Acerca de Cloud KMS
¿Qué es Cloud KMS y para qué sirve?
Cloud Key Management Service (Cloud KMS) es un servicio de administración de claves alojado en la nube que te permite administrar la encriptación de tus servicios de nube de la misma manera que lo haces en tus instalaciones locales. Te permite generar, usar, rotar y destruir claves criptográficas. Cloud KMS está integrado en Identity and Access Management (IAM) y en Cloud Audit Logs para que puedas administrar permisos en claves individuales y supervisar cómo se usan.
¿Puedo almacenar secretos?
Cloud KMS almacena claves y metadatos sobre claves y no tiene una API de almacenamiento de datos general. Se recomienda usar el Administrador de secretos para almacenar y acceder a datos sensibles, y usarlos en Google Cloud.
¿Existe un ANS?
Sí, consulta el Acuerdo de Nivel de Servicio de Cloud KMS.
¿Cómo puedo proporcionar comentarios sobre el producto?
Comunícate con el equipo de Ingeniería a través de cloudkms-feedback@google.com.
¿Cómo puedo proporcionar comentarios sobre la documentación?
Cuando visualices la documentación de Cloud KMS, haz clic en Enviar comentarios cerca de la parte superior derecha de la página para abrir un formulario de comentarios.
¿Qué opciones tengo si necesito ayuda?
Invitamos a nuestros usuarios a publicar sus preguntas en Stack Overflow. Nuestro equipo, junto con la comunidad activa de Stack Overflow, supervisa las publicaciones en el sitio y responde las preguntas que tienen la etiqueta google-cloud-kms.
También ofrecemos diversos niveles de asistencia según tus necesidades. Para obtener más opciones de asistencia, consulta nuestros Paquetes de asistencia de Google Cloud.
¿Cloud KMS tiene cuotas?
Sí. Para obtener información sobre las cuotas, incluida la visualización o la solicitud de cuotas adicionales, consulta Cuotas de Cloud KMS.
No hay un límite en la cantidad de claves, llaveros de claves o versiones de claves. Además, tampoco hay un límite en la cantidad de claves por llavero y versiones por clave.
¿En qué países puedo usar Cloud KMS?
Puedes usar Cloud KMS en cualquier país donde se admitan los servicios de Google Cloud.
Keys
¿Qué tipo de claves genera Cloud KMS?
Consulta Algoritmos y propósitos de clave.
¿Las claves se almacenan en HSM?
Las claves con nivel de protección HSM se almacenan en un módulo de seguridad de hardware (HSM).
Las claves con nivel de protección SOFTWARE se almacenan en software.
Una clave respaldada por HSM nunca funciona fuera de un HSM.
¿Con qué estándares cumplen las claves?
Las claves generadas en Cloud KMS y las operaciones criptográficas que se realizan con esas claves cumplen con la publicación de los Estándares federales de procesamiento de la información (FIPS) Requisitos de seguridad para los módulos criptográficos 140-2.
Las claves generadas con nivel de protección
SOFTWARE(y las operaciones criptográficas realizadas con ellas) cumplen con el nivel 1 del estándar FIPS 140-2.Las claves con nivel de protección
HSM(y las operaciones criptográficas realizadas con ellas) cumplen con el nivel 3 del estándar FIPS 140-2.En el caso de las claves que se generan fuera de Cloud KMS y luego se importan, los clientes que tienen requisitos de FIPS son responsables de garantizar que sus claves se generen de acuerdo con FIPS.
¿Cómo se genera el material de claves?
Las claves protegidas por software de Cloud KMS se generan mediante la biblioteca criptográfica común de Google con un generador de números aleatorios (RNG) compilado por Google. En el caso de las claves protegidas por un HSM, el mismo HSM es el que las genera de manera segura, en conformidad con el estándar FIPS 140-2 nivel 3.
¿Qué biblioteca se usa para generar el material de claves?
Las claves de Cloud KMS se generan con la biblioteca criptográfica común de Google, que implementa algoritmos criptográficos con BoringSSL. Para obtener más información, consulta la biblioteca criptográfica común de Google.
¿Las claves se limitan a una ubicación geográfica?
Las claves pertenecen a una región, pero no se limitan a ella. Consulta Ubicaciones de Cloud KMS para obtener más información.
¿Puedo borrar las claves de manera automática?
No.
¿Puedo rotar las claves de manera automática?
Para claves que se usan en la encriptación simétrica, sí se puede. Consulta Rotación automática: Configura el período de rotación de una clave.
En el caso de las claves que se usan para la encriptación asimétrica o la firma asimétrica, no se puede. Para obtener más información, consulta Consideraciones para la rotación de clave asimétrica.
¿La rotación de claves vuelve a encriptar los datos? De no ser así, ¿por qué no?
La rotación de claves no vuelve a encriptar los datos de manera automática. Cuando desencriptas los datos, Cloud KMS sabe qué versión de clave se debe usar para el proceso. Siempre que la versión de la clave no esté inhabilitada o destruida, Cloud KMS puede desencriptar los datos protegidos con esa clave.
