Se usó la API de Cloud Translation para traducir esta página.

Recursos de Cloud KMS

En esta página, se describe cada tipo de recurso en Cloud KMS. Puedes obtener más información sobre la jerarquía de recursos.

Claves

Una clave de Cloud KMS es un objeto con nombre que contiene una o más claves versiones, junto con los metadatos de la clave. Existe una clave en exactamente un llavero de claves vinculado a una ubicación específica.

Puedes permitir y denegar el acceso a las claves mediante los permisos y funciones de administración de identidades y accesos (IAM). No puedes administrar el acceso a una llave versión.

Inhabilitar o destruir una clave también inhabilita o destruye cada versión de clave.

En las siguientes secciones, se analizan las propiedades de una clave.

Según el contexto, las propiedades de una clave se muestran en un formato diferente.

Cuando se usa Google Cloud CLI o la API de Cloud Key Management Service, se muestra la propiedad como una cadena de letras mayúsculas, como SOFTWARE.
Cuando se usa la consola de Google Cloud, la propiedad se muestra como una cadena con mayúsculas al principio, como Software.

En las siguientes secciones, se muestra cada formato cuando corresponde.

Tipo

El tipo de clave determina si la clave se usa para las operaciones criptográficas simétricas o asimétricas.

En la criptografía simétrica o la firma, se usa la misma clave para encriptar y desencriptar o firmar y verificar una firma.

En la criptografía asimétrica o la firma, la clave consta de una clave pública y una privada. Una clave privada con su clave pública correspondiente se denomina clave de terceros.

La clave privada son datos sensibles y se necesita para desencriptar datos o para según el propósito configurado de la clave.
La clave pública no se considera sensible y es necesaria para encriptar datos o para verificar una firma, según el propósito configurado de la clave.

El tipo de clave es un componente del propósito de la clave y no se puede cambiar después se crea la clave.

Objetivo

El propósito de una clave indica qué tipo de operaciones criptográficas puede llevar a cabo se usa para, por ejemplo, Encriptación/desencriptación simétrica o Asimétrica firma. Tú eliges el propósito cuando creas la clave y todas las versiones de un tienen el mismo propósito. El propósito de una clave no se puede cambiar crear. Para obtener más información sobre los propósitos de clave, consulta Propósitos de clave.

Nivel de protección

El nivel de protección de una clave determina el entorno de almacenamiento de la clave en el resto. El nivel de protección es uno de los siguientes:

Software (SOFTWARE en Google Cloud CLI y la API de Cloud Key Management Service)
HSM
Externo (EXTERNAL en Google Cloud CLI y la API de Cloud Key Management Service)
External_VPC (EXTERNAL_VPC en Google Cloud CLI y la API de Cloud Key Management Service)

El nivel de protección de una clave no se puede cambiar después de crearla.

Versión principal

Las claves pueden tener varias versiones de clave activas y habilitadas a la vez. tiempo. Las claves de encriptación simétricas tienen una versión de clave primaria, que es la clave que se usa de forma predeterminada para encriptar datos si no especificas una versión de clave.

Las claves asimétricas no tienen versiones principales. debes especificar la versión cuando usando la clave.

Para claves simétricas y asimétricas, puedes usar cualquier versión de clave habilitada para encriptar y desencriptar datos o firmar y validar firmas.

Versiones de claves

Cada versión de una clave contiene material de clave usado para la encriptación o la firma. Cada A la versión se le asigna un número de versión que comienza en 1. Rotar una clave crea un a la versión nueva de la clave. Obtén más información sobre la rotación claves.

Para desencriptar datos o verificar una firma, debes usar la misma versión de clave que se usó para encriptar o firmar los datos. Para encontrar el ID de recurso de una versión de clave, consulta Recuperar el ID de recurso de una clave.

Puedes inhabilitar o destruir versiones de claves individuales sin afectar a otras versions. También puedes inhabilitar o destruir todas las versiones de una clave determinada.

No puedes controlar el acceso a las versiones de claves independientemente de los permisos en efecto en la clave. Otorgar acceso a una clave otorga acceso a todos los datos de esa clave versiones habilitadas.

Por motivos de seguridad, ningún principal de Google Cloud puede ver o exportar el material de clave criptográfica sin procesar representado por una versión de clave. En cambio, Cloud KMS accede al material de clave en tu nombre.

En las siguientes secciones, se analizan las propiedades de una versión de clave.

Estado

Cada versión de clave tiene un estado que indica su estado. Por lo general, un el estado de la clave será uno de los siguientes:

Habilitado
Inhabilitado
Programado para su destrucción
Destruido

Una versión de clave solo se puede usar cuando está habilitada. Versiones de claves en cualquier estado que no sean destruidos generan costos. Para obtener más información sobre las claves estados de la versión y cómo las versiones pueden hacer la transición entre ellos, consulta Versión de clave estados.

