Jerarquía de objetos

Cloud Key Management Service permite almacenar las claves criptográficas en una estructura jerárquica diseñada para una administración del control de acceso práctica y elegante. El acceso a los recursos de esta estructura se rige por Cloud IAM.

Estos son los niveles de esta jerarquía en orden descendente:

  1. Proyecto
  2. Ubicación
  3. Llavero de claves
  4. Clave
  5. Versión de clave

Proyecto

Los recursos de Cloud KMS pertenecen a un proyecto, al igual que todos los demás recursos de Google Cloud Platform. Es decir, las cuentas que tienen asignadas funcionalidades básicas de IAM en cualquier proyecto que contenga recursos de Cloud KMS también tienen asignados los permisos correspondientes sobre esos recursos. Por ello, quizás quieras ejecutar Cloud KMS en un proyecto independiente de otros recursos de GCP.

Ubicación

Los recursos de Cloud KMS se pueden crear en varias ubicaciones dentro de un proyecto. Estas representan la ubicación geográfica del centro de datos en donde se manejan las solicitudes a Cloud KMS relacionadas con un recurso determinado y se almacenan las claves criptográficas correspondientes.

Existe una ubicación especial para los recursos de Cloud KMS, denominada global. Cuando creas recursos de Cloud KMS en la ubicación global, estos están disponibles en varios centros de datos.

Consulta Ubicaciones de Cloud KMS para obtener más información sobre las implicaciones de rendimiento de red de las ubicaciones en las que eliges alojar los recursos de Cloud KMS.

Llavero de claves

Recursos

Los llaveros de claves son agrupaciones de claves con fines organizativos. Estos pertenecen a un proyecto de GCP y se almacenan en una ubicación específica. Las claves heredan sus permisos del llavero de claves que las contienen. Si agrupas las claves que tienen permisos relacionados en un llavero de claves, puedes otorgar, revocar o modificar los permisos de ellas en el nivel del llavero de claves sin tener que realizar acciones en cada una de ellas.

ID de recurso del llavero de claves

Algunas llamadas a la API y comandos de la herramienta de línea de comandos de gcloud podrían necesitar el ID de recurso del llavero de claves, que es el nombre completo de KeyRing. Este valor tiene el siguiente formato:

projects/[PROJECT_ID]/locations/[LOCATION]/keyRings/[KEY_RING]

Puedes recuperar el ID de recurso del llavero de claves mediante GCP Console de la siguiente manera:

  1. Abre la página Claves criptográficas de GCP Console.

    Abrir la página Claves criptográficas

  2. Ubica el llavero de claves del cual quieres recuperar el ID de recurso y haz clic en el ícono Más (3 puntos verticales).

  3. Haz clic en Copiar ID de recurso. El ID de recurso del llavero de claves se copiará al portapapeles.

Clave

Una clave es un objeto que tiene un nombre y que representa una clave criptográfica con un propósito específico. El material de la clave, los bits reales que se usan para la encriptación, puede cambiar con el tiempo a medida que se crean versiones de clave nuevas.

Las claves se usan para proteger algunos corpus de datos. Si encriptas un grupo de archivos con la misma clave, quienes tengan permisos de desencriptación en esa clave podrán desencriptarlos.

ID de recurso de la clave

Algunas llamadas a la API y comandos de la herramienta de línea de comandos de gcloud podrían necesitar el ID de recurso de la clave, que es el nombre completo de CryptoKey. Este valor tiene el siguiente formato:

projects/[PROJECT_ID]/locations/[LOCATION]/keyRings/[KEY_RING]/cryptoKeys/[KEY]

Puedes recuperar el ID de recurso de la clave mediante GCP Console de la siguiente manera:

  1. Abre la página Claves criptográficas de GCP Console.

    Abrir la página Claves criptográficas

  2. Haz clic en el nombre del llavero de claves que contiene la clave.

  3. Ubica la clave de la cual quieres recuperar el ID de recurso y haz clic en el ícono Más (3 puntos verticales).

  4. Haz clic en Copiar ID de recurso. Se copiará al portapapeles el ID de recurso de la clave.

Versión de clave

Una versión de clave representa el material de clave asociado con una clave en un momento determinado. Cada clave puede tener varias versiones, pero debe tener al menos una. A las versiones se les asigna un número de manera secuencial, que comienza con 1.

