Se usó la API de Cloud Translation para traducir esta página.
Switch to English

Administra claves de Cloud EKM

En este tema, se explica cómo usar Cloud External Key Manager (Cloud EKM) para encriptar los datos en reposo mediante claves administradas fuera de Google Cloud.

Antes de comenzar

Una vez que hayas completado los pasos siguientes, puedes comenzar a usar las claves de Cloud EKM para proteger tus datos.

Crear un nuevo proyecto

Cuando pruebes Cloud EKM, te recomendamos que configures un proyecto nuevo.

  1. En Google Cloud Console, ve a la página Administrar recursos.

    Ir a la página Administración de recursos

  2. Crea un proyecto de Google Cloud nuevo o selecciona uno existente.

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Cloud. Descubre cómo confirmar que tienes habilitada la facturación en un proyecto.

  4. Puedes obtener más información sobre los precios de Cloud EKM.

Habilite Cloud KMS

  1. Habilitar la API de Cloud Key Management Service para el proyecto.

    Habilitar la API de Cloud Key Management Service

  2. Toma nota de la cuenta de servicio de Cloud EKM de tu proyecto. En el siguiente ejemplo, reemplaza project-number por el número de proyecto de tu proyecto de Google Cloud. Esta información también es visible cada vez que usas Google Cloud Console para crear una clave de Cloud EKM.

    service-project-number@gcp-sa-ekms.iam.gserviceaccount.com
    

Prepara el sistema de administración de claves externas

En el sistema de administración de claves externas, otorga a la cuenta de servicio de Google Cloud acceso para usar la clave externa. Trata la cuenta de servicio como una dirección de correo electrónico. Los socios pueden usar terminología diferente a la que se utiliza en este tema.

Crea una clave externa

Debe seguir estos pasos en el sistema de administración de claves externo. Los pasos exactos varían según el socio de administración de claves externo. Puedes revisar la lista de socios de Cloud EKM compatibles.

  1. Si es necesario, solicita acceso a tu socio de administración de claves externas para participar en esta versión de .

  2. Crea una clave en el sistema de socios de administración de claves externas o selecciona una clave existente.

    Crea la clave en una región cercana a la región de Google Cloud que planeas usar para las claves de Cloud EKM. Esto ayuda a reducir la latencia de red entre tu proyecto de Google Cloud y el socio de administración de claves externo. De lo contrario, es posible que experimentes una mayor cantidad de operaciones fallidas. Consulta Cloud EKM y regiones para obtener más información.

  3. Toma nota del URI de la clave externa. Necesitas esta información para crear una clave de Cloud EKM.

Crea una clave de Cloud EKM

Cuando creas una clave, la agregas a un llavero de claves que existe en la ubicación donde quieres usarla. Para las claves de Cloud EKM, la ubicación también debe estar cerca de la ubicación de tu clave externa.

En este tema, se muestra cómo crear un llavero de claves, pero puedes crear una clave en un llavero de claves existente en una ubicación adecuada.

gcloud

  1. Crea un llavero de claves en una de las regiones recomendadas por tu socio de administración de claves externas.

    gcloud kms keyrings \
     create key-ring-name \
     --location location
    
  2. Crea una llave en el llavero de claves. Establece el nivel de protección en external y establece el propósito en encryption. Agrega --skip-initial-version-creation para evitar que se cree una versión de clave inicial. Establece default algorithm en external-symmetric-encryption.

    gcloud kms keys \
     create key-name \
     --keyring key-ring-name \
     --location location \
     --purpose encryption \
     --protection-level external \
     --skip-initial-version-creation \
     --default-algorithm external-symmetric-encryption
    
  3. Crea una versión de clave para la clave que acabas de crear. Establece la marca --external-key-uri en el URI de clave externa. Incluye la marca --primary para que esta versión sea la versión de clave primaria. Usa el mismo nombre de clave, llavero de claves y ubicación que los pasos anteriores.

    gcloud kms keys versions \
     create \
     --key key-name \
     --keyring key-ring-name \
     --location location \
     --external-key-uri external-key-uri \
     --primary
    

Console

Crea un llavero de claves

  1. Ve a la página Claves criptográficas en Cloud Console.

    Ir a la página Claves criptográficas

  2. Haz clic en Crear llavero de claves.

  3. En el campo Nombre del llavero de claves, ingresa el nombre de tu llavero de claves.

  4. En el menú desplegable Ubicación, selecciona una de las regiones recomendadas por tu socio de administración de claves externas.

  5. Haga clic en Crear. Se crea el llavero de claves y aparece el cuadro de diálogo de creación de claves.

Crea una clave de Cloud EKM.

  1. Para el tipo de clave, selecciona Clave administrada de forma externa. El Propósito se configura automáticamente como Encriptación simétrica o desencriptación y el campo Tipo de clave y algoritmo se configura como . Clave simétrica externa Estos valores no se pueden modificar.

