Esta página se ha traducido con Cloud Translation API.
Switch to English

Administra claves de Cloud EKM

En este tema, se explica cómo usar Cloud External Key Manager (Cloud EKM) para encriptar los datos en reposo mediante claves administradas fuera de Google Cloud.

Antes de comenzar

Una vez que hayas completado los siguientes pasos, puedes comenzar a usar las claves de Cloud EKM para proteger tus datos.

Crear un nuevo proyecto

Cuando pruebes Cloud EKM, te recomendamos que configures un proyecto nuevo.

  1. En Google Cloud Console, ve a la página Administrar recursos.

    Ir a la página Administración de recursos

  2. Crea un proyecto de Google Cloud nuevo o selecciona un proyecto existente.

  3. Comprueba que la facturación esté habilitada en tu proyecto.

    Descubre cómo puedes habilitar la facturación

  4. Obtén más información sobre los precios de Cloud EKM.

Habilite Cloud KMS

  1. Habilita la API de Cloud Key Management Service para el proyecto.

    Habilitar la API de Cloud Key Management Service

  2. Toma nota de la cuenta de servicio de Cloud EKM de tu proyecto. En el siguiente ejemplo, reemplaza project-number por el número de proyecto de tu proyecto de Google Cloud. Esta información también es visible cada vez que usas Google Cloud Console para crear una clave de Cloud EKM.

    service-project-number@gcp-sa-ekms.iam.gserviceaccount.com
    

Prepara el sistema de administración de claves externas

En el sistema de administración de claves externas, otorga a la cuenta de servicio de Google Cloud acceso para usar la clave externa. Trata la cuenta de servicio como una dirección de correo electrónico. Los socios pueden usar una terminología diferente a la que se utilizó en este tema.

Crea una clave externa

Realiza estos pasos en el sistema de administración de claves externo. Los pasos exactos varían según el socio de administración de claves externo. Puedes consultar la lista de socios de Cloud EKM compatibles.

  1. Si es necesario, solicita acceso a tu socio de administración de claves externas para participar en esta versión de .

  2. Crea una clave en el sistema de socios de administración de claves externas o selecciona una clave existente.

    Crea la clave en una región cercana a la región de Google Cloud que planeas usar para las claves de Cloud EKM. Esto ayuda a reducir la latencia de red entre tu proyecto de Google Cloud y el socio de administración de claves externo. De lo contrario, puedes experimentar una mayor cantidad de operaciones fallidas. Consulta Cloud EKM y regiones para obtener más información.

  3. Anota el URI de la clave externa. Necesitas esta información para crear una clave de Cloud EKM.

Crea una clave de Cloud EKM

Cuando creas una clave, debes agregarla a un llavero de claves que exista en la ubicación en la que deseas usar la clave. Para las claves de Cloud EKM, la ubicación también debe estar cerca de la ubicación de la clave externa.

En este tema, se muestra cómo crear un llavero de claves, pero puedes crear uno en uno existente en una ubicación adecuada.

gcloud

  1. Crea un llavero de claves en una de las regiones recomendadas por tu socio de administración de claves externas.

    gcloud kms keyrings \
     create key-ring-name \
     --location location
    
  2. Crea una llave en el llavero de claves. Configura el nivel de protección en external y configura el propósito como encryption. Agrega --skip-initial-version-creation para evitar que se cree una versión de clave inicial. Establece el default algorithm como external-symmetric-encryption.

    gcloud kms keys \
     create key-name \
     --keyring key-ring-name \
     --location location \
     --purpose encryption \
     --protection-level external \
     --skip-initial-version-creation \
     --default-algorithm external-symmetric-encryption
    
  3. Crea una versión de clave para la clave que acabas de crear. Establece la marca --external-key-uri en el URI de la clave externa. Incluye la marca --primary para que esta versión sea la versión de clave primaria. Usa el mismo nombre de clave, llavero de claves y ubicación que los pasos anteriores.

    gcloud kms keys versions \
     create \
     --key key-name \
     --keyring key-ring-name \
     --location location \
     --external-key-uri external-key-uri \
     --primary
    

Console

Crea un llavero de claves

  1. Ve a la página Claves criptográficas en Cloud Console.

    Ir a la página Claves criptográficas

  2. Haz clic en Crear llavero de claves.

  3. En el campo Nombre del llavero de claves, ingresa el nombre de tu llavero de claves.

  4. En el menú desplegable Ubicación, selecciona una de las regiones recomendadas por tu socio de administración de claves externas.

  5. Haga clic en Crear. Se crea el llavero de claves y aparece el diálogo de creación de claves.

Crea una clave de Cloud EKM.

  1. Para el tipo de clave, selecciona Clave administrada de forma externa. El Propósito se configura automáticamente como Encriptación / desencriptación simétrica y el campo Tipo y clave de clave se establece en Clave simétrica externa. No se pueden modificar.

