Se usó la API de Cloud Translation para traducir esta página.

Usa claves de Cloud KMS en Google Cloud

En esta página, se explica cómo usar las claves de encriptación administradas por el cliente de Cloud KMS en otros servicios de Google Cloud para proteger tus recursos. Para obtener más información, consulta Claves de encriptación administradas por el cliente (CMEK).

Cuando un servicio admite CMEK, se dice que tiene una integración con CMEK. Algunos servicios, como GKE, tienen varias integraciones con CMEK para proteger diferentes tipos de datos relacionados con el servicio. Para obtener una lista de servicios con integraciones de CMEK, consulta Habilita CMEK para los servicios compatibles en esta página.

Antes de comenzar

Antes de poder usar las claves de Cloud KMS en otros servicios de Google Cloud, debes tener un recurso de proyecto que contenga tus claves de Cloud KMS. Mié te recomendamos usar un proyecto independiente para tus recursos de Cloud KMS que no contiene ningún otro recurso de Google Cloud.

Integraciones de CMEK

Prepárate para habilitar la integración de CMEK

Para conocer los pasos exactos a fin de habilitar CMEK, consulta la documentación del servicio de Google Cloud relevante. Puedes encontrar un vínculo a la documentación de CMEK para cada servicio en Habilitar CMEK para servicios compatibles en esta página. Para cada servicio, puedes seguir pasos similares a los lo siguiente:

Crea un llavero de claves o selecciona uno existente. El llavero de claves debe estar ubicado lo más cerca posible de los recursos que deseas proteger.
En el llavero de claves seleccionado, crea una clave o selecciona una clave existente. Asegúrate de que el nivel de protección, el propósito y el algoritmo de clave sean adecuados para los recursos que quieras proteger. Esta llave es la clave CMEK.
Obtén el ID de recurso de la CMEK . Necesitarás este ID de recurso más adelante.
Otorga el rol de IAM de encriptador/desencriptador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) en la clave CMEK a la cuenta de servicio del servicio.

Nota: Puedes otorgar el rol de encriptador/desencriptador de CryptoKey de Cloud KMS a nivel de la clave, el llavero, el proyecto, la carpeta o la organización. Para seguir el principio de privilegio mínimo, te recomendamos que otorgues este rol en el nivel más bajo que satisfaga tus necesidades.
Precaución: Siempre que tu cuenta de servicio tenga el rol de encriptador/desencriptador de CryptoKey de Cloud KMS, el servicio puede encriptar y desencriptar sus datos. Si revocas el rol o si inhabilitas o destruyes la clave CMEK, el ya no se puede acceder a ellos. Si no puedes acceder a tu clave CMEK, esto puede afectar tus servicios.

Después de crear la clave y asignar los permisos necesarios, puedes hacer lo siguiente: crear o configurar un servicio para usar tu clave CMEK.

Usa claves de Cloud KMS con servicios integrados con CMEK

En los siguientes pasos, se usa Secret Manager como ejemplo. Para saber para usar una CMEK de Cloud KMS en un servicio determinado, ubica esa en la lista de servicios integrados de CMEK.

En Secret Manager, puedes usar una CMEK para proteger los datos en reposo.

En la consola de Google Cloud, ve a la página Secret Manager.

Ir a Secret Manager
Para crear un secreto, haz clic en Crear secreto.
En la sección Encriptación, selecciona Usar una encriptación administrada por el cliente. (CMEK).
En el cuadro Clave de encriptación, haz lo siguiente:
1. Opcional: Para usar una clave en otro proyecto, haz lo siguiente:
  1. Haz clic en Switch project.
  2. Ingresa todo o una parte del nombre del proyecto en la barra de búsqueda y, luego, selecciona el proyecto.
  3. Para ver las claves disponibles para el proyecto seleccionado, haz clic en Seleccionar.
2. Opcional: Para filtrar las claves disponibles por ubicación, llavero de claves, nombre o nivel de protección, ingresa los términos de búsqueda en el Barra de filtro .
3. Selecciona una clave de la lista de claves disponibles en el proyecto seleccionado. Puedes usar la ubicación, el llavero de claves y el nivel de protección que se muestran detalles para asegurarte de elegir la clave correcta.
4. Si la clave que quieres usar no aparece en la lista, haz clic en Escribir la clave de forma manual y, luego, ingresa el ID de recurso de la clave.
Termina de configurar tu secreto y haz clic en Crear secreto. Secret Manager crea el Secret y lo encripta con el la clave CMEK especificada.