Volvamos al ejemplo del conjunto de archivos encriptados. Los archivos encriptados con la misma clave se pueden encriptar con versiones de clave distintas. Algunos de los archivos se podrían encriptar con la versión 1 y otros, con la versión 2. Cuando solicitas que Cloud KMS desencripte alguno de esos archivos, debes especificar el nombre de la clave (no una versión específica) que se usó para encriptarlo. Cloud KMS identifica de manera automática la versión que se usó para la encriptación y desencripta el archivo con ella si sigue habilitada.

El material de clave asociado con una versión de clave tiene un tipo, que indica la longitud de la clave y el algoritmo que se debe usar con ella. En la actualidad, todas las claves son del tipo Estándar de encriptación avanzada de 256 bits (AES-256) en modo Galois/contador (GCM). Cloud KMS usa encriptación probabilística, por lo que si encriptas el mismo texto sin formato con la misma versión de clave dos veces, el texto cifrado no será el mismo. Actualmente, nuestra API no expone los modos de clave.

Cada versión de clave tiene un estado, que puede ser habilitada, inhabilitada, programada para su destrucción o destruida. Se puede usar cualquier versión de clave para la desencriptación hasta que se coloque de manera explícita en los estados inhabilitada, destruida o programada para su destrucción.

Por motivos de seguridad, no se puede visualizar ni exportar el material de clave criptográfica sin procesar que representa una versión de clave. Solo se puede usar para encriptar o desencriptar los datos cuando un usuario o aplicación autorizada invoca al servicio de Cloud KMS.

Las claves simétricas siempre tendrán una versión de clave primaria. Esta es la versión que usará Cloud KMS para encriptar los datos. Si creas una versión de clave nueva y la conviertes en la versión primaria, puedes rotar una clave simétrica sin perder el acceso a los datos encriptados con versiones anteriores. Las claves asimétricas no tienen una versión primaria. Además, estas tienen consideraciones de rotación distintas en comparación con las claves simétricas.

ID de recurso de la versión de clave

Algunas llamadas a la API y comandos de la herramienta de línea de comandos de gcloud podrían necesitar el ID de recurso de la versión de clave, que es el nombre completo de CryptoKeyVersion. Este valor tiene el siguiente formato:

projects/[PROJECT_ID]/locations/[LOCATION]/keyRings/[KEY_RING]/cryptoKeys/[KEY]/cryptoKeyVersions/[VERSION]

Puedes recuperar el ID de recurso de la versión de clave mediante GCP Console de la siguiente manera:

  1. Abre la página Claves criptográficas de GCP Console.

    Abrir la página Claves criptográficas

  2. Haz clic en el nombre del llavero de claves que contiene la clave.

  3. Haz clic en el nombre de la clave que contiene la versión de clave.

  4. Ubica la versión de clave de la cual quieres recuperar el ID de recurso y haz clic en el ícono Más (3 puntos verticales).

  5. Haz clic en Copiar ID de recurso. El ID de recurso de la versión de clave se copiará al portapapeles.

Ciclo de vida de los objetos

Los recursos de claves y llaveros de claves NO se pueden borrar a fin de evitar los conflictos de nombres de recursos. Las versiones de clave tampoco se pueden borrar, pero el material de clave que contienen se puede destruir a fin de que los recursos no puedan volver a usarse. Las claves y los llaveros de claves no tienen costos facturables ni limitaciones de cuota, por lo que su existencia continua no afecta los límites de costo ni de producción.

Consulta Destruye y restablece versiones de clave para obtener información sobre cómo destruir versiones de clave.

Si programas la desactivación de un proyecto de Google Cloud Platform, no podrás acceder a sus recursos, incluidos los de Cloud KMS, a menos que lo recuperes. Para ello, deberás seguir los pasos de restablecimiento de proyectos.

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

Documentación de Cloud KMS