Cloud External Key Manager

Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Este tema proporciona una descripción general de Cloud External Key Manager (Cloud EKM).

Terminología

  • Administrador de claves externas (EKM)

    El administrador de claves que se usa fuera de Google Cloud para administrar tus claves.

  • Cloud External Key Manager (Cloud EKM)

    Un servicio de Google Cloud para usar tus claves externas administradas dentro de un EKM compatible.

  • Cloud EKM a través de Internet

    Una versión de Cloud EKM en la que Google Cloud se comunica con tu administrador de claves externo a través de Internet.

  • Cloud EKM a través de una VPC

    Una versión de Cloud EKM en la que Google Cloud se comunica con tu administrador de claves externo a través de una nube privada virtual (VPC). Para obtener más información, consulta Descripción general de la red de VPC.

Descripción general

Con Cloud EKM, puedes usar las claves que administras dentro de un socio de administración de claves externo compatible para proteger los datos en Google Cloud. Puedes proteger datos en reposo en servicios de integración de CMEK compatibles o llamar directamente a la API de Cloud Key Management Service.

Cloud EKM ofrece varios beneficios:

  • Procedencia de la clave: tú controlas la ubicación y la distribución de las claves administradas de forma externa. Las claves administradas de forma externa nunca se almacenan en caché ni se almacenan en Google Cloud. En su lugar, Cloud EKM se comunica directamente con el socio de administración de claves externo para cada solicitud.

  • Control de acceso: administras el acceso a tus claves administradas de forma externa. Antes de poder usar una clave administrada de forma externa para encriptar o desencriptar datos en Google Cloud, debes otorgar acceso al proyecto de Google Cloud para usar la clave. Puedes revocar este acceso en cualquier momento.

  • Administración de claves centralizada: puedes administrar tus claves y políticas de acceso desde una ubicación y una interfaz de usuario únicas, ya sea que los datos que protejan residen en la nube o en tus instalaciones locales.

En todos los casos, la clave reside en el sistema externo y nunca se envía a Google.

Puedes comunicarte con tu administrador de claves externo a través de Internet o a través de una nube privada virtual (VPC).

Administradores de claves compatibles

Puede almacenar claves externas en los siguientes sistemas de administración de claves externas:

Servicios que admiten CMEK con Cloud EKM

Los siguientes servicios admiten la integración con Cloud KMS para claves externas (Cloud EKM):

Cómo funciona

En esta sección, se proporciona una descripción general de cómo funciona Cloud EKM con una clave externa. También puedes seguir las instrucciones paso a paso para crear una clave de Cloud EKM a la que se accede a través de Internet o crear una clave de Cloud EKM a la que se acceda mediante una VPC.

  1. Primero, crea o usa una clave existente en un sistema de socios de administración de claves externo compatible. Esta clave tiene un URI o una ruta de acceso de clave únicos.
  2. A continuación, debes otorgar a tu proyecto de Google Cloud acceso para usar la clave en el sistema de administración de claves externas.
  3. En tu proyecto de Google Cloud, creas una clave de Cloud EKM con el URI o la ruta de acceso de la clave administrada de forma externa.

Dentro de Google Cloud, la clave aparece junto con tus otras claves de Cloud KMS y Cloud HSM, con el nivel de protección EXTERNAL o EXTERNAL_VPC. La clave de Cloud EKM y la clave de socio de administración de claves externa trabajan juntas para proteger tus datos. La clave externa nunca se expone a Google.

En el siguiente diagrama, se muestra cómo Cloud KMS se ajusta al modelo de administración de claves (mediante Compute Engine y BigQuery como dos ejemplos, la lista de servicios admitidos completa se encuentra aquí).

Diagrama que ilustra la encriptación y desencriptación con Cloud EKM

Puedes obtener información sobre las consideraciones y las restricciones cuando usas Cloud EKM.

Consideraciones

  • Cuando usas una clave de Cloud EKM, Google no tiene control sobre la disponibilidad de tu clave administrada de forma externa en el sistema de socios de administración de claves externas. Google no puede recuperar tus datos si pierdes las claves que administras fuera de Google Cloud.

  • Revisa los lineamientos sobre socios y regiones de administración de claves externas cuando elijas las ubicaciones para tus claves de Cloud EKM.

  • Revisa el Acuerdo de Nivel de Servicio (ANS) de Cloud EKM.

  • Comunicarse con un servicio externo a través de Internet puede generar problemas de confiabilidad, disponibilidad y latencia. Para aplicaciones con baja tolerancia a estos tipos de riesgos, considera usar Cloud HSM o Cloud KMS a fin de almacenar tu material de clave.

    • Si una clave externa no está disponible, Cloud KMS muestra un error FAILED_PRECONDITION y proporciona detalles en el detalle del error PreconditionFailure.

      Habilita el registro de auditoría de datos para mantener un registro de todos los errores relacionados con Cloud EKM. Los mensajes de error contienen información detallada para ayudar a identificar el origen del error. Un ejemplo de un error común es cuando un socio externo de administración de claves no responde a una solicitud en un plazo razonable.

    • Necesita un contrato de asistencia con el socio externo para la administración de claves. La asistencia de Google Cloud solo puede brindar asistencia para problemas en los servicios de Google Cloud y no con problemas de sistemas externos. Es posible que debas trabajar con la asistencia de ambos lados para solucionar problemas de interoperabilidad.

  • Cloud EKM se puede usar con HSM privado alojado para crear una solución de HSM de un solo usuario integrada en Cloud KMS. Elige un socio de Cloud EKM que admita HSM de un solo usuario y revisa los requisitos en HSM privado alojado para obtener más información.

Restricciones

  • La rotación automática no es compatible.
  • Cuando creas una clave de Cloud EKM con la API o Google Cloud CLI, no debe tener una versión de clave inicial. Esto no se aplica a las claves de Cloud EKM creadas con Google Cloud Console.
  • Las operaciones de Cloud EKM están sujetas a cuotas específicas, además de las cuotas de las operaciones de Cloud KMS.

Claves de encriptación simétrica

Claves de firma asimétricas

Administradores y regiones de claves externas

Cloud EKM debe poder acceder a tus claves rápidamente para evitar un error. Cuando crees una clave de Cloud EKM, elige una ubicación de Google Cloud que se encuentre geográficamente cerca de la ubicación de la clave de socio de administración de claves externa. Consulta la documentación del socio para obtener detalles sobre la disponibilidad de la ubicación de ese socio.

  • Cloud EKM a través de Internet: disponible en cualquier ubicación de Google Cloud compatible con Cloud KMS, excepto global
  • Cloud EKM a través de una VPC: solo disponible en ubicaciones regionales compatibles con Cloud KMS

Consulta la documentación de tu socio de administración de claves externas para determinar qué ubicaciones admiten.

Uso multirregional

Cuando usas una clave administrada de forma externa con una multirregión, los metadatos de la clave, incluida la información necesaria para comunicarse con el socio externo, están disponibles en varios centros de datos dentro de la multirregión. Si tu aplicación se conmuta por error de un centro de datos a otro dentro de la multirregión, el centro de datos nuevo inicia solicitudes de claves. El centro de datos nuevo puede tener características de red diferentes a las del centro de datos anterior, incluida la distancia desde el socio de administración de claves externo y la probabilidad de que se agote el tiempo de espera. Recomendamos usar solo una multirregión con Cloud EKM si el administrador de claves externo elegido proporciona una latencia baja a todas las áreas de esa multirregión.

¿Qué sigue?

Obtén asistencia

Si tienes un problema con Cloud EKM, comunícate con el equipo de asistencia.