Habilitar CMEK para servicios compatibles

Para habilitar CMEK, primero busca el servicio deseado en la siguiente tabla. Puedes ingresa los términos de búsqueda en el campo para filtrar la tabla. Todos los servicios de esta lista admiten claves de software y hardware (HSM). Productos que se integran con Cloud KMS cuando se usan claves externas de Cloud EKM se indican en la columna EKM compatible.

Sigue las instrucciones para cada servicio para el que deseas habilitar las claves de CMEK.

Servicio	Protección con CMEK	Compatible con EKM	Tema
Agent Assist	Datos en reposo	Sí	Claves de encriptación administradas por el cliente (CMEK)
AI Platform Training	Datos en discos de VM	No	Usa claves de encriptación administradas por el cliente
AlloyDB para PostgreSQL	Datos escritos en bases de datos	Sí	Usa claves de encriptación administradas por el cliente
IA para prevención del lavado de dinero	Datos en recursos de instancias de IA contra lavado de dinero	No	Encripta datos con claves de encriptación administradas por el cliente (CMEK)
Apigee	Datos en reposo	No	Introducción a CMEK
Application Integration	Datos escritos en bases de datos para la integración de aplicaciones	No	Usa claves de encriptación administradas por el cliente
Artifact Registry	Datos en repositorios	Sí	Habilita claves de encriptación administradas por el cliente
Copia de seguridad para GKE	Datos en la copia de seguridad para GKE	Sí	Información acerca de la encriptación de CMEK de Copia de seguridad para GKE
BigQuery	Datos en BigQuery	Sí	Protege datos con claves de Cloud KMS
Bigtable	Datos en reposo	Sí	Claves de encriptación administradas por el cliente (CMEK)
Cloud Composer	Datos del entorno	Sí	Usa claves de encriptación administradas por el cliente
Cloud Data Fusion	Datos del entorno	Sí	Usa claves de encriptación administradas por el cliente
API de Cloud Healthcare	Conjuntos de datos de la API de Cloud Healthcare	Sí	Usa claves de encriptación administradas por el cliente (CMEK)
Cloud Logging	Datos en el Enrutador de registros	Sí	Administra las claves que protegen los datos del Enrutador de registros
Cloud Logging	Datos en el almacenamiento de Logging	Sí	Administra las claves que protegen los datos de almacenamiento de Logging
Cloud Run	Imagen de contenedor	Sí	Usar claves de encriptación administradas por el cliente con Cloud Run
Funciones de Cloud Run	Datos en Cloud Run Functions	Sí	Usa claves de encriptación administradas por el cliente
Cloud SQL	Datos escritos en bases de datos	Sí	Usa claves de encriptación administradas por el cliente
Cloud Storage	Datos en depósitos de almacenamiento	Sí	Usa claves de encriptación administradas por el cliente
Cloud Tasks	Cuerpo y encabezado de la tarea en reposo	Sí	Usar claves de encriptación administradas por el cliente
Cloud Workstations	Datos en discos de VM	Sí	Cómo encriptar recursos de estaciones de trabajo
Colab Enterprise	Entornos de ejecución	No	Usar claves de encriptación administradas por el cliente
Compute Engine	Discos persistentes	Sí	Protege recursos con las claves de Cloud KMS
Compute Engine	Instantáneas	Sí	Protege recursos con las claves de Cloud KMS
Compute Engine	Imágenes personalizadas	Sí	Protege recursos con las claves de Cloud KMS
Compute Engine	Imágenes de máquina	Sí	Protege recursos con las claves de Cloud KMS
Contact Center AI Insights	Datos en reposo	Sí	Claves de encriptación administradas por el cliente (CMEK)
Migraciones homogéneas de Database Migration Service	Migraciones de MySQL: datos escritos en bases de datos	Sí	Usa claves de encriptación administradas por el cliente (CMEK)