  2. Ingrese un nombre para la clave

  3. Ingrese el URI de la clave externa.

  4. Opcionalmente, agrega etiquetas para la clave. Obtén más información sobre cómo etiquetar claves.

  5. Haga clic en Crear.

La versión de clave se crea automáticamente y se convierte en la versión principal.

Puedes recuperar el ID del recurso de la clave nueva y comenzar a usarlo para proteger los datos en las siguientes situaciones:

Rota una clave externa

Puedes rotar la clave de Cloud EKM si necesitas cambiar el URI de la clave externa. Al rotar la clave, se agrega una versión de clave nueva a la clave de Cloud EKM.

Después de rotar una clave de Cloud EKM, puedes desencriptar datos que se encriptaron con una versión anterior de la clave, siempre que la versión anterior de la clave externa aún esté disponible en el URI de clave externa en el sistema de administración de claves externas.

Si el material de clave del sistema de administración de claves externas no cambia, pero el URI cambia, puedes actualizar el URI externo de la clave sin rotar la clave.

gcloud

Para rotar la clave, crea una versión de clave nueva que contenga el URI de la clave externa actualizado y haz que esta versión sea la versión de clave primaria. Usa el mismo nombre, el llavero de claves y la ubicación que usaste cuando creaste la clave.

gcloud kms keys versions \
  create \
  --key key-name \
  --keyring key-ring-name \
  --location location \
  --external-key-uri new-external-key-uri \
  --primary

Console

  1. Ve a la página Claves criptográficas en Cloud Console.
    Ir a la página Claves criptográficas

  2. Selecciona el llavero de claves y, luego, selecciona la clave.

  3. Selecciona Rotar.

  4. Ingresa el URI de clave nuevo y, luego, selecciona Rotar clave.

La versión de clave nueva se convierte en la versión primaria.

Actualiza el URI de una versión de clave

Puedes actualizar el URI de una versión de clave de Cloud EKM sin rotar la clave de Cloud EKM, siempre que el URI nuevo tenga exactamente el mismo material de clave que el URI original. Si los URI no contienen el mismo material de clave, la actualización del URI falla. También puedes actualizar el URI de clave para una versión de clave que no sea la versión principal.

Si el material de clave se rota en el sistema de administración de claves externas, debes rotar la clave.

gcloud

Para actualizar el URI de la versión de clave, usa el comando gcloud beta kms versions update, especifica la versión de clave que se actualizará y la marca --external-key-uri en el URI nuevo.

gcloud kms keys versions update key-version \
  --key key \
  --keyring keyring \
  --location location \
  --external-key-uri uri

Por ejemplo, el siguiente comando actualiza el URI de la versión 2 de la clave example-key para que sea https://example-key.example.com/v0/example_key:

gcloud kms keys versions update 2 \
  --key example-key> \
  --keyring example-keyring \
  --location us-west1 \
  --external-key-uri https://example-key.example.com/v0/example_key

Console

  1. Ve a la página Claves criptográficas en Cloud Console.
    Ir a la página Claves criptográficas

  2. Selecciona el llavero de claves y, luego, selecciona la clave y la versión.

  3. Haz clic en Más y, luego, en Ver URI de clave.

  4. Haz clic en Actualizar URI de la clave.

  5. Ingresa el URI de la clave nueva y, luego, haz clic en Guardar.

Inhabilita o destruye una clave externa

Para inhabilitar de forma temporal la asociación entre una clave de Cloud EKM y una clave externa, puedes inhabilitar la clave de Cloud EKM o la versión de clave. Se recomienda inhabilitar la clave completa. La inhabilitación de una clave entra en vigor en un plazo de tres horas.

Cuando inhabilitas una clave, también debes revocar el acceso a la clave. Las operaciones de IAM son coherentes en segundos. También considera revocar el acceso de la cuenta de servicio de Google Cloud en el sistema de administración de claves externas.

Para quitar de forma permanente la asociación entre una clave de Cloud EKM y una clave externa, puedes programar la destrucción de la versión de clave de Cloud EKM. Después de un período de 24 horas, se destruye la clave. La destrucción de una clave es permanente. Una vez que se destruye la versión de clave, ya no puedes encriptar datos ni desencriptar datos que se encriptaron con la versión de clave de Cloud EKM. No puedes crear una versión de clave de Cloud EKM que se haya destruido, incluso si usas el mismo URI de clave externa.

Interpreta los errores

Si encuentras un error cuando creas o usas una clave de Cloud EKM, se registra un error. Consulta la referencia de errores de Cloud EKM para obtener detalles sobre cómo interpretar y corregir estos errores.

Obtén asistencia

Si tienes un problema con Cloud EKM, comunícate con el equipo de asistencia.