En esta página, se explica cómo usar las claves de encriptación administradas por el cliente de Cloud KMS en otros servicios de Google Cloud para proteger tus recursos. Para obtener más información, consulta Claves de encriptación administradas por el cliente (CMEK).
Cuando un servicio admite CMEK, se dice que tiene una integración con CMEK. Algunos servicios, como GKE, tienen varias integraciones con CMEK para proteger diferentes tipos de datos relacionados con el servicio. Para obtener una lista de servicios con integraciones de CMEK, consulta Habilita CMEK para los servicios compatibles en esta página.
Antes de comenzar
Antes de poder usar las claves de Cloud KMS en otros servicios de Google Cloud, debes tener un recurso de proyecto que contenga tus claves de Cloud KMS. Te recomendamos que uses un proyecto independiente para tus recursos de Cloud KMS que no contenga ningún otro recurso de Google Cloud.
Integraciones de CMEK
Prepárate para habilitar la integración de CMEK
Para conocer los pasos exactos a fin de habilitar CMEK, consulta la documentación del servicio de Google Cloud relevante. Puedes encontrar un vínculo a la documentación de CMEK para cada servicio en Habilita CMEK para los servicios compatibles en esta página. Para cada servicio, es posible que sigas pasos similares a los siguientes:
Crea un llavero de claves o selecciona uno existente. El llavero debe estar ubicado lo más cerca posible de los recursos que deseas proteger.
En el llavero de claves seleccionado, crea una clave o selecciona una clave existente. Asegúrate de que el nivel de protección, el propósito y el algoritmo de la clave sean adecuados para los recursos que deseas proteger. Esta clave es la clave CMEK.
Obtén el ID de recurso de la clave de CMEK. Necesitarás este ID de recurso más adelante.
Otorga el rol de IAM de encriptador/desencriptador de CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) en la clave CMEK a la cuenta de servicio del servicio.
Después de crear la clave y asignar los permisos necesarios, puedes crear o configurar un servicio para usar tu clave CMEK.
Usa claves de Cloud KMS con servicios integrados en CMEK
En los siguientes pasos, se usa Secret Manager como ejemplo. Para conocer los pasos exactos para usar una clave de CMEK de Cloud KMS en un servicio determinado, busca ese servicio en la lista de servicios integrados en CMEK.
En Secret Manager, puedes usar una CMEK para proteger los datos en reposo.
En la consola de Google Cloud, ve a la página Secret Manager.
Para crear un secreto, haz clic en Crear secreto.
En la sección Encriptación, selecciona Usar una clave de encriptación administrada por el cliente (CMEK).
En el cuadro Clave de encriptación, haz lo siguiente:
Opcional: Para usar una clave en otro proyecto, haz lo siguiente:
- Haz clic en Switch project.
- Ingresa todo o parte del nombre del proyecto en la barra de búsqueda y, luego, selecciónalo.
- Para ver las claves disponibles para el proyecto seleccionado, haz clic en Seleccionar.
Opcional: Para filtrar las claves disponibles por ubicación, llavero, nombre o nivel de protección, ingresa los términos de búsqueda en la barra de filtros .
Selecciona una clave de la lista de claves disponibles en el proyecto seleccionado. Puedes usar los detalles de la ubicación, el llavero y el nivel de protección que se muestran para asegurarte de elegir la clave correcta.
Si la clave que quieres usar no aparece en la lista, haz clic en Escribir la clave de forma manual y, luego, ingresa el ID de recurso de la clave.
Termina de configurar el secreto y, luego, haz clic en Crear secreto. Secret Manager crea el secreto y lo encripta con la clave de CMEK especificada.
Habilita CMEK para los servicios compatibles
Para habilitar CMEK, primero busca el servicio deseado en la siguiente tabla. Puedes ingresar términos de búsqueda en el campo para filtrar la tabla. Todos los servicios de esta lista admiten claves de software y hardware (HSM). Los productos que se integran en Cloud KMS cuando se usan claves externas de Cloud EKM se indican en la columna Compatible con EKM.
