Se usó la API de Cloud Translation para traducir esta página.

Usa claves de Cloud KMS en Google Cloud

En esta página, se explica cómo usar las claves de encriptación administradas por el cliente de Cloud KMS en otros servicios de Google Cloud para proteger tus recursos. Para obtener más información, consulta Claves de encriptación administradas por el cliente (CMEK).

Cuando un servicio admite CMEK, se dice que tiene una integración de CMEK. Algunos servicios, como GKE, tienen varias integraciones con CMEK para proteger diferentes tipos de datos relacionados con el servicio. Si quieres obtener una lista de servicios con integraciones de CMEK, consulta Habilita CMEK para servicios compatibles en esta página.

Antes de comenzar

Antes de poder usar las claves de Cloud KMS en otros servicios de Google Cloud, debes tener un recurso de proyecto que contenga tus claves de Cloud KMS. Recomendamos usar un proyecto separado para tus recursos de Cloud KMS que no contenga ningún otro recurso de Google Cloud.

Integraciones de CMEK

Prepárate para habilitar la integración de CMEK

Para conocer los pasos exactos a fin de habilitar CMEK, consulta la documentación del servicio de Google Cloud relevante. Puedes encontrar un vínculo a la documentación de CMEK para cada servicio en Habilita CMEK para servicios compatibles en esta página. Para cada servicio, puedes seguir pasos similares a los siguientes:

Crea un llavero de claves o selecciona uno existente. El llavero de claves debe estar ubicado lo más geográficamente cerca posible de los recursos que deseas proteger.
En el llavero de claves elegido, crea una clave o selecciona una existente. Asegúrate de que el nivel de protección, el propósito y el algoritmo de la clave sean adecuados para los recursos que deseas proteger. Esta es la clave CMEK.
Obtén el ID de recurso para la clave CMEK. Necesitarás este ID de recurso más adelante.
Otorga la función de IAM de encriptador o desencriptador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) en la clave CMEK a la cuenta de servicio del servicio.

Nota: Puedes otorgar la función de Encriptador o Desencriptador de CryptoKey de Cloud KMS a nivel de la clave, el llavero de claves, el proyecto, la carpeta o la organización. Para seguir el principio de privilegio mínimo, te recomendamos otorgar esta función en el nivel más bajo que cumpla con tus necesidades.
Precaución: Siempre que tu cuenta de servicio tenga la función de Encriptador/Desencriptador de CryptoKey de Cloud KMS, el servicio puede encriptar y desencriptar sus datos. Si revocas la función o si inhabilitas o destruyes la clave CMEK, ya no se podrá acceder a los datos. Dejar la clave CMEK inaccesible puede afectar tus servicios.

Después de crear la clave y asignar los permisos necesarios, puedes crear o configurar un servicio para usar tu CMEK.

Usa claves de Cloud KMS con servicios integrados con CMEK

En los siguientes pasos, se usa Secret Manager como ejemplo. Si quieres conocer los pasos exactos para usar una clave CMEK de Cloud KMS en un servicio determinado, ubica ese servicio en la lista de servicios integrados con CMEK.

En Secret Manager, puedes usar una CMEK para proteger los datos en reposo.

En la consola de Google Cloud, ve a la página Secret Manager.

Ir a Secret Manager
Para crear un secreto, haz clic en Crear secreto.
En la sección Encriptación, selecciona Usar una clave de encriptación administrada por el cliente (CMEK).
En el cuadro Clave de encriptación, haz lo siguiente:
1. Opcional: Para usar una clave en otro proyecto, haz lo siguiente:
  1. Haz clic en Cambiar proyecto.
  2. Ingresa todo el nombre del proyecto o una parte de él en la barra de búsqueda y, luego, selecciónalo.
  3. Si quieres ver las claves disponibles para el proyecto seleccionado, haz clic en Seleccionar.
2. Opcional: Para filtrar las claves disponibles por ubicación, llavero de claves, nombre o nivel de protección, ingresa los términos de búsqueda en la barra de filtros .
3. Selecciona una clave de la lista de claves disponibles en el proyecto seleccionado. Puedes usar los detalles de la ubicación, el llavero de claves y el nivel de protección que se muestran para asegurarte de elegir la clave correcta.
4. Si la clave que deseas usar no aparece en la lista, haz clic en Ingresar clave de forma manual y, luego, ingresa el ID de recurso de la clave.
Termina de configurar tu secreto y haz clic en Crear secreto. Secret Manager crea el secreto y lo encripta con la clave CMEK especificada.

