De forma predeterminada, Pub/Sub encripta el contenido del cliente en reposo. Pub/Sub controla la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina Encriptación predeterminada de Google.
Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluido Pub/Sub. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite hacer un seguimiento del uso de las claves, ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.
Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos de Pub/Sub es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).
CMEK con Autokey de Cloud KMS
Puedes crear CMEK de forma manual para proteger tus recursos de Pub/Sub o usar la clave automática de Cloud KMS. Con Autokey, los llaveros de claves y las claves se generan a pedido como parte de la creación de recursos en Pub/Sub. Los agentes de servicio que usan las claves para las operaciones de encriptación y desencriptación se crean si aún no existen y se les otorgan los roles de Identity and Access Management (IAM) necesarios. Para obtener más información, consulta Descripción general de las claves automáticas.
Cómo funciona la CMEK con Pub/Sub
Cuando configuras Pub/Sub con CMEK, el servicio encripta automáticamente todos los datos con la clave especificada. El uso de Cloud KMS para CMEK puede generar costos adicionales según tus patrones de uso.
Cada mensaje se encripta en las siguientes capas y estados:
En la capa de la aplicación, Pub/Sub encripta de forma individual los mensajes entrantes en cuanto se recibe el mensaje. Esta implementación agrega las siguientes características:
- Mantiene los mensajes encriptados en vínculos internos del centro de datos
- Habilita claves de encriptación administradas por el cliente (CMEK)
Patrón de encriptación de sobre
Pub/Sub usa el patrón de encriptación de sobre con CMEK. De esta manera, Cloud KMS no encripta los mensajes. En cambio, se usa Cloud KMS para encriptar las claves de encriptación de datos (DEK) que Pub/Sub crea para cada tema. Pub/Sub solo almacena estas DEK en formato encriptado o unido. Antes de almacenar una DEK, el servicio la envía a Cloud KMS para que se encripte con la clave de encriptación de claves (KEK) especificada en el tema. Se genera una DEK nueva para cada tema cada seis horas, aproximadamente.
Antes de que Pub/Sub publique mensajes en una suscripción, los encripta con la DEK más nueva que se generó para el tema. Pub/Sub desencripta los mensajes poco antes de entregarlos a los suscriptores.
Configura la CMEK con Pub/Sub
Puedes configurar CMEK de forma manual o con Autokey.
Antes de comenzar
Puedes configurar CMEK para Pub/Sub con la Google Cloud consola o Google Cloud CLI.
Realice las siguientes tareas:
Habilita la API de Cloud KMS.
Crea un llavero de claves y una clave en Cloud KMS. Las claves y los llaveros de claves no se pueden borrar.
Para obtener instrucciones sobre cómo realizar estas tareas, consulta Crea un llavero de claves y Crea una clave.
Debido a que los recursos de Pub/Sub son globales, te recomendamos que uses las claves globales de Cloud KMS a fin de configurar temas habilitados para CMEK. Según las ubicaciones de los publicadores y suscriptores de un tema, el uso de una clave regional de Cloud KMS podría generar dependencias innecesarias en los vínculos de red entre regiones.
Roles y permisos requeridos
Pub/Sub usa un Google Cloud agente de servicio para acceder a Cloud KMS. Pub/Sub mantiene de forma interna el agente de servicio para cada proyecto, y no está visible en la página Cuentas de servicio de la consola de Google Cloud de forma predeterminada.
El agente de servicio de Pub/Sub tiene el formato service-${PROJECT_NUMBER}@gcp-sa-pubsub.iam.gserviceaccount.com.
Pub/Sub requiere permisos específicos para encriptar y desencriptar datos con CMEK.
Para configurar el acceso requerido, completa los siguientes pasos:
Otorga al agente de servicio de Pub/Sub el rol de encriptador/desencriptador de claves de Cloud KMS (
roles/cloudkms.cryptoKeyEncrypterDecrypter).gcloud kms keys add-iam-policy-binding CLOUD_KMS_KEY_NAME \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypterReemplaza lo siguiente:
CLOUD_KMS_KEY_NAME: Es el nombre de la clave de Cloud KMS.
