Administra claves de Cloud EKM

En este tema, se explica cómo usar Cloud External Key Manager (Cloud EKM) para encriptar los datos en reposo mediante claves administradas fuera de Google Cloud.

Antes de comenzar

Una vez que completes los siguientes pasos, puedes comenzar a usar las claves de Cloud EKM para proteger tus datos.

Crear un nuevo proyecto

Cuando pruebes Cloud EKM, te recomendamos que configures un proyecto nuevo.

  1. En Google Cloud Console, ve a la página Administrar recursos.

    Ir a la página Administración de recursos

  2. Crea un proyecto de Google Cloud nuevo o selecciona uno existente.

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Cloud. Descubre cómo confirmar que tienes habilitada la facturación en un proyecto.

  4. Obtén más información sobre los precios de Cloud EKM.

Habilite Cloud KMS

  1. Habilita la API de Cloud Key Management Service para el proyecto.

    Habilitar la API de Cloud Key Management Service

  2. Anota la cuenta de servicio de Cloud EKM de tu proyecto. En el siguiente ejemplo, reemplaza project-number por el [número de proyecto][project_number] de tu proyecto de Google Cloud. Esta información también es visible cada vez que usas Google Cloud Console para crear una clave de Cloud EKM.

    service-project-number@gcp-sa-ekms.iam.gserviceaccount.com
    

Prepara el sistema de administración de claves externas

En el sistema de socios de administración de claves externas, otorga a la cuenta de servicio de Google Cloud acceso para usar la clave externa. Trata la cuenta de servicio como una dirección de correo electrónico. Los socios pueden usar terminología diferente a la que se usa en este tema.

Crea una clave externa

Sigue estos pasos en el sistema de socios de administración de claves externas. Los pasos exactos varían según el socio de administración de claves externas. Puedes revisar la lista de socios de Cloud EKM compatibles.

  1. Si es necesario, solicita acceso a tu socio de administración de claves externas para participar en esta versión de .

  2. Crea una clave en el sistema de socios de administración de claves externas o selecciona una clave existente.

    Crea la clave en una región cercana a la región de Google Cloud que planeas usar para las claves de Cloud EKM. Esto ayuda a reducir la latencia de red entre el proyecto de Google Cloud y el socio de administración de claves externas. De lo contrario, es posible que experimentes una mayor cantidad de operaciones con errores. Revisa Cloud EKM y las regiones para obtener más información.

  3. Toma nota del URI de la clave externa. Necesitas esta información para crear una clave de Cloud EKM.

Crea una clave de Cloud EKM

Cuando creas una clave, debes agregarla a un llavero de claves que existe en la ubicación en la que deseas usar la clave. Para las claves de Cloud EKM, la ubicación también debe estar cerca de la ubicación de tu clave externa.

En este tema, se muestra cómo crear un llavero de claves, pero puedes crear una clave en un llavero de claves existente en una ubicación adecuada.

gcloud

  1. Crea un llavero de claves en una de las regiones recomendadas por tu socio de administración de claves externas.

    gcloud kms keyrings \
     create key-ring-name \
     --location location
    
  2. Crea una clave en el llavero de claves. Establece el nivel de protección en external y establece el propósito en encryption. Agrega --skip-initial-version-creation para evitar que se cree una versión inicial de la clave. Establece el default algorithm en external-symmetric-encryption.

    gcloud kms keys \
     create key-name \
     --keyring key-ring-name \
     --location location \
     --purpose encryption \
     --protection-level external \
     --skip-initial-version-creation \
     --default-algorithm external-symmetric-encryption
    
  3. Crea una versión de clave para la clave que acabas de crear. Establece la marca --external-key-uri en el URI de la clave externa. Incluye la marca --primary para hacer que esta versión sea la versión de la clave primaria. Usa el mismo nombre de clave, llavero de claves y ubicación que en los pasos anteriores.

    gcloud kms keys versions \
     create \
     --key key-name \
     --keyring key-ring-name \
     --location location \
     --external-key-uri external-key-uri \
     --primary
    

Console

Crea un llavero de claves

  1. Ve a la página Llaveros de claves criptográficas en Cloud Console.

    Ir a la página Llaveros de claves criptográficas

  2. Haz clic en Crear llavero de claves.

  3. En el campo Nombre del llavero de claves, ingresa el nombre de tu llavero de claves.

  4. En el menú desplegable Ubicación, selecciona una de las regiones recomendadas por tu socio de administración de claves externas.

  5. Haga clic en Crear. Se crea el llavero de claves y aparece el cuadro de diálogo de creación de claves.

Crea una clave de Cloud EKM.

  1. Para el tipo de clave, selecciona Clave administrada de forma externa. El Objetivo se configura automáticamente como Encriptación / desencriptación simétrica y el campo Algoritmo y tipo de clave se establece en Clave simétrica externa. Estos valores no se pueden modificar.