Habilitar CMEK para servicios compatibles

Para habilitar CMEK, primero localiza el servicio deseado en la siguiente tabla. Puedes ingresar términos de búsqueda en el campo para filtrar la tabla. Todos los servicios de esta lista admiten claves de software y hardware (HSM). Los productos que se integran en Cloud KMS cuando usan claves externas de Cloud EKM se indican en la columna EKM compatible.

Sigue las instrucciones de cada servicio para el que quieras habilitar las CMEK.

Servicio	Protección con CMEK	Compatible con EKM	Tema
AI Platform Training	Datos en discos de VM	No	Usa claves de encriptación administradas por el cliente
AlloyDB para PostgreSQL	Datos escritos en bases de datos	Sí	Usa claves de encriptación administradas por el cliente
IA para prevención del lavado de dinero	Datos en recursos de instancias de IA contra lavado de dinero	No	Encripta datos con claves de encriptación administradas por el cliente (CMEK)
Application Integration	Datos escritos en bases de datos para la integración de aplicaciones	No	Usa claves de encriptación administradas por el cliente
Artifact Registry	Datos en repositorios	Sí	Habilita claves de encriptación administradas por el cliente
Copia de seguridad para GKE	Datos en Copia de seguridad para GKE	Sí	Información acerca de la encriptación de CMEK de Copia de seguridad para GKE
BigQuery	Datos en BigQuery	Sí	Protege datos con claves de Cloud KMS
Bigtable	Datos en reposo	Sí	Claves de encriptación administradas por el cliente (CMEK)
Cloud Composer	Datos del entorno	Sí	Usa claves de encriptación administradas por el cliente
Cloud Data Fusion	Datos del entorno	Sí	Usa claves de encriptación administradas por el cliente
Cloud Functions	Datos en Cloud Functions	Sí	Usa claves de encriptación administradas por el cliente
Cloud Logging	Datos en el Enrutador de registros	Sí	Administra las claves que protegen los datos del Enrutador de registros
Cloud Logging	Datos en el almacenamiento de Logging	Sí	Administra las claves que protegen los datos de almacenamiento de Logging
Cloud Run	Imagen de contenedor	Sí	Usar claves de encriptación administradas por el cliente con Cloud Run
Cloud SQL	Datos escritos en bases de datos	Sí	Usa claves de encriptación administradas por el cliente
Cloud Storage	Datos en depósitos de almacenamiento	Sí	Usa claves de encriptación administradas por el cliente
Cloud Tasks	Cuerpo de la tarea y encabezado en reposo	Sí	Usar claves de encriptación administradas por el cliente
Cloud Workstations	Datos en discos de VM	Sí	Encripta recursos de estaciones de trabajo
Compute Engine	Discos persistentes	Sí	Protege recursos con las claves de Cloud KMS
Compute Engine	Instantáneas	Sí	Protege recursos con las claves de Cloud KMS
Compute Engine	Imágenes personalizadas	Sí	Protege recursos con las claves de Cloud KMS
Compute Engine	Imágenes de máquina	Sí	Protege recursos con las claves de Cloud KMS
Contact Center AI Insights	Datos en reposo	Sí	Claves de encriptación administradas por el cliente (CMEK)
Migraciones homogéneas de Database Migration Service	Migraciones de MySQL: datos escritos en bases de datos	Sí	Usa claves de encriptación administradas por el cliente (CMEK)
Migraciones homogéneas de Database Migration Service	Migraciones de PostgreSQL: Datos escritos en bases de datos	Sí	Usa claves de encriptación administradas por el cliente (CMEK)