La clave tiene el formato
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/CRYPTO_KEY.Un ejemplo es
projects/test-project/locations/us-central1/keyRings/test-keyring/cryptoKeys/test-key.PROJECT_NUMBER: Es el número del proyecto de Pub/Sub.
Para obtener más información sobre cómo otorgar roles de Identity and Access Management, consulta Cómo otorgar roles en un recurso.
Configura un tema de forma manual con CMEK
Puedes configurar CMEK de forma manual para un tema con la consola de Google Cloud o gcloud CLI.
Console
Para crear un tema con CMEK, sigue estos pasos:
En la consola de Google Cloud , ve a la página Temas de Pub/Sub.
Haga clic en Crear tema.
En el campo ID de tema, ingresa un ID para tu tema.
Para obtener más información sobre cómo nombrar temas, consulta los lineamientos para asignar nombres.
En Encriptación, haz clic en Clave de Cloud KMS.
Selecciona el tipo de clave. Si no ves el menú desplegable Selecciona una clave administrada por el cliente, asegúrate de haber habilitado la API de Cloud KMS para el proyecto.
Haz clic en Crear un tema.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
-
Para crear un tema con CMEK, ejecuta el comando
gcloud pubsub topics create:gcloud pubsub topics create TOPIC_ID --topic-encryption-key=ENCRYPTION_KEY
Reemplaza lo siguiente:
-
TOPIC_ID: Es el ID o el nombre del tema.
Para obtener más información sobre cómo asignar un nombre a un tema, consulta Lineamientos para asignar nombres a temas, suscripciones, esquemas o instantáneas.
-
ENCRYPTION_KEY: Es el ID de la CMEK que se usará para el tema.
El formato es
projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/CRYPTO_KEY.
-
Actualiza un tema de CMEK de forma manual
Tienes la flexibilidad de cambiar la clave CMEK vinculada a un tema de Pub/Sub. Puedes usar gcloud CLI para actualizar la CMEK. Sin embargo, este cambio no se aplica de forma retroactiva.
Los mensajes publicados en el tema antes de que cambie la clave permanecen encriptados con la clave original. Si se creó un tema sin una CMEK, puedes agregar una más adelante. Los mensajes existentes seguirán protegidos con elGoogle-owned and Google-managed encryption keyspredeterminado. Cambiar la CMEK de un tema no vuelve a encriptar los mensajes publicados anteriormente. Estos mensajes siguen protegidos con la clave con la que se encriptaron originalmente.
Pub/Sub tiene un mecanismo de almacenamiento en caché para las claves que dura aproximadamente 5 minutos. Pub/Sub puede tardar hasta este período en reconocer y comenzar a usar la nueva versión de la clave.
Configura un tema con Autokey de Cloud KMS
Para obtener más información sobre el uso de Cloud KMS Autokey con Pub/Sub, consulta Cloud KMS con Autokey.
Registros de auditoría
Cloud KMS produce registros de auditoría cuando Pub/Sub usa las claves para encriptar o desencriptar mensajes, y cuando estas se habilitan o inhabilitan. Esto es útil para depurar problemas relacionados con la disponibilidad de publicación o entrega.
Las claves de Cloud KMS se adjuntan a los registros de auditoría de los recursos de tema de Pub/Sub. Pub/Sub no incluye ninguna otra información relacionada con Cloud KMS.
Precios y costos
Para las siguientes solicitudes de Pub/Sub, el uso de CMEK genera costos por acceso al servicio de Cloud KMS según los precios de Pub/Sub:
Para cada tema que usa CMEK, se encripta una DEK nueva y se almacena cada seis horas.
