema proporciona una descripción general de Cloud External Key Manager (Cloud EKM). Para crear y administrar claves externas, consulta Administra claves de Cloud EKM.

Descripción general

Con Cloud EKM, puedes usar las claves que administras dentro de un socio de administración de claves externo compatible para proteger los datos en Google Cloud. Puedes proteger los datos en reposo en los servicios de integración de CMEK compatibles o llamando directamente a la API de Cloud Key Management Service.

Cloud EKM ofrece varios beneficios:

  • Procedencia de la clave: tú controlas la ubicación y la distribución de las claves administradas de forma externa. Las claves administradas de forma externa nunca se almacenan en caché ni se almacenan en Google Cloud. En su lugar, Cloud EKM se comunica directamente con el socio de administración de claves externo para cada solicitud.

  • Control de acceso: Administra el acceso a tus claves administradas de forma externa. Antes de poder usar una clave administrada de forma externa para encriptar o desencriptar datos en Google Cloud, debes otorgar acceso al proyecto de Google Cloud para usarla. Puedes revocar este acceso en cualquier momento.

  • Administración de claves centralizada: puedes administrar tus claves y políticas de acceso desde una ubicación y una interfaz de usuario únicas, ya sea que los datos que protejan residen en la nube o en tus instalaciones locales.

En todos los casos, la clave reside en el sistema externo y nunca se envía a Google.

Administradores de claves compatibles

Puede almacenar claves externas en los siguientes sistemas de administración de claves externas:

Servicios de integración de CMEK compatibles

Cómo funciona

En esta sección, se proporciona una descripción general de cómo funciona Cloud EKM con una clave externa. También puedes seguir las instrucciones paso a paso para crear una clave de Cloud EKM.

  1. Primero, crea o usa una clave existente en un sistema de socios de administración de claves externas compatible. Esta clave tiene un URI único.
  2. A continuación, debes otorgar a tu proyecto de Google Cloud acceso para usar la clave en el sistema de administración de claves externas.
  3. En el proyecto de Google Cloud, crea una clave de Cloud EKM con el URI para la clave administrada de forma externa.

Dentro de Google Cloud, la clave aparece junto a tus otras claves de Cloud KMS y Cloud HSM, con nivel de protección EXTERNAL. La clave de Cloud EKM y la clave de socio de administración de claves externa trabajan en conjunto para proteger tus datos. La clave externa nunca se expone a Google.

En el siguiente diagrama, se muestra cómo Cloud KMS se ajusta al modelo de administración de claves. (con Compute Engine y BigQuery como dos ejemplos, la lista completa de servicios admitidos se encuentra aquí)

Diagrama que ilustra la encriptación y desencriptación con Cloud EKM

Puedes obtener información sobre las consideraciones y las restricciones cuando usas Cloud EKM.

¿Qué sigue?

Consideraciones

  • Cuando usas una clave de Cloud EKM, Google no tiene control sobre la disponibilidad de tu clave administrada de forma externa en el sistema de socios de administración de claves externas. Google no puede recuperar tus datos si pierdes las claves que administras fuera de Google Cloud.

  • Revisa los lineamientos sobre socios y regiones de administración de claves externas cuando elijas las ubicaciones para tus claves de Cloud EKM.

  • Revisa el Acuerdo de Nivel de Servicio (ANS) de Cloud EKM.

  • Comunicarse con un servicio externo a través de Internet puede causar problemas de confiabilidad, disponibilidad y latencia. Para aplicaciones con baja tolerancia a estos tipos de riesgos, considera usar Cloud HSM o Cloud KMS a fin de almacenar tu material de clave.

    • Si una clave externa no está disponible, Cloud KMS muestra un error FAILED_PRECONDITION y proporciona detalles en el detalle de error PreconditionFailure.

      Habilita el registro de auditoría de datos para mantener un registro de todos los errores relacionados con Cloud EKM. Los mensajes de error contienen información detallada para ayudar a identificar la fuente del error. Un ejemplo de un error común es cuando un socio de administración de claves externo no responde a una solicitud dentro de un plazo razonable.

    • Necesitas un contrato de asistencia con el socio de administración de claves externas. La asistencia de Google Cloud solo puede proporcionar asistencia para los problemas en los servicios de Google Cloud y no puede brindar asistencia directa a problemas en sistemas externos. Es posible que debas trabajar con ambos lados para solucionar problemas de interoperabilidad.

Restricciones

  • Solo se admiten las claves simétricas, y solo para los siguientes elementos:
  • Los datos que Cloud EKM encripta con una clave administrada de forma externa no se pueden desencriptar sin usar Cloud EKM.
  • La rotación automática no es compatible.
  • Cuando creas una clave de Cloud EKM con la API o la herramienta de línea de comandos de gcloud, no debe tener una versión de clave inicial. Esto no se aplica a las claves de Cloud EKM que se crearon mediante Cloud Console.
  • Las operaciones de Cloud EKM están sujetas a cuotas específicas, además de las cuotas de las operaciones de Cloud KMS.

Administradores y regiones de claves externas

Cloud EKM debe poder alcanzar tus claves rápidamente para evitar un error. Cuando crees una clave de Cloud EKM, elige una ubicación de Google Cloud que esté geográficamente cercana a la ubicación de la clave externa de administración de claves. Consulta la documentación de ese socio para obtener detalles sobre la disponibilidad de la ubicación de ese socio.

Puedes usar Cloud EKM en cualquier ubicación de Google Cloud compatible con Cloud KMS, excepto global.

Consulta la documentación de tu socio de administración de claves externas para determinar qué ubicaciones admiten.

Uso de varias regiones

Cuando usas una clave administrada de forma externa con una multirregión, los metadatos de la clave, incluida la información necesaria para comunicarse con el socio de administración de claves externa, están disponibles en varios centros de datos dentro de varias regiones. Si tu aplicación falla de un centro de datos a otro dentro de la multirregión, el centro de datos nuevo inicia solicitudes clave. El nuevo centro de datos puede tener características de red diferentes del centro de datos anterior, incluida la distancia del socio de administración de claves externo y la probabilidad de tiempos de espera. Recomendamos usar multirregiones con Cloud EKM si el socio de administración de claves externo proporciona un nivel de cobertura que corresponde a la cobertura de las multirregiones de Cloud EKM disponibles.

Adiciones de API para Cloud EKM

Para admitir Cloud EKM, se realizaron los siguientes cambios en la API de Cloud Key Management Service: