Cloud HSM

Este tema proporciona una descripción general de Cloud HSM y te muestra cómo crear y usar claves de encriptación protegidas con HSM en Cloud Key Management Service.

¿Qué es Cloud HSM?

Cloud HSM es un servicio de Módulo de seguridad de hardware (HSM) alojado en la nube que te permite alojar claves de encriptación y realizar operaciones criptográficas en un clúster de HSM certificado con FIPS 140-2 nivel 3. Google administra el clúster de HSM por ti, por lo que no necesitas preocuparte por el agrupamiento en clústeres, el escalamiento o la aplicación de parches. Debido a que Cloud HSM usa Cloud KMS como su frontend, puedes aprovechar todas las comodidades y características que proporciona Cloud KMS.

Antes de comenzar

Crea un llavero de claves

Crea un llavero de claves llamado hsm-ring.

Console

  1. Ve a la página Claves criptográficas en GCP Console.

  2. Haz clic en Crear llavero de claves.

  3. En el campo Nombre de llavero de claves, ingresa hsm-ring.

  4. En el menú desplegable Ubicación, selecciona una de las regiones compatibles para Cloud HSM.

  5. Haz clic en Crear.

Línea de comandos

Crea un llavero de claves nuevo con el nombre hsm-ring en una de las regiones compatibles para Cloud HSM.

gcloud kms keyrings create hsm-ring \
  --location [LOCATION]

Crea una clave

Crea una clave llamada hsm-key.

Console

  1. Ve a la página Claves criptográficas en GCP Console.

  2. Haz clic en el llavero de claves llamado hsm-ring.

  3. Haz clic en Crear clave.

  4. En el campo Nombre de clave, ingresa hsm-key.

  5. Haz clic en el menú desplegable Propósito y selecciona Encriptación/desencriptación simétrica. Para obtener más información sobre los propósitos de clave, consulta Propósitos de clave.

  6. Para Nivel de protección, selecciona HSM. Para obtener más información sobre los niveles de protección, consulta Niveles de protección.

  7. [Opcional] En el campo Etiquetas, haz clic en Agregar etiqueta si deseas agregar etiquetas a tu clave.

  8. Haz clic en Crear.

Línea de comandos

Crea una clave nueva hsm-key en el llavero de claves hsm-ring.

  • Configura --purpose en encryption. Para obtener más información sobre los propósitos de clave, consulta Propósitos de clave.
  • Configura --protection-level en hsm. Consulta Niveles de protección para obtener más información sobre los niveles de protección.
gcloud kms keys create hsm-key \
  --location [LOCATION] \
  --keyring hsm-ring \
  --purpose encryption \
  --protection-level hsm

Encripta datos

Ahora que tienes una clave, puedes usarla para encriptar texto o contenido binario. Genera texto para encriptar.

echo "Some text to be encrypted" > ~/my-secret-file

Encripta el texto sin formato en un archivo llamado my-secret-file.enc

gcloud kms encrypt \
  --location [LOCATION] \
  --keyring hsm-ring \
  --key hsm-key \
  --plaintext-file ~/my-secret-file \
  --ciphertext-file ~/my-secret-file.enc

Desencripta contenido cifrado

A fin de desencriptar contenido encriptado, debes usar la misma clave que usaste para encriptarlo. Desencripta el archivo encriptado my-secret-file.enc mediante la emisión del siguiente comando:

gcloud kms decrypt \
  --location [LOCATION] \
  --keyring hsm-ring \
  --key hsm-key \
  --ciphertext-file ~/my-secret-file.enc \
  --plaintext-file ~/my-secret-file.dec

Deberías ver que los contenidos de my-secret-file.dec y el archivo de texto sin formato original my-secret-file son idénticos:

cat ~/my-secret-file.dec
Some text to be encrypted

Limpia

Para evitar que se generen cargos en tu cuenta de GCP por los recursos que usaste en esta guía de inicio rápido:

La limpieza consiste en destruir las versiones de claves utilizadas en este tema.

Crea una lista de versiones disponibles para tu clave:

gcloud kms keys versions list \
  --location [LOCATION] \
  --keyring hsm-ring \
  --key hsm-key

Para destruir una versión, ejecuta el siguiente comando, reemplazando [VERSION_NUMBER] con el número de la versión que se destruirá:

gcloud kms keys versions destroy \
  [VERSION_NUMBER] \
  --location [LOCATION] \
  --keyring hsm-ring \
  --key hsm-key

Pasos siguientes

Limitaciones conocidas

  • El tamaño del bloque se limita a 16,384 bytes (frente a los 64 KiB en las claves de software de Cloud KMS) para texto sin formato y cifrado proporcionado por el usuario, incluidos los datos autenticados adicionales.

  • Cloud HSM está disponible solo en ciertas regiones. Para obtener detalles, consulta Regiones compatibles para Cloud HSM.

  • Actualmente, las operaciones de clave para las claves almacenadas en Cloud HSM pueden incurrir en una latencia notablemente mayor, en comparación con el uso de las claves de software de Cloud KMS.

Si se produce un error

Si tienes problemas, consulta las opciones de comentarios en Asistencia.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...