Usar Cloud KMS con otros productos

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En este tema, se proporciona información sobre cómo usar las claves de Cloud KMS en los servicios de Google Cloud que ofrecen integraciones en Cloud KMS. Estos servicios generalmente se ubican en una de las siguientes categorías:

  • Una integración entre la clave de encriptación administrada por el cliente (CMEK) te permite encriptar los datos en reposo en ese servicio mediante la clave de Cloud KMS que posees y administras. Los datos protegidos con una clave CMEK no se pueden desencriptar sin acceso a esa clave.

  • Un servicio compatible con CMEK no almacena los datos o solo lo almacena durante un período corto, como durante el procesamiento por lotes. Estos datos se encriptan con una clave efímera que solo existe en la memoria y nunca se escribe en el disco. Cuando los datos ya no se necesitan, la clave efímera se limpia de la memoria y no se puede volver a acceder a los datos. El resultado de un servicio que cumple con CMEK se puede almacenar en un servicio que está integrado con CMEK, como Cloud Storage.

  • Tus aplicaciones pueden usar Cloud KMS de otras formas. Por ejemplo, puedes encriptar directamente los datos de la aplicación antes de transmitirlos o almacenarlos.

Para obtener más información sobre cómo se protegen los datos en Google Cloud en reposo y cómo funcionan las claves de encriptación administradas por el cliente (CMEK), consulta las claves de encriptación administradas por el cliente (CMEK).

Integraciones de CMEK

Usa claves de Cloud KMS con servicios integrados a CMEK

En los siguientes pasos, se usa Secret Manager como ejemplo. Para conocer los pasos exactos a fin de usar una CMEK de Cloud KMS en un servicio determinado, ubica ese servicio en la lista de servicios integrados con CMEK.

En Secret Manager, puede usar una CMEK para proteger los datos en reposo.

  1. En la consola de Google Cloud, ve a la página Secret Manager.

    Ir a Secret Manager

  2. Para crear un secreto, haz clic en Crear secreto.

  3. En la sección Encriptación, selecciona Usar una clave de encriptación administrada por el cliente (CMEK).

  4. En el cuadro Clave de encriptación, haz lo siguiente:

    1. Para usar una clave en otro proyecto, haz lo siguiente:

      1. Haz clic en Cambiar proyecto.
      2. Ingresa todo o parte del nombre del proyecto en la barra de búsqueda y, luego, selecciona el proyecto.
      3. Para ver las claves disponibles del proyecto seleccionado, haz clic en Seleccionar.
    2. Opcional: Para filtrar las claves disponibles por ubicación, llavero de claves, nombre o nivel de protección, ingresa términos de búsqueda en la barra de filtros de .

    3. Selecciona una clave de la lista de claves disponibles en el proyecto seleccionado. Puedes usar los detalles de ubicación, llavero de claves y nivel de protección que se muestran para asegurarte de elegir la clave correcta.

    4. Si la clave que deseas usar no aparece en la lista, haz clic en Ingresar clave de forma manual y, luego, ingresa el ID de recurso de la clave.

  5. Termina de configurar tu secreto, y luego haz clic en Crear secreto. Secret Manager crea el secreto y lo encripta con la clave CMEK especificada.

Lista de servicios integrados con CMEK

En la siguiente tabla, se enumeran los servicios que se integran en las claves de Cloud KMS para software y hardware (HSM). Para productos que se integran en Cloud KMS cuando se usan claves externas de Cloud EKM, consulta Servicios que admiten CMEK con Cloud EKM.

Service Protección con CMEK Tema
AI Platform Training Datos en discos de VM Usa claves de encriptación administradas por el cliente
Vertex AI Datos asociados con los recursos Usa claves de encriptación administradas por el cliente
Artifact Registry Datos en repositorios Habilita claves de encriptación administradas por el cliente
BigQuery Datos en BigQuery Protege datos con claves de Cloud KMS
Cloud Bigtable Datos en reposo Claves de encriptación administradas por el cliente (CMEK)
Cloud Composer Datos del entorno Usa claves de encriptación administradas por el cliente
Cloud Functions Datos en Cloud Functions Usa claves de encriptación administradas por el cliente
Cloud Data Fusion Datos del entorno Usa claves de encriptación administradas por el cliente
Cloud Run Imagen de contenedor Usa claves de encriptación administradas por el cliente con Cloud SQL
Compute Engine Datos en discos de VM Protege recursos con las claves de Cloud KMS
Google Kubernetes Engine Datos en discos de VM Usa claves de encriptación administradas por el cliente (CMEK)
Google Kubernetes Engine Secretos de la capa de la aplicación Encriptación de Secrets de la capa de la aplicación
Database Migration Service Datos escritos en bases de datos Usa claves de encriptación administradas por el cliente (CMEK)
Dataflow Datos del estado de la canalización Usa claves de encriptación administradas por el cliente
Dataproc Datos en discos de VM Claves de encriptación administradas por el cliente
Dataproc Metastore Datos en reposo Usa claves de encriptación administradas por el cliente
Datastream Datos en tránsito Usa claves de encriptación administradas por el cliente (CMEK)
Dialogflow CX Datos en reposo Claves de encriptación administradas por el cliente (CMEK)
Google Distributed Cloud Edge Datos en nodos perimetrales Seguridad del almacenamiento local
Document AI Datos en reposo y en uso Claves de encriptación administradas por el cliente (CMEK)
Eventarc Datos en reposo Usa claves de encriptación administradas por el cliente (CMEK)
Filestore Datos en reposo Encriptar datos con claves de encriptación administradas por el cliente
Cloud Logging Datos en el enrutador de registros Administra las claves que protegen los datos del enrutador de registros
Cloud Logging Datos en el almacenamiento de Logging Administra las claves que protegen los datos de almacenamiento de Logging.
Memorystore for Redis Datos en reposo Claves de encriptación administradas por el cliente (CMEK)
Pub/Sub Datos asociados con temas Configurar la encriptación de mensajes
Cloud Spanner Datos en reposo Claves de encriptación administradas por el cliente (CMEK)
Cloud SQL Datos escritos en bases de datos Usa claves de encriptación administradas por el cliente
Cloud Storage Datos en depósitos de almacenamiento Usa claves de encriptación administradas por el cliente
Secret Manager Cargas útiles secretas Habilita claves de encriptación administradas por el cliente (CMEK)
Speaker ID (DG restringido) Datos en reposo Usa claves de encriptación administradas por el cliente Usa claves de encriptación administradas por el cliente
Notebooks administrados de Vertex AI Workbench Datos del usuario en reposo Claves de encriptación administradas por el cliente
Notebooks administrados por el usuario de Vertex AI Workbench Datos en discos de VM Claves de encriptación administradas por el cliente

Servicios compatibles con CMEK

En la siguiente tabla, se enumeran los servicios que no usan claves de encriptación administradas por el cliente (CMEK) porque no almacenan datos a largo plazo. Para obtener más información sobre por qué estos servicios se consideran compatibles con CMEK, consulta Cumplimiento de CMEK.

Otras integraciones en Cloud KMS

En estos temas, se analizan otras formas de usar Cloud KMS con otros servicios de Google Cloud.

Producto Tema
Cualquier servicio Encripta datos de aplicación antes de transmitirlos o almacenarlos
Cloud Build Encripta recursos antes de agregarlos a una compilación