La clave se usa para desencriptar la DEK cada seis minutos. La desencriptación ocurre tres veces, una para cada zona de la región donde se ejecuta el servicio de Pub/Sub.
Por ejemplo, supongamos que un tema tiene lo siguiente:
Al menos una suscripción
Clientes publicadores y suscriptores en la misma región
La cantidad de operaciones criptográficas de Cloud KMS se puede estimar de la siguiente manera:
1 key access for ENCRYPT * (30 days / month * 24 hours / day) / 6 hours + 3 key accesses for DECRYPT * (30 days / month * 24 hours / day * 60 minutes / hour ) / 6 minutes = 21,720 Cloud KMS key access events
En la práctica, las claves se pueden obtener con mayor o menor frecuencia según los patrones de acceso. Ten en cuenta que estos números son solo estimaciones.
Supervisa y soluciona problemas
Los problemas con el acceso a la clave pueden provocar los siguientes efectos:
Demoras en la entrega del mensaje
Errores de publicación
Supervisa los errores de solicitud de extracción y publicación con las siguientes métricas, agrupadas por response_class y response_code:
topic/send_request_countsubscription/pull_request_countsubscription/streaming_pull_response_count
La respuesta de StreamingPull tiene una tasa de error del 100%. Esto es una indicación de que la transmisión finalizó, no de que las solicitudes estén fallando. Para supervisar StreamingPull, busca el código de respuesta FAILED_PRECONDITION.
La publicación y la entrega de mensajes pueden fallar con errores FAILED_PRECONDITION por varias razones.
Es posible que la clave de Cloud KMS esté inhabilitada. Para obtener más información, consulta Cómo inhabilitar y volver a habilitar claves en esta página.
Si usas claves administradas de forma externa a través de Cloud EKM, consulta la referencia de errores de Cloud EKM.
En las suscripciones de envío, no hay forma de detectar problemas de entrega específicos de CMEK directamente. En cambio, puedes hacer lo siguiente:
Supervisar el tamaño y la antigüedad de las tareas pendientes de una suscripción de envío mediante
subscription/num_unacked_messagesSupervisar
subscription/oldest_unacked_message_agepara detectar picos inusualesUsar los errores de publicación y los registros de auditoría de CMEK para detectar problemas
Inhabilita y vuelve a habilitar las claves
Hay dos maneras de evitar que Pub/Sub desencripte tus datos de mensajes:
Recomendado: Inhabilita la clave de Cloud KMS que asociaste al tema con Pub/Sub. Esta acción solo afecta a los temas y suscripciones de Pub/Sub asociados con esa clave específica.
Revoca la función Encriptador/Desencriptador de CryptoKey de Pub/Sub de la cuenta de servicio de Pub/Sub (
service-$PROJECT_NUMBER@gcp-sa-pubsub.iam.gserviceaccount.com) mediante IAM. Esta acción afecta a todos los temas de Pub/Sub del proyecto y las suscripciones que contienen mensajes encriptados con CMEK.
Aunque ninguna de las dos operaciones confirma la revocación de acceso instantánea, los cambios de IAM se suelen propagar más rápido. Para obtener más información, consulta Coherencia de recursos de Cloud KMS y Propagación del cambio de acceso.
Cuando Pub/Sub no puede acceder a una clave de Cloud KMS, la publicación y entrega de mensajes con StreamingPull o la extracción fallan con errores FAILED_PRECONDITION. Se detendrá la entrega de mensajes a los extremos de envío. Para reanudar la entrega y la publicación, restablece el acceso a la clave de Cloud KMS.
Una vez que la clave de Cloud KMS sea accesible para Pub/Sub, la publicación estará disponible en un período de 12 horas y la entrega de mensajes se reanudará en 2 horas.
Si bien es improbable que las interrupciones intermitentes de menos de un minuto de Cloud KMS interrumpan significativamente la publicación y la entrega, la falta de disponibilidad extendida de Cloud KMS tiene el mismo efecto que la revocación de la clave.