En esta página se explica cómo usar las claves de cifrado gestionadas por el cliente de Cloud KMS en otros Google Cloud servicios para proteger tus recursos. Para obtener más información, consulta Claves de cifrado gestionadas por el cliente (CMEK).
Cuando un servicio admite CMEK, se dice que tiene una integración de CMEK. Algunos servicios, como GKE, tienen varias integraciones de CMEK para proteger diferentes tipos de datos relacionados con el servicio. Para ver una lista de los servicios con integraciones de CMEK, consulta la sección Habilitar CMEK en servicios compatibles de esta página.
Antes de empezar
Para poder usar las claves de Cloud KMS en otros servicios, debes tener un recurso de proyecto que contenga tus claves de Cloud KMS. Google Cloud Te recomendamos que uses un proyecto independiente para tus recursos de Cloud KMS que no contenga ningún otro Google Cloud recurso.
Integraciones de CMEK
Preparar la habilitación de la integración de CMEK
Para ver los pasos exactos que debes seguir para habilitar CMEK, consulta la documentación delGoogle Cloud servicio correspondiente. En esta página, en Habilitar CMEK en servicios compatibles, encontrarás un enlace a la documentación de CMEK de cada servicio. En cada servicio, deberás seguir pasos similares a los siguientes:
Crea un conjunto de claves o selecciona uno que ya tengas. El llavero debe estar ubicado lo más cerca posible de los recursos que quieras proteger.
En el conjunto de claves seleccionado, crea una clave o selecciona una que ya tengas. Asegúrate de que el nivel de protección, el propósito y el algoritmo de la clave sean adecuados para los recursos que quieras proteger. Esta clave es la clave CMEK.
Obtén el ID de recurso de la clave CMEK. Necesitará este ID de recurso más adelante.
Asigna el rol de gestión de identidades y accesos Encargado del encriptado y desencriptado de la clave criptográfica (
roles/cloudkms.cryptoKeyEncrypterDecrypter) de la clave CMEK a la cuenta de servicio del servicio.
Una vez que hayas creado la clave y asignado los permisos necesarios, podrás crear o configurar un servicio para usar tu clave de CMEK.
Usar claves de Cloud KMS con servicios integrados con CMEK
En los pasos siguientes se usa Secret Manager como ejemplo. Para saber los pasos exactos que debes seguir para usar una clave de CMEK de Cloud KMS en un servicio concreto, busca ese servicio en la lista de servicios integrados con CMEK.
En Secret Manager, puedes usar una CMEK para proteger los datos en reposo.
En la Google Cloud consola, ve a la página Secret Manager.
Para crear un secreto, haz clic en Crear secreto.
En la sección Encriptado, selecciona Usar una clave de cifrado gestionada por el cliente (CMEK).
En el cuadro Clave de cifrado, haz lo siguiente:
Opcional: Para usar una clave en otro proyecto, haz lo siguiente:
- Haz clic en Cambiar de proyecto.
- Escribe el nombre del proyecto o parte de él en la barra de búsqueda y, a continuación, selecciona el proyecto.
- Para ver las claves disponibles del proyecto seleccionado, haz clic en Seleccionar.
Opcional: Para filtrar las claves disponibles por ubicación, llavero de claves, nombre o nivel de protección, introduce los términos de búsqueda en la barra de filtros.
Selecciona una clave de la lista de claves disponibles del proyecto seleccionado. Puedes usar la ubicación, el llavero y el nivel de protección que se muestran para asegurarte de que eliges la clave correcta.
Si la clave que quieres usar no aparece en la lista, haz clic en Introducir clave manualmente e introduce el ID de recurso de la clave.
Termine de configurar el secreto y haga clic en Crear secreto. Secret Manager crea el secreto y lo cifra con la clave CMEK especificada.
Habilitar CMEK en los servicios admitidos
Para habilitar las claves de cifrado gestionadas por el cliente, primero busca el servicio que quieras en la siguiente tabla. Puedes introducir términos de búsqueda en el campo para filtrar la tabla. Todos los servicios de esta lista admiten claves de software y hardware (HSM). Los productos que se integran con Cloud KMS al usar claves de Cloud EKM externas se indican en la columna EKM admitido.
