En esta página, se explica cómo usar las claves de encriptación administradas por el cliente de Cloud KMS en otros servicios de Google Cloud para proteger tus recursos. Para obtener más información, consulta Claves de encriptación administradas por el cliente (CMEK).
Cuando un servicio admite CMEK, se dice que tiene una integración con CMEK. Algunos servicios, como GKE, tienen varias integraciones con CMEK para proteger diferentes tipos de datos relacionados con el servicio. Para obtener una lista de servicios con integraciones de CMEK, consulta Habilita CMEK para los servicios compatibles en esta página.
Antes de comenzar
Antes de poder usar las claves de Cloud KMS en otros servicios de Google Cloud, debes tener un recurso de proyecto que contenga tus claves de Cloud KMS. Mié te recomendamos usar un proyecto independiente para tus recursos de Cloud KMS que no contiene ningún otro recurso de Google Cloud.
Integraciones de CMEK
Prepárate para habilitar la integración de CMEK
Para conocer los pasos exactos a fin de habilitar CMEK, consulta la documentación del servicio de Google Cloud relevante. Puedes encontrar un vínculo a la documentación de CMEK para cada servicio en Habilitar CMEK para servicios compatibles en esta página. Para cada servicio, puedes seguir pasos similares a los lo siguiente:
Crea un llavero de claves o selecciona uno existente. El llavero de claves debe estar ubicado lo más cerca posible de los recursos que deseas proteger.
En el llavero de claves seleccionado, crea una clave o selecciona una clave existente. Asegúrate de que el nivel de protección, el propósito y el algoritmo de clave sean adecuados para los recursos que quieras proteger. Esta llave es la clave CMEK.
Obtén el ID de recurso de la CMEK . Necesitarás este ID de recurso más adelante.
Otorga el rol de IAM de encriptador/desencriptador de CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter
) en la clave CMEK a la cuenta de servicio del servicio.
Después de crear la clave y asignar los permisos necesarios, puedes hacer lo siguiente: crear o configurar un servicio para usar tu clave CMEK.
Usa claves de Cloud KMS con servicios integrados con CMEK
En los siguientes pasos, se usa Secret Manager como ejemplo. Para saber para usar una CMEK de Cloud KMS en un servicio determinado, ubica esa en la lista de servicios integrados de CMEK.
En Secret Manager, puedes usar una CMEK para proteger los datos en reposo.
En la consola de Google Cloud, ve a la página Secret Manager.
Para crear un secreto, haz clic en Crear secreto.
En la sección Encriptación, selecciona Usar una encriptación administrada por el cliente. (CMEK).
En el cuadro Clave de encriptación, haz lo siguiente:
Opcional: Para usar una clave en otro proyecto, haz lo siguiente:
- Haz clic en Switch project.
- Ingresa todo o una parte del nombre del proyecto en la barra de búsqueda y, luego, selecciona el proyecto.
- Para ver las claves disponibles para el proyecto seleccionado, haz clic en Seleccionar.
Opcional: Para filtrar las claves disponibles por ubicación, llavero de claves, nombre o nivel de protección, ingresa los términos de búsqueda en el Barra de filtro .
Selecciona una clave de la lista de claves disponibles en el proyecto seleccionado. Puedes usar la ubicación, el llavero de claves y el nivel de protección que se muestran detalles para asegurarte de elegir la clave correcta.
Si la clave que quieres usar no aparece en la lista, haz clic en Escribir la clave de forma manual y, luego, ingresa el ID de recurso de la clave.
Termina de configurar tu secreto y haz clic en Crear secreto. Secret Manager crea el Secret y lo encripta con el la clave CMEK especificada.
Habilitar CMEK para servicios compatibles
Para habilitar CMEK, primero busca el servicio deseado en la siguiente tabla. Puedes ingresa los términos de búsqueda en el campo para filtrar la tabla. Todos los servicios de esta lista admiten claves de software y hardware (HSM). Productos que se integran con Cloud KMS cuando se usan claves externas de Cloud EKM se indican en la columna EKM compatible.
Sigue las instrucciones para cada servicio para el que deseas habilitar las claves de CMEK.