Migraciones homogéneas de Database Migration Service	Migraciones de PostgreSQL a AlloyDB: Datos escritos en bases de datos	Sí	Acerca de CMEK
Migraciones heterogéneas de Database Migration Service	Datos en reposo de Oracle a PostgreSQL	Sí	Usa claves de encriptación administradas por el cliente (CMEK) para migraciones continuas
Dataflow	Datos del estado de la canalización	Sí	Usa claves de encriptación administradas por el cliente
Dataform (vista previa)	Datos en repositorios	No	Usar claves de encriptación administradas por el cliente
Dataproc	Datos de clústeres de Dataproc en discos de VM	Sí	Claves de encriptación administradas por el cliente
Dataproc	Datos sin servidores de Dataproc en discos de VM	Sí	Claves de encriptación administradas por el cliente
Dataproc Metastore	Datos en reposo	Sí	Usa claves de encriptación administradas por el cliente
Datastream	Datos en tránsito	No	Usa claves de encriptación administradas por el cliente (CMEK)
Dialogflow CX	Datos en reposo	Sí	Claves de encriptación administradas por el cliente (CMEK)
Document AI	Datos en reposo y datos en uso	Sí	Claves de encriptación administradas por el cliente (CMEK)
Eventarc	Datos en reposo	Sí	Usa claves de encriptación administradas por el cliente (CMEK)
Filestore	Datos en reposo	Sí	Encriptar datos con claves de encriptación administradas por el cliente
Firestore (vista previa)	Datos en reposo	Sí	Usa claves de encriptación administradas por el cliente (CMEK)
Google Distributed Cloud Edge	Datos en nodos perimetrales	Sí	Seguridad del almacenamiento local
Google Kubernetes Engine	Datos en discos de VM	Sí	Usa claves de encriptación administradas por el cliente (CMEK)
Google Kubernetes Engine	Secretos de la capa de la aplicación	Sí	Encriptación de Secrets de la capa de la aplicación
Looker (Google Cloud Core)	Datos en reposo	Sí	Habilita CMEK para Looker (Google Cloud Core)
Memorystore for Redis	Datos en reposo	Sí	Claves de encriptación administradas por el cliente (CMEK)
Migrate to Virtual Machines	Datos migrados desde fuentes de VMware, AWS y Azure	Sí	Usa claves de encriptación administradas por el cliente (CMEK) con Migrate to Virtual Machines
Pub/Sub	Datos asociados con temas	Sí	Configurar la encriptación de mensajes
Secret Manager	Cargas útiles de secretos	Sí	Habilita las claves de encriptación administradas por el cliente para Secret Manager
Secure Source Manager	Instancias	Sí	Encriptar datos con claves de encriptación administradas por el cliente
Spanner	Datos en reposo	Sí	Claves de encriptación administradas por el cliente (CMEK)
Speaker ID (DG restringida)	Datos en reposo	Sí	Usar claves de encriptación administradas por el cliente
Speech‑to‑Text	Datos en reposo	Sí	Usa claves de encriptación administradas por el cliente
Vertex AI	Datos asociados con los recursos	Sí	Usa claves de encriptación administradas por el cliente
Notebooks administrados de Vertex AI Workbench	Datos del usuario en reposo	No	Claves de encriptación administradas por el cliente
Notebooks administrados por el usuario de Vertex AI Workbench	Datos en discos de VM	No	Claves de encriptación administradas por el cliente
Instancias de Vertex AI Workbench	Datos en discos de VM	Sí	Claves de encriptación administradas por el cliente
Workflows	Datos en reposo	Sí	Usa claves de encriptación administradas por el cliente (CMEK)