Sigue las instrucciones para cada servicio para el que deseas habilitar las claves de CMEK.
| Servicio | Protección con CMEK | Compatibilidad con EKM | Tema |
|---|---|---|---|
| Agent Assist | Datos en reposo | Sí | Claves de encriptación administradas por el cliente (CMEK) |
| AI Platform Training | Datos en discos de VM | No | Usa claves de encriptación administradas por el cliente |
| AlloyDB para PostgreSQL | Datos escritos en bases de datos | Sí | Usa claves de encriptación administradas por el cliente |
| IA para prevención del lavado de dinero | Datos en los recursos de instancias de la IA contra el lavado de dinero | No | Encripta datos con claves de encriptación administradas por el cliente (CMEK) |
| Apigee | Datos en reposo | No | Introducción a CMEK |
| Concentrador de API de Apigee | Datos en reposo | Sí | Encriptación |
| Application Integration | Datos escritos en bases de datos para la integración de aplicaciones | No | Usa claves de encriptación administradas por el cliente |
| Artifact Registry | Datos en repositorios | Sí | Habilita claves de encriptación administradas por el cliente |
| Copia de seguridad para GKE | Datos en la copia de seguridad para GKE | Sí | Acerca de la encriptación de CMEK en Copia de seguridad para GKE |
| BigQuery | Datos en BigQuery | Sí | Protege datos con claves de Cloud KMS |
| Bigtable | Datos en reposo | Sí | Claves de encriptación administradas por el cliente (CMEK) |
| Cloud Composer | Datos del entorno | Sí | Usa claves de encriptación administradas por el cliente |
| Cloud Data Fusion | Datos del entorno | Sí | Usa claves de encriptación administradas por el cliente |
| API de Cloud Healthcare | Conjuntos de datos de la API de Cloud Healthcare | Sí | Usa claves de encriptación administradas por el cliente (CMEK) |
| Cloud Logging | Datos en el Enrutador de registros | Sí | Administra las claves que protegen los datos del enrutador de registros |
| Cloud Logging | Datos en el almacenamiento de Logging | Sí | Administra las claves que protegen los datos de almacenamiento de registros |
| Cloud Run | Imagen de contenedor | Sí | Usa claves de encriptación administradas por el cliente con Cloud Run |
| Funciones de Cloud Run | Datos en las funciones de Cloud Run | Sí | Usa claves de encriptación administradas por el cliente |
| Cloud SQL | Datos escritos en bases de datos | Sí | Usa claves de encriptación administradas por el cliente |
| Cloud Storage | Datos en depósitos de almacenamiento | Sí | Usa claves de encriptación administradas por el cliente |
| Cloud Tasks | Cuerpo y encabezado de la tarea en reposo | Sí | Usar claves de encriptación administradas por el cliente |
| Cloud Workstations | Datos en discos de VM | Sí | Cómo encriptar recursos de estaciones de trabajo |
| Colab Enterprise | Entornos de ejecución y archivos de notebook | No | Usar claves de encriptación administradas por el cliente |
| Compute Engine | Discos persistentes | Sí | Protege recursos con las claves de Cloud KMS |
| Compute Engine | Instantáneas | Sí | Protege recursos con las claves de Cloud KMS |
| Compute Engine | Imágenes personalizadas | Sí | Protege recursos con las claves de Cloud KMS |
| Compute Engine | Imágenes de máquina | Sí | Protege recursos con las claves de Cloud KMS |
| Estadísticas de conversación | Datos en reposo | Sí | Claves de encriptación administradas por el cliente (CMEK) |
| Migraciones homogéneas de Database Migration Service | Migraciones de MySQL: datos escritos en bases de datos | Sí | Usa claves de encriptación administradas por el cliente (CMEK) |
| Migraciones homogéneas de Database Migration Service | Migraciones de PostgreSQL: Datos escritos en bases de datos | Sí | Usa claves de encriptación administradas por el cliente (CMEK) |
| Migraciones homogéneas de Database Migration Service | Migraciones de PostgreSQL a AlloyDB: Datos escritos en bases de datos | Sí | Acerca de CMEK |