Migraciones homogéneas de Database Migration Service	Migraciones de PostgreSQL: Datos escritos en bases de datos	Sí	Usa claves de encriptación administradas por el cliente (CMEK)
Migraciones homogéneas de Database Migration Service	Migraciones de PostgreSQL a AlloyDB: Datos escritos en bases de datos	Sí	Acerca de CMEK
Migraciones heterogéneas de Database Migration Service	Datos en reposo de Oracle a PostgreSQL	Sí	Usa claves de encriptación administradas por el cliente (CMEK) para migraciones continuas
Dataflow	Datos del estado de la canalización	Sí	Usa claves de encriptación administradas por el cliente
Dataform	Datos en repositorios	Sí	Usar claves de encriptación administradas por el cliente
Dataproc	Dataproc agrupa datos en discos de VM	Sí	Claves de encriptación administradas por el cliente
Dataproc	Datos sin servidores de Dataproc en discos de VM	Sí	Claves de encriptación administradas por el cliente
Dataproc Metastore	Datos en reposo	Sí	Usa claves de encriptación administradas por el cliente
DataStream	Datos en tránsito	No	Usa claves de encriptación administradas por el cliente (CMEK)
Dialogflow CX	Datos en reposo	Sí	Claves de encriptación administradas por el cliente (CMEK)
Document AI	Datos en reposo y datos en uso	Sí	Claves de encriptación administradas por el cliente (CMEK)
Eventarc	Datos en reposo	Sí	Usa claves de encriptación administradas por el cliente (CMEK)
Filestore	Datos en reposo	Sí	Encriptar datos con claves de encriptación administradas por el cliente
Firestore (vista previa)	Datos en reposo	Sí	Usa claves de encriptación administradas por el cliente (CMEK)
Google Distributed Cloud	Datos en nodos perimetrales	Sí	Seguridad del almacenamiento local
Google Kubernetes Engine	Datos en discos de VM	Sí	Usa claves de encriptación administradas por el cliente (CMEK)
Google Kubernetes Engine	Secretos de la capa de aplicación	Sí	Encriptación de Secrets de la capa de la aplicación
Looker (Google Cloud Core)	Datos en reposo	Sí	Habilita CMEK para Looker (Google Cloud Core)
Memorystore for Redis	Datos en reposo	Sí	Claves de encriptación administradas por el cliente (CMEK)
Migrate to Virtual Machines	Datos migrados desde fuentes de VMware, AWS y Azure	Sí	Usa claves de encriptación administradas por el cliente (CMEK) con Migrate to Virtual Machines
Pub/Sub	Datos asociados con temas	Sí	Configurar la encriptación de mensajes
Secret Manager	Cargas útiles secretas	Sí	Habilita las claves de encriptación administradas por el cliente para Secret Manager
Secure Source Manager	Instancias	Sí	Encriptar datos con claves de encriptación administradas por el cliente
Spanner	Datos en reposo	Sí	Claves de encriptación administradas por el cliente (CMEK)
Speaker ID (DG restringida)	Datos en reposo	Sí	Cómo usar claves de encriptación administradas por el cliente
Speech-to-Text	Datos en reposo	Sí	Usa claves de encriptación administradas por el cliente
Vertex AI	Datos asociados con recursos	Sí	Usa claves de encriptación administradas por el cliente
Vertex AI Agent Builder	Datos en reposo	No	Claves de encriptación administradas por el cliente
Notebooks administrados de Vertex AI Workbench	Datos del usuario en reposo	No	Claves de encriptación administradas por el cliente
Notebooks administrados por el usuario de Vertex AI Workbench	Datos en discos de VM	No	Claves de encriptación administradas por el cliente
Instancias de Vertex AI Workbench	Datos en discos de VM	Sí	Claves de encriptación administradas por el cliente
Workflows	Datos en reposo	Sí	Usa claves de encriptación administradas por el cliente (CMEK)