Autokey de Cloud KMS simplifica la creación y el uso de encriptaciones administradas por el cliente (CMEK) automatizando el aprovisionamiento y la asignación. Con Autokey, tus claves, llaveros de claves y cuentas de servicio se pueden planificar y aprovisionar antes de que se necesiten. En cambio, Autokey genera tus claves a pedido a medida que se crean tus recursos, con base en en lugar de los administradores de Cloud KMS.
Usar claves generadas por Autokey puede ayudarte a alinear de manera coherente estándares de la industria y prácticas recomendadas para la seguridad de los datos, incluido el Nivel de protección de HSM, separación de obligaciones, rotación de claves, ubicación y clave especificidad. Autokey crea claves que siguen ambos lineamientos generales y lineamientos específicos del tipo de recurso para los servicios de Google Cloud que se integran con Autokey de Cloud KMS. Una vez creadas, las claves solicitado con la función Autokey de forma idéntica a otra Claves de Cloud HSM con la misma configuración.
Autokey también puede simplificar el uso de Terraform para la administración de claves, lo que elimina la necesidad de ejecutar infraestructura como código con creación de claves elevadas privilegios.
Para usar Autokey, debes tener un recurso de organización que contenga un recurso de carpeta. Para obtener más información sobre los recursos de organizaciones y carpetas, consulta Jerarquía de recursos.
Autokey de Cloud KMS está disponible en todas las ubicaciones de Google Cloud Cloud HSM está disponible. Obtén más información sobre Cloud KMS consulta las ubicaciones de Cloud KMS. No hay costo adicional por usar Autokey de Cloud KMS. Claves creadas con Autokey tiene el mismo precio que cualquier otra clave de Cloud HSM. Para Para obtener más información sobre los precios, consulta Precios de Cloud Key Management Service.
Para obtener más información sobre Autokey, consulta Descripción general de Autokey.
Elige entre Autokey y otras opciones de encriptación
Cloud KMS con Autokey es como un piloto automático para claves de encriptación administradas por el cliente: hace el trabajo por ti, a pedido. No necesitas planificar claves con anticipación ni crear claves que quizás nunca se según sea necesario. Las claves y su uso son coherentes. Puedes definir las carpetas en las que usar Autokey y controlar quién lo puede usar. Mantienes total de las claves que crea Autokey. Puedes usar claves de encriptación Las claves de Cloud KMS junto con las claves creadas con Autokey. Puedes inhabilitar Autokey y seguir usando las claves que creó de la misma manera deberías usar cualquier otra clave de Cloud KMS.
Autokey de Cloud KMS es una buena opción si quieres proyectos, con una sobrecarga operativa baja, y desean seguir las recomendaciones de claves.
| Característica o capacidad | Encriptación predeterminada de Google | Cloud KMS | Autokey de Cloud KMS |
|---|---|---|---|
| Aislamiento criptográfico: las claves son exclusivas de las claves de encriptación cuenta | No | Sí | Sí |
| El cliente es propietario de las claves y las controla | No | Sí | Sí |
| El desarrollador activa el aprovisionamiento y la asignación de claves | Sí | No | Sí |
| Especificidad: las claves se crean automáticamente con la clave recomendada nivel de detalle | No | No | Sí |
| Te permite cifrar de forma criptográfica tus datos. | No | Sí | Sí |
| Se alinea automáticamente con las prácticas recomendadas de administración de claves. | No | No | Sí |
| Usa claves respaldadas por HSM que cumplan con el nivel 3 del estándar FIPS 140-2 | No | Opcional | Sí |
Si necesitas utilizar un nivel de protección distinto de HSM o un período de rotación personalizado,
puedes usar CMEK sin Autokey.
Servicios compatibles
En la siguiente tabla, se enumeran los servicios compatibles con Autokey de Cloud KMS:
| Servicio | Recursos protegidos | Nivel de detalle de la clave |
|---|---|---|
| Cloud Storage |
Objetos dentro de
bucket de almacenamiento usan la clave predeterminada del bucket. Autokey no crea
para los recursos |
Una clave por bucket |
| Compute Engine |
Las instantáneas usan la clave del disco del que estás creando una instantánea.
Autokey no crea claves para |
Una clave por recurso |
| BigQuery |
Autokey crea claves predeterminadas para los conjuntos de datos. Tablas, modelos y las tablas temporales dentro de un conjunto de datos usan el conjunto de datos . Autokey no crea claves para los recursos de BigQuery que no sean conjuntos de datos. Para proteger los recursos que no forman parte de un debes crear tus propias claves predeterminadas en el a nivel de la organización. |
Una clave por recurso |
| Secret Manager |
Secret Manager solo es compatible con Autokey de Cloud KMS cuando crees recursos con Terraform o la API de REST. |
Una clave por ubicación dentro de un proyecto |
¿Qué sigue?
- Para obtener más información sobre cómo funciona Autokey de Cloud KMS, consulta Descripción general de Autokey.