Preguntas frecuentes de Cloud KMS

Acerca de Cloud KMS

¿Qué es Cloud KMS y para qué sirve?

Cloud KMS es un servicio de administración de claves alojado en la nube que te permite administrar la encriptación de los servicios en la nube de la misma manera que para los servicios locales. Te permite generar, usar, rotar y destruir claves criptográficas. Cloud KMS está integrado en Cloud Identity and Access Management y en Cloud Audit Logging para que puedas administrar permisos de claves individuales y supervisar cómo se usan.

¿Puedo almacenar secretos?

Con Cloud KMS, puedes encriptar los secretos almacenados en otra ubicación. Por ejemplo, puedes almacenar un secreto en un depósito de Cloud Storage. Consulta Almacena secretos para obtener información detallada.

¿Existe un ANS?

Sí, consulta el Acuerdo de Nivel de Servicio de Cloud KMS.

¿Cómo puedo proporcionar comentarios sobre el producto?

Comunícate con el equipo de Ingeniería a través de cloudkms-feedback@google.com.

¿Cómo puedo proporcionar comentarios sobre la documentación?

Cuando visualices la documentación de Cloud KMS, haz clic en Enviar comentarios cerca de la parte superior derecha de la página para abrir un formulario de comentarios.

¿Qué opciones tengo si necesito ayuda?

Invitamos a nuestros usuarios a publicar sus preguntas en Stack Overflow. Nuestro equipo, junto con la comunidad activa de Stack Overflow, supervisa las publicaciones del sitio y responde las preguntas que tienen la etiqueta google-cloud-kms.

También ofrecemos diversos niveles de asistencia según tus necesidades. Consulta nuestros paquetes de asistencia de Cloud Platform para ver más opciones de asistencia.

¿Cloud KMS tiene cuotas?

Sí, Cloud KMS tiene cuotas para las siguientes solicitudes:

  • Solicitudes de lectura: La cantidad de solicitudes de lectura de claves, llaveros de claves y versiones de clave por minuto.

  • Solicitudes de escritura: La cantidad de solicitudes de escritura de claves, llaveros de claves y versiones de clave por minuto.

  • Solicitudes criptográficas: La cantidad de solicitudes de encriptación y desencriptación por minuto.

¿Cómo puedo saber cuánta cuota estoy usando o cuánto me queda?

Puedes ver la cuota de tu proyecto actual en la página Cuotas de Cloud KMS de Google Cloud Platform Console.

¿Cómo puedo solicitar más cuota?

Puedes aumentar tus cuotas automáticamente (hasta cierto límite) mediante la página Cuotas de Cloud KMS de GCP Console. Si deseas aumentar aún más la cuota, envía una solicitud de aumento.

¿Existe un límite para la cantidad de claves o recursos de Cloud KMS que puedo tener?

No. La cantidad de claves, llaveros de clave y versiones de clave es ilimitada. Además, cada llavero de claves puede tener una cantidad ilimitada de claves, y cada clave puede tener una cantidad ilimitada de versiones de clave.

¿En qué países puedo usar Cloud KMS?

Puedes usar Cloud KMS en cualquier país donde se admitan los servicios de Google Cloud Platform.

Claves

¿Qué tipo de claves genera Cloud KMS?

Consulta Algoritmos y propósitos de clave.

¿Las claves están respaldadas por un HSM?

Las claves que tienen el nivel de protección HSM están respaldadas por un módulo de seguridad de hardware (HSM). Por el contrario, las claves que tienen el nivel de protección SOFTWARE, no.

¿Cómo se genera el material de claves?

Las claves protegidas por software de Cloud KMS se generan mediante la biblioteca criptográfica común de Google con un generador de números aleatorios (RNG) compilado por Google. En el caso de las claves protegidas por un HSM, el mismo HSM es el que las genera de manera segura, en conformidad con el estándar FIPS 140-2 L3.

¿Qué biblioteca se usa para generar el material de claves?

Las claves de Cloud KMS se generan mediante la biblioteca criptográfica común de Google, que implementa algoritmos criptográficos con BoringSSL. Consulta Biblioteca criptográfica común de Google para obtener más información.

¿Las claves se limitan a una ubicación geográfica?

Las claves pertenecen a una región, pero no se limitan a ella. Consulta Ubicaciones de Cloud KMS para obtener más información.

¿Puedo borrar las claves de manera automática?

No.

¿Puedo rotar las claves de manera automática?

En el caso de las claves que tengan el propósito de clave ENCRYPT_DECRYPT, sí. Consulta Rotación automática: Configura el período de rotación de una clave.

En el caso de las claves que tengan el propósito de clave ASYMMETRIC_SIGN o ASYMMETRIC_DECRYPT, no. Consulta Rotación de clave asimétrica para conocer la razón.

