Cloud HSM

Este tema proporciona una descripción general de Cloud HSM y te muestra cómo crear y usar claves de encriptación protegidas con HSM en Cloud Key Management Service.

¿Qué es Cloud HSM?

Cloud HSM es un servicio de Módulo de seguridad de hardware (HSM) alojado en la nube que te permite alojar claves de encriptación y realizar operaciones criptográficas en un clúster de HSM certificado con FIPS 140-2 nivel 3. Google administra el clúster de HSM por ti, de modo que no necesitas preocuparte por el agrupamiento en clústeres, el escalamiento ni la aplicación de parches. Debido a que Cloud HSM usa Cloud KMS como frontend, puedes aprovechar todas las comodidades y características que ofrece Cloud KMS.

Antes de comenzar

Crea un llavero de claves

Crea un llavero de claves con el nombre hsm-ring.

Console

  1. Ve a la página Claves criptográficas en GCP Console.

  2. Haz clic en Crear llavero de claves.

  3. En el campo Nombre de llavero de claves, ingresa hsm-ring.

  4. En el menú desplegable Ubicación, selecciona una de las regiones compatibles con Cloud HSM.

  5. Haz clic en Crear.

Línea de comandos

Crea un llavero de claves nuevo con el nombre hsm-ring en una de las regiones compatibles con Cloud HSM.

gcloud kms keyrings create hsm-ring \
  --location [LOCATION]

Crea una clave

Crea una clave con el nombre hsm-key.

Console

  1. Ve a la página Claves criptográficas en GCP Console.

  2. Haz clic en el llavero de claves con el nombre hsm-ring.

  3. Haz clic en Crear clave.

  4. En el campo Nombre de clave, ingresa hsm-key.

  5. Haz clic en el menú desplegable Propósito y selecciona Encriptación/desencriptación simétrica. Para obtener más información sobre los propósitos de clave, consulta esta sección.

  6. Para Nivel de protección, seleccionaHSM. Para obtener más información sobre los niveles de protección, consulta esta sección.

  7. Opcionalmente, si deseas agregar etiquetas a tu clave, haz clic en Agregar etiqueta en el campo Etiquetas.

  8. Haz clic en Crear.

Línea de comandos

Crea una clave nueva hsm-key en el llavero de claves hsm-ring.

  • Configura --purpose en encryption. Para obtener más información sobre los propósitos de clave, consulta esta sección.
  • Configura --protection-level en hsm. Para obtener más información sobre los niveles de protección, consulta esta sección.
gcloud kms keys create hsm-key \
  --location [LOCATION] \
  --keyring hsm-ring \
  --purpose encryption \
  --protection-level hsm

Encripta datos

Ahora que tienes una clave, puedes usarla para encriptar texto o contenido binario. Genera texto para encriptar.

echo "Some text to be encrypted" > ~/my-secret-file

Encripta el texto sin formato en un archivo con el nombre my-secret-file.enc

gcloud kms encrypt \
  --location [LOCATION] \
  --keyring hsm-ring \
  --key hsm-key \
  --plaintext-file ~/my-secret-file \
  --ciphertext-file ~/my-secret-file.enc

Desencripta contenido cifrado

A fin de desencriptar contenido, debes utilizar la misma clave que usaste para encriptarlo. Para desencriptar el archivo encriptado my-secret-file.enc, emite el siguiente comando:

gcloud kms decrypt \
  --location [LOCATION] \
  --keyring hsm-ring \
  --key hsm-key \
  --ciphertext-file ~/my-secret-file.enc \
  --plaintext-file ~/my-secret-file.dec

Deberías ver que el contenido de my-secret-file.dec y el archivo de texto sin formato original my-secret-file son idénticos:

cat ~/my-secret-file.dec
Some text to be encrypted

Limpieza

Sigue estos pasos para evitar que se generen cargos en tu cuenta de GCP por los recursos que usaste en esta guía de inicio rápido:

La limpieza consiste en destruir las versiones de claves utilizadas en este tema.

Obtén una lista de las versiones disponibles para tu clave:

gcloud kms keys versions list \
  --location [LOCATION] \
  --keyring hsm-ring \
  --key hsm-key

Para destruir una versión, ejecuta el siguiente comando con el número de la versión que se destruirá en lugar de [VERSION_NUMBER]:

gcloud kms keys versions destroy \
  [VERSION_NUMBER] \
  --location [LOCATION] \
  --keyring hsm-ring \
  --key hsm-key

Pasos siguientes

Limitaciones conocidas

  • El tamaño del bloque se limita a 16,384 bytes (frente a los 64 KiB en las claves de software de Cloud KMS) para texto sin formato y cifrado proporcionado por el usuario. Eso incluye los datos autenticados adicionales.

  • Cloud HSM está disponible solo en algunas regiones. Para obtener detalles, consulta Regiones compatibles para Cloud HSM.

  • Actualmente, las operaciones con claves almacenadas en Cloud HSM pueden incurrir en una latencia notablemente mayor en comparación con el uso de claves de software de Cloud KMS.

Qué hacer si se produce un error

Si tienes problemas, consulta las opciones de comentarios en la página de Asistencia.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Documentación de Cloud KMS