Sigue las instrucciones de cada servicio para el que quieras habilitar las claves de cifrado gestionadas por el cliente.
| Servicio | Protegido con CMEK | Compatible con EKM | Tema |
|---|---|---|---|
| Agent Assist | Datos en reposo | Sí | Claves de encriptado gestionadas por el cliente (CMEK) |
| Aplicaciones de IA | Datos en reposo | No | Claves de cifrado gestionadas por el cliente |
| AlloyDB for PostgreSQL | Datos escritos en bases de datos | Sí | Usar claves de cifrado gestionadas por el cliente |
| Anti Money Laundering AI | Datos de los recursos de instancias de AML AI | No | Encriptar datos con claves de encriptado gestionadas por el cliente (CMEK) |
| Apigee | Datos en reposo | No | Introducción a las CMEK |
| Hub de APIs de Apigee | Datos en reposo | Sí | Cifrado |
| Application Integration | Datos en reposo | Sí | Usar claves de cifrado gestionadas por el cliente |
| Artifact Registry | Datos de los repositorios | Sí | Habilitar claves de cifrado gestionadas por el cliente |
| Copia de seguridad de GKE | Datos de Copia de seguridad de GKE | Sí | Acerca del cifrado con CMEK de Backup for GKE |
| BigQuery | Datos de BigQuery | Sí | Proteger datos con claves de Cloud KMS |
| Bigtable | Datos en reposo | Sí | Claves de encriptado gestionadas por el cliente (CMEK) |
| Cloud Composer | Datos del entorno | Sí | Usar claves de cifrado gestionadas por el cliente |
| Cloud Data Fusion | Datos del entorno | Sí | Usar claves de cifrado gestionadas por el cliente |
| API de Cloud Healthcare | Conjuntos de datos de la API Cloud Healthcare | Sí | Usar claves de encriptado gestionadas por el cliente (CMEK) |
| Cloud Logging | Datos del router de registros | Sí | Gestionar las claves que protegen los datos de Log Router |
| Cloud Logging | Datos del almacenamiento de Logging | Sí | Gestionar las claves que protegen los datos de almacenamiento de Logging |
| Cloud Run | Imagen de contenedor | Sí | Usar claves de cifrado gestionadas por el cliente con Cloud Run |
| Cloud Run Functions | Datos en Cloud Run Functions | Sí | Usar claves de cifrado gestionadas por el cliente |
| Cloud SQL | Datos escritos en bases de datos | Sí | Usar claves de cifrado gestionadas por el cliente |
| Cloud Storage | Datos de segmentos de almacenamiento | Sí | Usar claves de cifrado gestionadas por el cliente |
| Cloud Tasks | Cuerpo y encabezado de la tarea en reposo | Sí | Usar claves de cifrado gestionadas por el cliente |
| Cloud Workstations | Datos de discos de máquinas virtuales | Sí | Cifrar recursos de estaciones de trabajo |
| Colab Enterprise | Tiempos de ejecución y archivos de cuaderno | No | Usar claves de cifrado gestionadas por el cliente |
| Compute Engine | Discos persistentes | Sí | Proteger recursos con claves de Cloud KMS |
| Compute Engine | Capturas | Sí | Proteger recursos con claves de Cloud KMS |
| Compute Engine | Imágenes personalizadas | Sí | Proteger recursos con claves de Cloud KMS |
| Compute Engine | Imágenes de máquina | Sí | Proteger recursos con claves de Cloud KMS |
| Conversational Insights | Datos en reposo | Sí | Claves de encriptado gestionadas por el cliente (CMEK) |
| Migraciones homogéneas de Database Migration Service | Migraciones de MySQL: datos escritos en bases de datos | Sí | Usar claves de cifrado gestionadas por el cliente (CMEK) |
| Migraciones homogéneas de Database Migration Service | Migraciones de PostgreSQL: datos escritos en bases de datos | Sí | Usar claves de cifrado gestionadas por el cliente (CMEK) |
| Migraciones homogéneas de Database Migration Service | Migraciones de PostgreSQL a AlloyDB: datos escritos en bases de datos | Sí | Información sobre las CMEK |
| Migraciones homogéneas de Database Migration Service | Migraciones de SQL Server: datos escritos en bases de datos | Sí | Información sobre las CMEK |
| Migraciones heterogéneas de Database Migration Service | Datos en reposo de Oracle a PostgreSQL | Sí | Usar claves de cifrado gestionadas por el cliente (CMEK) para migraciones continuas |
| Dataflow | Datos de estado del flujo de procesamiento | Sí | Usar claves de cifrado gestionadas por el cliente |
| Dataform | Datos de los repositorios | Sí | Usar claves de cifrado gestionadas por el cliente |
| Dataplex Universal Catalog | Datos en reposo | Sí | Claves de cifrado gestionadas por el cliente |