| Migraciones heterogéneas de Database Migration Service | Datos en reposo de Oracle a PostgreSQL | Sí | Usa claves de encriptación administradas por el cliente (CMEK) para las migraciones continuas |
| Dataflow | Datos del estado de la canalización | Sí | Usa claves de encriptación administradas por el cliente |
| Dataform | Datos en repositorios | Sí | Usar claves de encriptación administradas por el cliente |
| Dataproc | Dataproc agrupa datos en discos de VM | Sí | Claves de encriptación administradas por el cliente |
| Dataproc | Datos sin servidores de Dataproc en discos de VM | Sí | Claves de encriptación administradas por el cliente |
| Dataproc Metastore | Datos en reposo | Sí | Usa claves de encriptación administradas por el cliente |
| DataStream | Datos en tránsito | No | Usa claves de encriptación administradas por el cliente (CMEK) |
| Dialogflow CX | Datos en reposo | Sí | Claves de encriptación administradas por el cliente (CMEK) |
| Document AI | Datos en reposo y datos en uso | Sí | Claves de encriptación administradas por el cliente (CMEK) |
| Eventarc Advanced (versión preliminar) | Datos en reposo | No | Usa claves de encriptación administradas por el cliente (CMEK) |
| Eventarc Standard | Datos en reposo | Sí | Usa claves de encriptación administradas por el cliente (CMEK) |
| Filestore | Datos en reposo | Sí | Encriptar datos con claves de encriptación administradas por el cliente |
| Firestore | Datos en reposo | Sí | Usa claves de encriptación administradas por el cliente (CMEK) |
| Google Cloud Managed Service para Apache Kafka | Datos asociados con temas | Sí | Configura la encriptación de mensajes |
| Google Cloud NetApp Volumes | Datos en reposo | No | Crea una política de CMEK |
| Google Distributed Cloud | Datos en nodos perimetrales | Sí | Seguridad del almacenamiento local |
| Google Kubernetes Engine | Datos en discos de VM | Sí | Usa claves de encriptación administradas por el cliente (CMEK) |
| Google Kubernetes Engine | Secretos de la capa de aplicación | Sí | Encriptación de Secrets de la capa de la aplicación |
| Looker (Google Cloud Core) | Datos en reposo | Sí | Habilita las CMEK para Looker (Google Cloud Core) |
| Memorystore for Redis | Datos en reposo | Sí | Claves de encriptación administradas por el cliente (CMEK) |
| Migrate to Virtual Machines | Datos migrados desde fuentes de VM de VMware, AWS y Azure | Sí | Usa CMEK para encriptar datos almacenados durante una migración |
| Migrate to Virtual Machines | Datos migrados de fuentes de imágenes de máquinas y discos | Sí | Usa CMEK para encriptar datos en discos y en imágenes de máquinas de destino |
| Pub/Sub | Datos asociados con temas | Sí | Configurar la encriptación de mensajes |
| Secret Manager | Cargas útiles secretas | Sí | Habilita claves de encriptación administradas por el cliente para Secret Manager |
| Secure Source Manager | Instancias | Sí | Encriptar datos con claves de encriptación administradas por el cliente |
| Spanner | Datos en reposo | Sí | Claves de encriptación administradas por el cliente (CMEK) |
| Speaker ID (Disponibilidad general restringida) | Datos en reposo | Sí | Cómo usar claves de encriptación administradas por el cliente |
| Speech-to-Text | Datos en reposo | Sí | Usa claves de encriptación administradas por el cliente |
| Vertex AI | Datos asociados con recursos | Sí | Usa claves de encriptación administradas por el cliente |
| Vertex AI Agent Builder | Datos en reposo | No | Claves de encriptación administradas por el cliente |
| Notebooks administrados de Vertex AI Workbench | Datos del usuario en reposo | No | Claves de encriptación administradas por el cliente |
| Notebooks administrados por el usuario de Vertex AI Workbench | Datos en discos de VM | No | Claves de encriptación administradas por el cliente |
| Instancias de Vertex AI Workbench | Datos en discos de VM | Sí | Claves de encriptación administradas por el cliente |
| Workflows | Datos en reposo | Sí | Usa claves de encriptación administradas por el cliente (CMEK) |