  2. Ingrese un nombre para la clave

  3. Ingresa el URI de la clave externa.

  4. De forma opcional, agrega etiquetas para la clave. Puedes obtener más información para etiquetar claves.

  5. Haga clic en Crear.

La versión de clave se crea de forma automática y se convierte en la versión principal.

Puedes recuperar el ID de recurso de la clave nueva y comenzar a usarlo para proteger los datos en otros servicios de Google Cloud. Consulta la lista de servicios compatibles de Cloud EKM con integraciones de CMEK para obtener más información.

Rota una clave externa

Puedes rotar la clave de Cloud EKM si necesitas cambiar el URI de la clave externa. La rotación de la clave agrega una versión de clave nueva a la clave de Cloud EKM.

Después de rotar una clave de Cloud EKM, puedes desencriptar datos que se encriptaron con una versión anterior de la clave, siempre que la versión anterior de la clave externa aún esté disponible en el URI de clave externa en el sistema de administración de claves externas.

Si el material de clave del sistema de administración de claves externas no cambia, pero el URI cambia, puedes actualizar el URI externo de la clave sin rotar la clave.

gcloud

Para rotar la clave, crea una nueva versión de clave que contenga el URI de clave externa actualizado y haz que esta versión sea la versión de clave primaria. Usa el mismo nombre, llavero de claves y ubicación que usaste cuando creaste la clave.

gcloud kms keys versions \
  create \
  --key key-name \
  --keyring key-ring-name \
  --location location \
  --external-key-uri new-external-key-uri \
  --primary

Console

  1. Ve a la página Llaveros de claves criptográficas en Cloud Console.
    Ir a la página llavero de claves criptográficas

  2. Selecciona el llavero de claves y, luego, selecciona la clave.

  3. Selecciona Rotar.

  4. Ingresa el nuevo URI de clave y, luego, selecciona Rotar clave.

La versión de clave nueva se convertirá en la versión principal.

Actualiza el URI de una versión de clave

Puedes actualizar el URI de una versión de clave de Cloud EKM sin rotar la clave de Cloud EKM, siempre que el URI nuevo tenga exactamente el mismo material de clave que el URI original. Si los URI no contienen el mismo material de clave, la actualización del URI falla. También puedes actualizar el URI de una versión de clave que no sea la principal.

Si el material de clave se rota en el sistema de administración de claves externas, debes rotar la clave.

gcloud

Para actualizar el URI de la versión de clave, usa el comando gcloud kms versions update, especifica la versión de clave que quieres actualizar y establece la marca --external-key-uri en el URI nuevo.

gcloud kms keys versions update key-version \
  --key key \
  --keyring keyring \
  --location location \
  --external-key-uri uri

Por ejemplo, con el siguiente comando, se actualiza el URI de la versión 2 de la clave example-key para que sea https://example-key.example.com/v0/example_key:

gcloud kms keys versions update 2 \
  --key example-key> \
  --keyring example-keyring \
  --location us-west1 \
  --external-key-uri https://example-key.example.com/v0/example_key

Console

  1. Ve a la página Llaveros de claves criptográficas en Cloud Console.
    Ir a la página llavero de claves criptográficas

  2. Selecciona el llavero de claves y, luego, selecciona la clave y la versión.

  3. Haz clic en Más  y, luego, en Ver URI de clave.

  4. Haz clic en Actualizar URI de la clave.

  5. Ingresa el URI de clave nuevo y, luego, haz clic en Guardar.

Inhabilita o destruye una clave externa

Para inhabilitar de forma temporal la asociación entre una clave de Cloud EKM y una clave externa, puedes inhabilitar la clave o la versión de clave de Cloud EKM. Se recomienda inhabilitar toda la clave. La inhabilitación de una clave entra en vigor en un plazo de tres horas.

Cuando inhabilitas una clave, también debes revocar el acceso a la clave. Las operaciones de IAM son coherentes en segundos. También considera revocar el acceso de la cuenta de servicio de Google Cloud en el sistema de administración de claves externas.

A fin de quitar la asociación de forma permanente entre una clave de Cloud EKM y una clave externa, puedes programar la destrucción de la versión de clave de Cloud EKM. La clave se destruye después de un período de 24 horas. La destrucción de una clave es permanente. Una vez que se destruye la versión de clave, ya no puedes encriptar ni desencriptar los datos que se encriptaron con la versión de clave de Cloud EKM. No puedes volver a crear una versión de clave de Cloud EKM que se destruyó, incluso si usas el mismo URI de clave externa.

Interpreta los errores

Si experimentas un error cuando creas o usas una clave de Cloud EKM, se registra un error. Consulta la referencia de errores de Cloud EKM para obtener detalles sobre cómo interpretar y corregir estos errores.

Obtén asistencia

Si tienes un problema con Cloud EKM, comunícate con [Asistencia][asistencia].