Cloud Key Management Service (Cloud KMS) te permite crear y administrar claves de encriptación para usar en servicios compatibles de Google Cloud y en tus propias aplicaciones. Con Cloud KMS, puedes hacer lo siguiente:
Genera claves de software o hardware, importa claves existentes a Cloud KMS o vincula claves externas en tu sistema de administración de claves externas (EKM) compatible.
Usa claves de encriptación administradas por el cliente (CMEK) en los productos de Google Cloud con integración de CMEK. Las integraciones de CMEK usan tus claves CMEK para encriptar o “unir” tus claves de encriptación de datos (DEK). La unión de DEK con claves de encriptación de claves (KEK) se denomina encriptación de sobre.
Usa las claves de Cloud KMS para las operaciones de encriptación y desencriptación. Por ejemplo, puedes usar la API de Cloud KMS o las bibliotecas cliente si quieres usar tus claves de Cloud KMS en la encriptación del cliente.
Usa las claves de Cloud KMS para crear o verificar firmas digitales o firmas de código de autenticación de mensajes (MAC).
Elige la encriptación correcta según tus necesidades
Puedes usar la siguiente tabla para identificar qué tipo de encriptación satisface tus necesidades en cada caso de uso. La mejor solución para tus necesidades puede incluir una combinación de enfoques de encriptación. Por ejemplo, puedes usar claves de software para tus datos menos sensibles y hardware o claves externas para tus datos más sensibles. Para obtener información adicional sobre las opciones de encriptación que se describen en esta sección, consulta Protege datos en Google Cloud en esta página.
| Tipo de encriptación | Costo | Servicios compatibles | Funciones |
|---|---|---|---|
| Encriptación predeterminada de Google Cloud | Incluido | Todos los servicios de Google Cloud que almacenan datos del cliente |
|
| Claves de encriptación administradas por el cliente:
software (claves de Cloud KMS) |
Baja: $0.06 por versión de clave | Más de 30 servicios |
|
| Claves de encriptación administradas por el cliente:
hardware (claves de Cloud HSM) |
Media: de $1.00 a $2.50 por versión de clave por mes | Más de 30 servicios |
|
| Claves de encriptación administradas por el cliente:
externas (claves de Cloud EKM) |
Alta: $3.00 por versión de clave por mes | Más de 20 servicios |
|
| Encriptación del cliente con claves de Cloud KMS | El costo de las versiones de claves activas depende del nivel de protección de la clave. | Usa bibliotecas cliente en tus aplicaciones |
|
| Claves de encriptación proporcionadas por el cliente | Podría aumentar los costos asociados con Compute Engine o Cloud Storage. |
|
|
| Confidential Computing | Costo adicional por cada VM confidencial; puede aumentar el uso de registros y los costos asociados |
|
Protege los datos en Google Cloud
Encriptación predeterminada de Google Cloud
De forma predeterminada, los datos en reposo en Google Cloud están protegidos por claves en Keystore, el servicio de administración de claves interno de Google. Google administra automáticamente las claves del almacén de claves, sin que debas configurar nada. La mayoría de los servicios rotan las claves automáticamente por ti. El almacén de claves admite una versión de clave primaria y una cantidad limitada de versiones de claves anteriores. La versión de clave primaria se usa para encriptar claves de encriptación de datos nuevas. Las versiones de claves más antiguas aún se pueden usar para desencriptar claves de encriptación de datos existentes.
Esta encriptación predeterminada usa módulos criptográficos validados para cumplir con el nivel 1 del estándar FIPS 140-2. Si no tienes requisitos específicos para un nivel de protección más alto, la encriptación predeterminada puede satisfacer tus necesidades sin costos adicionales.
Claves de encriptación administradas por el cliente (CMEK)
Para los casos de uso que requieren un nivel mayor de control o protección, puedes usar claves de Cloud KMS administradas por el cliente en servicios compatibles. Cuando usas claves de Cloud KMS en integraciones de CMEK, puedes usar políticas de la organización para asegurarte de que las CMEK se usen como se especifica en las políticas. Por ejemplo, puedes establecer una política de la organización que garantice que tus recursos de Google Cloud compatibles usen tus claves de Cloud KMS para la encriptación. Las políticas de la organización también pueden especificar en qué proyecto deben residir los recursos clave.
Las funciones y el nivel de protección proporcionados dependen del nivel de protección de la clave:
Claves de software: Puedes generar claves de software en Cloud KMS y usarlas en todas las ubicaciones de Google Cloud. Puedes crear claves simétricas con rotación automática o claves asimétricas con rotación manual. Las claves de software administradas por el cliente usan módulos de criptografía de software validados por FIPS 140-2 Nivel 1. También tienes control sobre el período de rotación, las funciones y los permisos de Identity and Access Management (IAM) y las políticas de la organización que rigen las claves. Puedes usar tus claves de software con más de 30 recursos compatibles de Google Cloud.
Claves de software importadas: Puedes importar claves de software que creaste en otro lugar para usarlas en Cloud KMS. Puedes importar versiones de claves nuevas para rotar las claves importadas de forma manual. Puedes usar funciones y permisos de IAM, además de las políticas de la organización para regular el uso de las claves importadas.
Claves de hardware y Cloud HSM: Puedes generar claves de hardware en un clúster de módulos de seguridad de hardware (HSM) FIPS 140-2 Nivel 3. Tú controlas el período de rotación, las funciones y los permisos de IAM, y las políticas de la organización que rigen las claves. Cuando creas claves de HSM con Cloud HSM, Google administra los clústeres de HSM para que tú no tengas que hacerlo. Puedes usar tus claves de HSM con más de 30 recursos compatibles de Google Cloud: los mismos servicios que admiten claves de software. Para obtener el nivel más alto de cumplimiento de seguridad, usa claves de hardware.
Claves externas y Cloud EKM: Puedes usar las claves que residen en un administrador de claves externo (EKM). Cloud EKM te permite usar claves almacenadas en un administrador de claves compatible para proteger tus recursos de Google Cloud. Puedes conectarte a tu EKM por Internet o a través de una nube privada virtual (VPC). Algunos servicios de Google Cloud que admiten claves de software o hardware no son compatibles con las claves de Cloud EKM.
Claves de Cloud KMS
Puedes usar tus claves de Cloud KMS en aplicaciones personalizadas mediante las bibliotecas cliente de Cloud KMS o la API de Cloud KMS. Las bibliotecas cliente y la API te permiten encriptar y desencriptar datos, firmar datos y validar firmas.
Claves de encriptación proporcionadas por el cliente (CSEK)
Cloud Storage y Compute Engine pueden usar claves de encriptación proporcionadas por el cliente (CSEK). Con las claves de encriptación proporcionadas por el cliente, almacenas el material de la clave y lo proporcionas a Cloud Storage o Compute Engine cuando sea necesario. Google no almacena tus CSEK de ninguna manera.
Confidential Computing
En Compute Engine, GKE y Dataproc, puedes usar la plataforma de Confidential Computing para encriptar tus datos en uso. Confidential Computing garantiza que tus datos se mantengan privados y encriptados incluso mientras se procesan.