¿Por qué no puedo borrar las claves o los llaveros de claves?
Los recursos de claves y llaveros de claves NO se pueden borrar a fin de evitar los conflictos de nombres de recursos. Las versiones de clave tampoco se pueden borrar, pero el material de clave que contienen se puede destruir a fin de que los recursos no puedan volver a usarse. Consulta Ciclo de vida de los objetos para obtener más información. La facturación se basa en la cantidad de versiones de claves activas. Si destruyes todo el material de las versiones de claves activas, no se te cobrará por las claves, los llaveros de claves y las versiones de claves que queden.
¿Puedo exportar las claves?
No. El diseño de Cloud KMS impide que se exporten las claves. Toda encriptación y desencriptación con estas claves se debe realizar dentro de Cloud KMS. Esto ayuda a evitar filtraciones y usos inadecuados, y permite que Cloud KMS genere un rastro de auditoría cuando se usan las claves.
¿Puedo importar claves?
Sí. Solo puedes importar a claves con un nivel de protección HSM o SOFTWARE.
Para obtener más información, consulta Importa una clave.
Los siguientes productos son compatibles con la funcionalidad de clave de encriptación proporcionada por el cliente (CSEK) de manera independiente de Cloud KMS.
| Producto | Tema de CSEK |
|---|---|
| Compute Engine | Encripta discos con claves de encriptación proporcionadas por el cliente |
| Cloud Storage | Usa claves de encriptación proporcionadas por el cliente |
¿Por cuánto tiempo puedo recuperar una versión de clave destruida?
Después de programar la destrucción de una versión de clave, tienes un período predeterminado de 24 horas antes de que se destruya realmente. El período antes de que se destruya una versión de clave es configurable. Durante ese tiempo, puedes restablecer la versión de clave si es necesario.
¿Puedo modificar el período de 24 horas antes de la destrucción programada de una clave?
Sí, puedes configure el tiempo que transcurre antes de que se destruya la clave. Ten en cuenta que puedes configurar la duración solo en el momento de la creación de la clave.
¿Cuánto tardan en aplicarse las modificaciones de las claves?
Algunas operaciones que se realizan con los recursos de Cloud KMS tienen coherencia sólida, mientras que otras tienen coherencia eventual, por lo que pueden tardar hasta 3 horas en propagarse. Consulta Coherencia de los recursos de Cloud KMS para obtener más detalles.
¿Por qué mi clave tiene el estado PENDING_GENERATION?
Debido al costo de CPU de generar el material de claves, la creación de una versión de clave de encriptación asimétrica o firma asimétrica puede tardar unos minutos. Las versiones de clave que están protegidas por un módulo de seguridad de hardware (HSM) también tardan un poco. Cuando una versión de clave recién creada esté lista, su estado cambiará automáticamente a HABILITADO.
Autorización y autenticación
¿Cómo puedo autenticar con la API de Cloud KMS?
El método de autenticación de los clientes puede variar un poco en función de la plataforma en que se ejecuta el código. Consulta Accede a la API para obtener más información.
¿Qué funciones de IAM debo usar?
A fin de aplicar el principio del mínimo privilegio, asegúrate de que las cuentas de usuario y servicio de tu organización solo tengan los permisos fundamentales para realizar sus funciones previstas. Consulta Separación de obligaciones para obtener más información.
¿Qué tan rápido se quita un permiso de IAM?
La eliminación de un permiso debería aplicarse en menos de una hora.
Varios
¿Qué son los datos autenticados adicionales y cuándo puedo usarlos?
Los datos autenticados adicionales (AAD) son cualquier string que pasas a Cloud KMS como parte de una solicitud de encriptación o desencriptación. Los AAD se usan como una comprobación de integridad y pueden ayudar a proteger los datos de un ataque de engaño de aplicación delegada. Consulta Datos autenticados adicionales para obtener más información.
¿Los registros de acceso a los datos están habilitados en la configuración predeterminada? ¿Cómo los habilito?
Los registros de acceso a los datos no están habilitados según la configuración predeterminada. Para obtener más información, consulta Habilita los registros de acceso a los datos.
¿Cuál es la relación entre las claves de Cloud KMS y las claves de cuentas de servicio?
Las claves de cuentas de servicio se usan para la autenticación de servicio a servicio en Google Cloud. Las claves de cuentas de servicio no están relacionadas con las claves de Cloud KMS.
¿Cuál es la relación entre las claves de Cloud KMS y las claves de API?
Una clave de API es una string encriptada simple que se puede usar para llamar a ciertas API que no necesitan acceso a datos privados del usuario. Las claves de API realizan un seguimiento de las solicitudes a la API asociadas a tu proyecto para la cuota y la facturación. Las claves de API no tienen ninguna relación con las claves de Cloud KMS.
¿Tienes detalles adicionales sobre los HSM que usa Cloud HSM?
Marvell (anteriormente Cavium) fabrica todos los dispositivos HSM. El certificado FIPS para los dispositivos está en el sitio web del NIST.