  2. Ingrese un nombre para la clave

  3. Ingresa el URI de la clave externa.

  4. De forma opcional, agrega etiquetas para la clave. Puedes obtener más información sobre cómo etiquetar claves.

  5. Haga clic en Crear.

La versión de clave se crea automáticamente y se convierte en la versión primaria.

Puedes recuperar el ID del recurso de la clave nueva y comenzar a usarlo para proteger los datos en las siguientes situaciones:

Rota una clave externa

Puedes rotar la clave de Cloud EKM si necesitas cambiar el URI de la clave externa. La rotación de la clave agrega una versión de clave nueva a la clave de Cloud EKM.

Después de rotar una clave de Cloud EKM, puedes desencriptar datos que se encriptaron con una versión anterior de la clave, siempre que la versión anterior de la clave externa aún esté disponible en el URI de clave externa en el sistema de administración de claves externas.

Si el material de clave del sistema de administración de claves externas no cambia, pero el URI cambia, puedes actualizar el URI externo de la clave sin rotar la clave.

gcloud

Para rotar la clave, crea una versión de clave nueva que contenga el URI de clave externa actualizado y haz que esta versión sea la versión de clave primaria. Usa el mismo nombre, llavero de claves y ubicación que usaste cuando creaste la clave.

gcloud kms keys versions \
  create \
  --key key-name \
  --keyring key-ring-name \
  --location location \
  --external-key-uri new-external-key-uri \
  --primary

Console

  1. Ve a la página Claves criptográficas en Cloud Console.
    Ir a la página Claves criptográficas

  2. Selecciona el llavero de claves y, luego, selecciona la clave.

  3. Selecciona Rotar.

  4. Ingresa el URI de clave nuevo y, luego, selecciona Rotar clave.

La nueva versión de la clave se convierte en la versión primaria.

Actualiza el URI de una versión de clave

Puedes actualizar el URI de una versión de clave de Cloud EKM sin rotar la clave de Cloud EKM, siempre que el URI nuevo tenga exactamente el mismo material de clave que el URI original. Si los URI no contienen el mismo material de clave, la actualización del URI falla. También puedes actualizar el URI de clave para una versión de clave que no sea la versión primaria.

Si el material de clave se rota en el sistema de administración de claves externas, debes rotar la clave.

gcloud

Para actualizar el URI de la versión de clave, usa el comando gcloud kms versions update, especifica la versión de clave que deseas actualizar y establece la marca --external-key-uri en el URI nuevo.

gcloud kms keys versions update key-version \
  --key key \
  --keyring keyring \
  --location location \
  --external-key-uri uri

Por ejemplo, con el siguiente comando, se actualiza el URI para la versión 2 de la clave example-key a https://example-key.example.com/v0/example_key:

gcloud kms keys versions update 2 \
  --key example-key> \
  --keyring example-keyring \
  --location us-west1 \
  --external-key-uri https://example-key.example.com/v0/example_key

Console

  1. Ve a la página Claves criptográficas en Cloud Console.
    Ir a la página Claves criptográficas

  2. Selecciona el llavero de claves y, luego, selecciona la clave y la versión.

  3. Haz clic en Más y, luego, en Ver URI de clave.

  4. Haz clic en Actualizar URI de clave.

  5. Ingresa el URI de clave nuevo y haz clic en Guardar.

Inhabilita o destruye una clave externa

Para inhabilitar temporalmente la asociación entre una clave de Cloud EKM y una clave externa, puedes inhabilitar la clave de Cloud EKM o la clave de clave. Se recomienda inhabilitar la clave completa. La inhabilitación de una clave entra en vigor en un plazo de tres horas.

Cuando inhabilitas una clave, también debes revocar el acceso a la clave. Las operaciones de IAM son coherentes en segundos. También considera revocar el acceso de la cuenta de servicio de Google Cloud en el sistema de administración de claves externo.

Para de forma permanente la asociación entre una clave de Cloud EKM y una clave externa, puedes programar la destrucción de la versión de clave de Cloud EKM. Después de un período de 24 horas, se destruye la clave. Destruir una clave es permanente. Una vez que se destruye la versión de clave, ya no puedes encriptar datos ni desencriptar datos encriptados con la versión de clave de Cloud EKM. No se puede volver a crear una versión de clave de Cloud EKM que se destruyó, incluso si usas el mismo URI de clave externa.

Cómo interpretar los errores

Si se produce un error cuando creas o usas una clave de Cloud EKM, se registra un error. Consulta la referencia de errores de Cloud EKM para obtener detalles sobre cómo interpretar y corregir estos errores.

Obtén asistencia

Si tienes un problema con Cloud EKM, comunícate con el equipo de Asistencia.