Algoritmo

El algoritmo de una versión de clave determina cómo se crea el material de clave y el parámetros necesarios para las operaciones criptográficas. Claves simétricas y asimétricas usan algoritmos diferentes. La encriptación y la firma usan algoritmos diferentes.

Si no especificas un algoritmo cuando creas una nueva versión de clave, el algoritmo de la versión anterior.

Sin importar el algoritmo, Cloud KMS usa encriptación probabilística, para que el mismo texto simple encriptado con la misma versión de clave dos veces no devuelve el mismo texto cifrado.

Llaveros de claves

Un llavero de claves organiza las claves en Google Cloud location y te permite administrar el control de acceso en grupos de claves. El llavero de claves no es necesario que sea único en todo el proyecto de Google Cloud, pero únicos en una ubicación determinada. No se puede borrar un llavero de claves después de su creación. Los llaveros de claves no generan ningún costo.

Controladores de teclas

Un controlador de clave es un recurso de Cloud KMS que te ayuda a abarcar la la separación de obligaciones a fin de crear nuevas claves de Cloud KMS para CMEK con Autokey La creación de un controlador de clave en un proyecto de recurso se activa la creación de una clave de Cloud KMS en el proyecto de claves para CMEK según demanda setup.

Un controlador de clave contiene una referencia a la clave de Cloud KMS que se crear. Puedes recuperar el ID de recurso de Cloud KMS de una clave creada por Autokey desde el controlador de la clave. Las herramientas de infraestructura como código, como Terraform puede funcionar con controladores de claves para administrar recursos protegidos por CMEK sin privilegios elevados.

Los controladores de las claves no se pueden ver en la consola de Google Cloud, pero puedes usar Autokey con la API de REST o Terraform, debes trabajar con los controladores de claves. Para ver más información sobre el uso de los controladores de claves, consulta Crea recursos protegidos con Autokey de Cloud KMS

Configuración de Autokey

Una configuración de Autokey es un recurso a nivel de carpeta que define si Autokey está habilitado para la carpeta. La configuración de Autokey también define el proyecto de clave que se usa para las claves que crea Autokey de Cloud KMS para proteger los recursos de esa carpeta. Cuando habilitas Autokey, creas o actualizar una configuración de Autokey en la carpeta de recursos. Para ver más para usar la configuración de Autokey, consulta Cómo habilitar Autokey de Cloud KMS

Conexiones EKM

Una conexión EKM es un recurso de Cloud KMS que organiza conexiones de VPC a tus EKM locales en un ubicación de Google Cloud. Una conexión EKM te permite conectarte y usar de un administrador de claves externo a través de una red de VPC. Después del de creación, no se puede borrar una conexión EKM. Las conexiones EKM no generan ningún costo.

Recupera el ID de un recurso

Es posible que algunas llamadas a la API y gcloud CLI requieran que consultes una clave clave o versión de clave según el ID del recurso, que es una cadena que representa el CryptoKeyVersion completamente calificado. Los IDs de recursos son jerárquicos, similares a una ruta del sistema de archivos. El ID de recurso de una clave también contiene información sobre el el llavero de claves y la ubicación.

Objeto	Formato de ID del recurso
Llavero de claves	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING`
Clave	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME`
Versión de clave	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION`
Controlador de la tecla	`projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE`
Conexión EKM	`projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION`
Configuración de Autokey	`folders/FOLDER_NUMBER/autopilotConfig`

Para obtener más información, consulta Obtén un ID de recurso de Cloud KMS.

Organiza los recursos

Cuando planifiques cómo organizar los recursos en tu proyecto de Google Cloud, ten en cuenta las reglas de tu empresa y cómo planeas administrar el acceso. Puedes otorga acceso a una sola clave, a todas las claves de un llavero de claves o a todas las claves de un proyecto. Los siguientes patrones de organización son comunes:

Por entorno, como prod, test y develop
Por área de trabajo, como payroll o insurance_claims
Por sensibilidad o características de datos, como unrestricted, restricted, confidential y top-secret

Ciclos de vida de los recursos

No se pueden borrar los llaveros de claves, las claves ni las versiones de claves. Esto garantiza que el identificador de recursos de una clave es única y siempre apunta al material de clave original para esa versión, a menos que se destruyeron. Puedes almacenar un número ilimitado de llaveros de claves y claves habilitadas o inhabilitadas. habilitar, inhabilitar o destruir versiones de claves. Para obtener más información, consulta Precios y Cuotas

Para obtener información sobre cómo destruir o restablecer una versión de clave, consulta Destruye y restablece una versión de clave. versiones de claves.

Después de programar el apagado de un proyecto de Google Cloud, no puedes acceder a los recursos del proyecto, incluido Cloud KMS a menos que recuperes el proyecto siguiendo los pasos para restablecer un proyecto.

¿Qué sigue?

Crea una clave.
Obtén más información sobre los permisos y las funciones en Cloud KMS.