La clave automática de Cloud KMS simplifica la creación y el uso de claves de encriptación administradas por el cliente (CMEK) mediante la automatización del aprovisionamiento y la asignación. Con la clave automática, tus llaveros de claves, claves y cuentas de servicio no necesitan planificarse y aprovisionarse antes de que sean necesarias. En cambio, Autokey genera tus claves a pedido a medida que se crean tus recursos, y depende de los permisos delegados en lugar de los administradores de Cloud KMS.
El uso de claves generadas por Autokey puede ayudarte a alinearte de forma coherente con los estándares de la industria y las prácticas recomendadas para la seguridad de los datos, incluido el nivel de protección de HSM, la separación de obligaciones, la rotación de claves, la ubicación y la especificidad de la clave. La clave automática crea claves que siguen lineamientos generales y lineamientos específicos para el tipo de recurso de los servicios de Google Cloud que se integran en la clave automática de Cloud KMS. Una vez creadas, las claves solicitadas con la clave automática funcionan de forma idéntica a otras claves de Cloud HSM con la misma configuración.
La clave automática también puede simplificar el uso de Terraform para la administración de claves, lo que elimina la necesidad de ejecutar infraestructura como servicio con privilegios elevados de creación de claves.
Para usar Autokey, debes tener un recurso de organización que contenga un recurso de carpeta. Para obtener más información sobre los recursos de organizaciones y carpetas, consulta Jerarquía de recursos.
La clave automática de Cloud KMS está disponible en todas las ubicaciones de Google Cloud en las que Cloud HSM está disponible. Para obtener más información sobre las ubicaciones de Cloud KMS, consulta Ubicaciones de Cloud KMS. No se aplican costos adicionales por usar la clave automática de Cloud KMS. Las claves creadas con Autokey tienen el mismo precio que el de cualquier otra clave de Cloud HSM. Para obtener más información sobre los precios, consulta Precios de Cloud Key Management Service.
Para obtener más información sobre la clave automática, consulta Descripción general de las claves automáticas.
Elige entre la clave automática y otras opciones de encriptación
Cloud KMS con clave automática es como un piloto automático para las claves de encriptación administradas por el cliente: hace el trabajo por ti, a pedido. No necesitas planificar las claves con anticipación ni crear claves que tal vez nunca sean necesarias. Las claves y su uso son coherentes. Puedes definir las carpetas en las que deseas que se use la Clave automática y controlar quién puede usarla. Conservas el control total de las claves creadas por Autokey. Puedes usar claves de Cloud KMS creadas de forma manual junto con las claves creadas con la clave automática. Puedes inhabilitar la clave automática y seguir usando las claves que creó de la misma manera que usarías cualquier otra clave de Cloud KMS.
La clave automática de Cloud KMS es una buena opción si deseas un uso coherente de claves en todos los proyectos, con una sobrecarga operativa baja y si deseas seguir las recomendaciones de claves de Google.
| Función o capacidad | Encriptación predeterminada de Google | Cloud KMS | Autokey de Cloud KMS |
|---|---|---|---|
| Aislamiento criptográfico: Las claves son exclusivas de la cuenta de un cliente. | No | Sí | Sí |
| El cliente posee y controla las claves | No | Sí | Sí |
| El desarrollador activa el aprovisionamiento y la asignación de claves | Sí | No | Sí |
| Especificidad: Las claves se crean automáticamente con el nivel de detalle de clave recomendado | No | No | Sí |
| Te permite realizar criptografías sobre tus datos. | No | Sí | Sí |
| Se alinea automáticamente con las prácticas recomendadas de administración de claves. | No | No | Sí |
| Usa claves respaldadas por HSM que cumplen con el nivel 3 del estándar FIPS 140-2 | No | Opcional | Sí |
Si necesitas usar un nivel de protección distinto de HSM o un período de rotación personalizado, puedes usar CMEK sin la Clave automática.
Servicios compatibles
En la siguiente tabla, se enumeran los servicios compatibles con la clave automática de Cloud KMS:
| Servicio | Recursos protegidos | Nivel de detalle de la clave |
|---|---|---|
| Cloud Storage |
Los objetos dentro de un
bucket de almacenamiento usan la clave predeterminada del bucket. Autokey no crea claves para los recursos |
Una clave por bucket |
| Compute Engine |
Las instantáneas usan la clave del disco del que estás creando una instantánea.
Autokey no crea claves para los recursos |
Una clave por recurso |
| BigQuery |
Autokey crea claves predeterminadas para los conjuntos de datos. Las tablas, los modelos, las consultas y las tablas temporales de un conjunto de datos usan la clave predeterminada del conjunto de datos. Autokey no crea claves para los recursos de BigQuery que no sean los conjuntos de datos. Para proteger los recursos que no forman parte de un conjunto de datos, debes crear tus propias claves predeterminadas a nivel del proyecto o de la organización. |
Una clave por recurso |
| Secret Manager |
Secret Manager solo es compatible con la clave automática de Cloud KMS cuando se crean recursos con Terraform o la API de REST. |
Una clave por ubicación en un proyecto |
¿Qué sigue?
- Para obtener más información sobre cómo funciona la clave automática de Cloud KMS, consulta Descripción general de las claves automáticas.