En esta página se describe cada tipo de recurso de Cloud KMS. Puedes consultar más información sobre la jerarquía de recursos.
Claves
Una clave de Cloud KMS es un objeto con nombre que contiene una o varias versiones de clave, así como metadatos de la clave. Una clave solo puede existir en un conjunto de claves vinculado a una ubicación específica.
Puedes permitir y denegar el acceso a las claves mediante permisos y roles de Gestión de Identidades y Accesos (IAM). No puedes gestionar el acceso a una versión de una clave.
Si se inhabilita o se destruye una clave, también se inhabilita o se destruye cada versión de la clave.
En las siguientes secciones se describen las propiedades de una clave.
Según el contexto, las propiedades de una clave se muestran en un formato diferente.
- Cuando se usa Google Cloud CLI o la API Cloud Key Management Service, la propiedad se muestra como una cadena de letras mayúsculas, como
SOFTWARE. - Cuando se usa la consola Google Cloud , la propiedad se muestra como una cadena con la primera letra en mayúscula, como Software.
En las siguientes secciones, se muestra cada formato en el lugar que le corresponde.
Tipo
El tipo de clave determina si se usa para operaciones criptográficas simétricas o asimétricas.
En el cifrado o la firma simétricos, se usa la misma clave para cifrar y descifrar datos, o para firmar y verificar una firma.
En el cifrado o la firma asimétricos, la clave consta de una clave pública y una clave privada. Una clave privada con su clave pública correspondiente se denomina par de claves.
- La clave privada es un dato sensible y se necesita para descifrar datos o para firmar, según el propósito configurado de la clave.
- La clave pública no se considera sensible y es necesaria para cifrar datos o verificar una firma, según el propósito configurado de la clave.
El tipo de una clave es uno de los componentes de su finalidad y no se puede cambiar una vez que se ha creado.
Finalidad
El propósito de una clave indica el tipo de operaciones criptográficas para las que se puede usar, como Encriptado o desencriptado simétrico o Firma asimétrica. El propósito se elige al crear la clave, y todas las versiones de una clave tienen el mismo propósito. La finalidad de una clave no se puede cambiar una vez que se ha creado. Para obtener más información sobre los propósitos clave, consulte Propósitos clave.
Nivel de protección
El nivel de protección de una clave determina el entorno de almacenamiento de la clave en reposo. El nivel de protección es uno de los siguientes:
- Software (
SOFTWARE) - HSM (
HSM) - Externo (
EXTERNAL) - External_VPC (
EXTERNAL_VPC)
El nivel de protección de una clave no se puede cambiar una vez que se ha creado.
Versión principal
Las claves pueden tener varias versiones de clave activas y habilitadas a la vez. Las claves de cifrado simétricas tienen una versión de clave principal, que es la que se usa de forma predeterminada para cifrar datos si no especificas ninguna versión de clave.
Las claves asimétricas no tienen versiones principales. Debes especificar la versión cuando uses la clave.
Tanto en el caso de las claves simétricas como de las asimétricas, puedes usar cualquier versión de clave habilitada para encriptar y desencriptar datos, o para firmar y validar firmas.
Versiones de claves
Cada versión de una clave contiene material de clave que se usa para cifrar o firmar. A cada versión se le asigna un número de versión, empezando por 1. Al rotar una clave, se crea una nueva versión. Consulta más información sobre la rotación de claves.
Para descifrar datos o verificar una firma, debes usar la misma versión de clave que se usó para cifrar o firmar los datos. Para encontrar el ID de recurso de una versión de clave, consulta Obtener el ID de recurso de una clave.
Puede inhabilitar o destruir versiones de claves concretas sin que esto afecte a otras versiones. También puede inhabilitar o destruir todas las versiones de una clave determinada.
No puedes controlar el acceso a las versiones de la clave independientemente de los permisos que tenga la clave. Si se concede acceso a una clave, se concede acceso a todas las versiones habilitadas de esa clave.
Por motivos de seguridad, ningún Google Cloud principal puede ver ni exportar el material de clave criptográfica sin procesar representado por una versión de clave. En su lugar, Cloud KMS accede al material de la clave en tu nombre.
En las siguientes secciones se describen las propiedades de una versión de clave.
Estado
Cada versión de una clave tiene un estado que indica su situación. Normalmente, el estado de una clave será uno de los siguientes:
- Habilitado
- Inhabilitada
- Eliminación programada
- Eliminado
Una versión de clave solo se puede usar cuando está habilitada. Las versiones de claves que no estén en el estado "Destruida" generan costes. Para obtener más información sobre los estados de las versiones de clave y cómo pueden pasar de un estado a otro, consulta Estados de las versiones de clave.
Algoritmo
El algoritmo de una versión de clave determina cómo se crea el material de la clave y los parámetros necesarios para las operaciones criptográficas. Las claves simétricas y asimétricas usan algoritmos diferentes. El cifrado y la firma usan algoritmos diferentes.