¿La rotación de claves vuelve a encriptar los datos? De no ser así, ¿por qué no?

La rotación de claves no vuelve a encriptar los datos de manera automática. Cuando desencriptas los datos, Cloud KMS sabe qué versión de clave se debe usar para el proceso. Siempre que la versión de clave no esté inhabilitada o destruida, Cloud KMS podrá usarla para desencriptar los datos.

¿Por qué no puedo borrar las claves o los llaveros de claves?

Los recursos de claves y llaveros de claves NO se pueden borrar a fin de evitar los conflictos de nombres de recursos. Las versiones de clave tampoco se pueden borrar, pero el material de clave que contienen se puede destruir a fin de que los recursos no puedan volver a usarse. Consulta Ciclo de vida de los objetos para obtener más información.

¿Puedo exportar las claves?

No. El diseño de Cloud KMS impide que se exporten las claves. Todas las operaciones de encriptación y desencriptación que se realicen con estas claves se deben llevar a cabo dentro de Cloud KMS. Esto ayuda a evitar filtraciones y usos inadecuados, y permite que Cloud KMS genere un rastro de auditoría cuando se usan las claves.

¿Puedo importar claves?

No, no es posible importar claves a Cloud KMS.

Sin embargo, los siguientes productos son compatibles con la funcionalidad de clave de encriptación proporcionada por el cliente (CSEK) de manera independiente de Cloud KMS.

Producto Tema de CSEK
Compute Engine Encriptar discos con claves de encriptación proporcionadas por el cliente
Cloud Storage Usar claves de encriptación proporcionadas por el cliente

¿Por cuánto tiempo puedo recuperar una versión de clave destruida?

Cuando programas la destrucción de una versión de clave, tienes un plazo de 24 horas antes de que se destruya realmente. Durante ese período, puedes restablecer la versión de clave si es necesario.

¿Puedo modificar el período de 24 horas antes de la destrucción programada de una clave?

No.

¿Cuánto tardan en aplicarse las modificaciones de las claves?

Algunas operaciones que se realizan con los recursos de Cloud KMS tienen coherencia sólida, mientras que otras tienen coherencia eventual, por lo que pueden tardar hasta 3 horas en propagarse. Consulta Coherencia de los recursos de Cloud KMS para obtener más detalles.

¿Por qué mi clave tiene el estado PENDING_GENERATION?

Debido al costo en términos de CPU de generar el material de claves, la creación de una versión de clave asimétrica puede tardar algunos minutos. Las versiones de clave protegidas por un módulo de seguridad de hardware (HSM) también tardan un poco. Cuando una versión de clave creada recientemente está lista, su estado cambia de manera automática a ENABLED.

Autorización y autenticación

¿Cómo puedo autenticar con la API de Cloud KMS?

El método de autenticación de los clientes puede variar un poco en función de la plataforma en que se ejecuta el código. Consulta Accede a la API para obtener más información.

¿Qué funciones de Cloud IAM debo usar?

A fin de aplicar el principio del mínimo privilegio, asegúrate de que las cuentas de usuario y servicio de tu organización solo tengan los permisos fundamentales para realizar sus funciones esperadas. Consulta Separación de obligaciones para obtener más información.

¿Cuánto tardan en quitarse los permisos de Cloud IAM?

La eliminación de un permiso debería aplicarse en menos de una hora.

Varios

¿Qué son los datos autenticados adicionales y cuándo puedo usarlos?

Los datos autenticados adicionales (AAD) son cualquier string que pasas a Cloud KMS como parte de una solicitud de encriptación o desencriptación. Los AAD se usan como una comprobación de integridad y pueden ayudar a proteger los datos de un ataque de engaño de aplicación delegada. Consulta Datos autenticados adicionales para obtener más información.

¿Los registros de acceso a los datos están habilitados en la configuración predeterminada? ¿Cómo los habilito?

Los registros de acceso a los datos no están habilitados en la configuración predeterminada. Consulta Habilita los registros de acceso a los datos para habilitarlos.

¿Cuál es la relación entre las claves de Cloud KMS y las claves de cuentas de servicio?

Las claves de cuentas de servicio se usan para la autenticación entre servicios dentro de GCP. Las claves de cuentas de servicios no tienen ninguna relación con las claves de Cloud KMS.

¿Cuál es la relación entre las claves de Cloud KMS y las claves de API?

Las claves de API son strings con encriptación sencilla que se pueden usar en las llamadas a ciertas API que no necesitan acceder a datos privados del usuario. Estas claves se usan para realizar un seguimiento de las solicitudes a la API asociadas a tu proyecto a fin de calcular la cuota y la facturación. Las claves de API no tienen ninguna relación con las claves de Cloud KMS.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Documentación de Cloud KMS