| Dataproc | Datos de clústeres de Dataproc en discos de VM | Sí | Claves de cifrado gestionadas por el cliente |
| Dataproc | Datos de Dataproc sin servidor en discos de VM | Sí | Claves de cifrado gestionadas por el cliente |
| Dataproc Metastore | Datos en reposo | Sí | Usar claves de cifrado gestionadas por el cliente |
| Datastream | Datos en tránsito | No | Usar claves de cifrado gestionadas por el cliente (CMEK) |
| Dialogflow CX | Datos en reposo | Sí | Claves de encriptado gestionadas por el cliente (CMEK) |
| Document AI | Datos en reposo y datos en uso | Sí | Claves de encriptado gestionadas por el cliente (CMEK) |
| Eventarc Advanced (vista previa) | Datos en reposo | No | Usar claves de encriptado gestionadas por el cliente (CMEK) |
| Eventarc Standard | Datos en reposo | Sí | Usar claves de encriptado gestionadas por el cliente (CMEK) |
| Filestore | Datos en reposo | Sí | Encriptar datos con claves de encriptado gestionadas por el cliente |
| Firestore | Datos en reposo | Sí | Usar claves de encriptado gestionadas por el cliente (CMEK) |
| Gemini Code Assist | Datos en reposo | No | Encriptar datos con claves de encriptado gestionadas por el cliente |
| Google Agentspace - NotebookLM Enterprise | Datos en reposo | No | Claves de cifrado gestionadas por el cliente |
| Google Agentspace Enterprise | Datos en reposo | No | Claves de cifrado gestionadas por el cliente |
| Google Cloud Managed Service para Apache Kafka | Datos asociados a temas | Sí | Configurar el cifrado de mensajes |
| Google Cloud NetApp Volumes | Datos en reposo | Sí | Crear una política de CMEK |
| Google Distributed Cloud | Datos en nodos perimetrales | Sí | Seguridad del almacenamiento local |
| Google Kubernetes Engine | Datos de discos de máquinas virtuales | Sí | Usar claves de cifrado gestionadas por el cliente (CMEK) |
| Google Kubernetes Engine | Secretos de la capa de aplicación | Sí | Encriptado de secretos de la capa de aplicación |
| Integration Connectors | Datos en reposo | Sí | Métodos de cifrado |
| Looker (servicio principal de Google Cloud) | Datos en reposo | Sí | Habilitar CMEK en Looker (servicio principal de Google Cloud) |
| Memorystore para Redis | Datos en reposo | Sí | Claves de encriptado gestionadas por el cliente (CMEK) |
| Migrate to Virtual Machines | Datos migrados desde fuentes de VMs de VMware, AWS y Azure | Sí | Usar CMEK para cifrar los datos almacenados durante una migración |
| Migrate to Virtual Machines | Datos migrados de fuentes de discos e imágenes de máquina | Sí | Usar CMEK para cifrar datos en discos de destino e imágenes de máquina |
| Gestor de parámetros | Cargas útiles de la versión del parámetro | Sí | Habilitar claves de cifrado gestionadas por el cliente en Gestor de parámetros |
| Pub/Sub | Datos asociados a temas | Sí | Configurar el cifrado de mensajes |
| Secret Manager | Cargas útiles secretas | Sí | Habilitar claves de cifrado gestionadas por el cliente para Secret Manager |
| Secure Source Manager | Instancias | Sí | Encriptar datos con claves de encriptado gestionadas por el cliente |
| Security Command Center | Datos en reposo | No | Habilitar las claves de cifrado gestionadas por el cliente en Security Command Center |
| Spanner | Datos en reposo | Sí | Claves de encriptado gestionadas por el cliente (CMEK) |
| Speaker ID (GA restringido) | Datos en reposo | Sí | Usar claves de encriptado gestionadas por el cliente |
| Speech‑to‑Text | Datos en reposo | Sí | Usar claves de cifrado gestionadas por el cliente |
| Vertex AI | Datos asociados a recursos | Sí | Usar claves de cifrado gestionadas por el cliente |
| Cuadernos gestionados de Vertex AI Workbench (obsoleto) | Datos de usuario en reposo | No | Claves de cifrado gestionadas por el cliente |
| Cuadernos gestionados por el usuario de Vertex AI Workbench (obsoleto) | Datos de discos de máquinas virtuales | No | Claves de cifrado gestionadas por el cliente |
| Instancias de Vertex AI Workbench | Datos de discos de máquinas virtuales | Sí | Claves de cifrado gestionadas por el cliente |
| Flujos de trabajo | Datos en reposo | Sí | Usar claves de encriptado gestionadas por el cliente (CMEK) |
| Workload Manager | Datos de evaluación de tipo de regla personalizada | Sí | Habilitar claves de cifrado gestionadas por el cliente para las evaluaciones |