Si no especificas un algoritmo al crear una versión de clave, se usará el algoritmo de la versión anterior.
Independientemente del algoritmo, Cloud KMS usa el cifrado probabilístico, de modo que el mismo texto sin formato cifrado dos veces con la misma versión de clave no devuelve el mismo texto cifrado.
Conjuntos de claves
Un conjunto de claves organiza las claves en una Google Cloudubicación específica y te permite gestionar el control de acceso en grupos de claves. El nombre de un conjunto de claves no tiene que ser único en un proyecto, pero sí en una ubicación determinada. Google Cloud Una vez creado, no se puede eliminar un llavero de claves. Los conjuntos de claves no tienen ningún coste. Para ver una lista de las ubicaciones disponibles, consulta Ubicaciones de Cloud KMS.
Identificadores de claves
Un identificador de clave es un recurso de Cloud KMS que te ayuda a abarcar de forma segura la separación de tareas para crear nuevas claves de Cloud KMS para CMEK mediante Autokey. La creación de un identificador de clave en un proyecto de recursos activa la creación de una clave de Cloud KMS en el proyecto de claves para la configuración de CMEK bajo demanda.
Un identificador de clave contiene una referencia a la clave de Cloud KMS que se ha creado. Puedes obtener el ID de recurso de Cloud KMS de una clave creada por Autokey a partir del identificador de la clave. Las herramientas de infraestructura como código, como Terraform, pueden funcionar con identificadores de claves para gestionar recursos protegidos con CMEK sin privilegios elevados.
Los identificadores de claves no se pueden ver en la consola, pero, para usar Autokey con la API REST o Terraform, debes trabajar con ellos. Google Cloud Para obtener más información sobre cómo usar los identificadores de claves, consulta Crear recursos protegidos con Autokey de Cloud KMS.
Configuraciones de Autokey
Una configuración de Autokey es un recurso a nivel de carpeta que define si Autokey está habilitado en la carpeta. La configuración de Autokey también define qué proyecto de claves se usa para las claves creadas por Autokey de Cloud KMS para proteger los recursos de esa carpeta. Cuando habilitas Autokey, creas o actualizas una configuración de Autokey en la carpeta de recursos. Para obtener más información sobre cómo usar las configuraciones de Autokey, consulta Habilitar Autokey de Cloud KMS.
Conexiones de EKM
Una conexión EKM es un recurso de Cloud KMS que organiza las conexiones de VPC a tus EKMs on-premise en unaGoogle Cloud ubicación específica. Una conexión de EKM te permite conectarte a claves de un gestor de claves externo y usarlas a través de una red VPC. Una vez creada, no se puede eliminar una conexión EKM. Las conexiones de EKM no tienen ningún coste.
Recuperar el ID de un recurso
Es posible que algunas llamadas a la API y a la CLI de gcloud requieran que hagas referencia a un conjunto de claves, una clave o una versión de clave por su ID de recurso, que es una cadena que representa el nombre completo de CryptoKeyVersion. Los IDs de recursos son jerárquicos, como las rutas de un sistema de archivos. El ID de recurso de una clave también contiene información sobre el llavero y la ubicación.
| Objeto | Formato de ID de recurso |
|---|---|
| Conjunto de claves | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING |
| Clave | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME |
| Versión de la clave | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION |
| Identificador de clave | projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE |
| Conexión EKM | projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION |
| Configuración de Autokey | folders/FOLDER_NUMBER/autopilotConfig |
Para obtener más información, consulta Obtener un ID de recurso de Cloud KMS.
Organizar recursos
Cuando planifiques cómo organizar los recursos de tu Google Cloud proyecto, ten en cuenta las reglas de tu empresa y cómo piensas gestionar el acceso. Puedes conceder acceso a una sola clave, a todas las claves de un llavero de claves o a todas las claves de un proyecto. Estos son algunos patrones de organización habituales:
- Por entorno, como
prod,testydevelop. - Por área de trabajo, como
payrolloinsurance_claims. - Por la sensibilidad o las características de los datos, como
unrestricted,restricted,confidentialytop-secret.
Ciclos de vida de los recursos
No se pueden eliminar los conjuntos de claves, las claves ni las versiones de claves. De esta forma, el identificador de recurso de una versión de clave es único y siempre apunta al material de clave original de esa versión, a menos que se haya destruido. Puedes almacenar un número ilimitado de conjuntos de claves, claves habilitadas o inhabilitadas, y versiones de claves habilitadas, inhabilitadas o destruidas. Para obtener más información, consulta las páginas sobre precios y cuotas.
Para saber cómo destruir o restaurar una versión de clave, consulta Destruir y restaurar versiones de clave.
Después de programar el cierre de un Google Cloud proyecto, no podrás acceder a sus recursos, incluidos los de Cloud KMS, a menos que lo recuperes siguiendo los pasos para restaurar un proyecto.
Siguientes pasos
- Crea una clave.
- Consulta más información sobre los permisos y roles de Cloud KMS.