Se usó la API de Cloud Translation para traducir esta página.

Habilita la CMEK para Security Command Center

De forma predeterminada, Security Command Center encripta el contenido del cliente en reposo. Security Command Center controla la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina Encriptación predeterminada de Google.

Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluido Security Command Center. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite hacer un seguimiento del uso de las claves, ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.

Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos de Security Command Center es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).

Para admitir la separación de obligaciones y un mayor control sobre el acceso a las claves, te recomendamos que crees y administres las claves en un proyecto independiente que no incluya otros recursos de Google Cloud .

Para usar la CMEK con Security Command Center, debes configurar la CMEK cuando actives Security Command Center para una organización. No puedes configurar la CMEK durante la activación a nivel del proyecto. Para obtener más información, consulta Activa Security Command Center Standard o Premium para una organización.

Cuando usas CMEK en Security Command Center, tus proyectos pueden consumir cuotas de solicitudes criptográficas de Cloud KMS. Las instancias encriptadas con CMEK consumen cuotas cuando leen o escriben datos en Security Command Center. Las operaciones de encriptación y desencriptación con claves CMEK afectan las cuotas de Cloud KMS solo si usas claves de hardware (Cloud HSM) o externas (Cloud EKM). Para obtener más información, consulta las cuotas de Cloud KMS.

La CMEK encripta los siguientes datos en Security Command Center y en la API de Security Command Center:

Resultados
Configuraciones de notificación
Exportaciones de BigQuery
Parámetros de configuración de silencio

Antes de comenzar

Antes de configurar la CMEK para Security Command Center, haz lo siguiente:

Instala y, luego, inicializa Google Cloud CLI:
1. Install the Google Cloud CLI.
2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
3. To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Crea un proyecto Google Cloud con Cloud KMS habilitado. Este es tu proyecto clave.
Crea un llavero de claves en la ubicación correcta. La ubicación del llavero de claves debe corresponder a la ubicación en la que planeas activar Security Command Center. Para ver qué ubicaciones del llavero de claves corresponden a cada ubicación de Security Command Center, consulta la tabla en la sección Ubicación de la clave de este documento. Para obtener más información sobre cómo crear un llavero, consulta Crea un llavero.
Crea una clave de Cloud KMS en el llavero de claves. Para obtener más información sobre cómo crear una clave en un llavero de claves, consulta Crea una clave.
Para asegurarte de que la cuenta de servicio del Centro de seguridad de Cloud tenga los permisos necesarios para encriptar y desencriptar datos, pídele a tu administrador que le otorgue a la cuenta de servicio del Centro de seguridad de Cloud el siguiente servicio: Rol de IAM de Encriptador/Desencriptador de CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) en la clave de Cloud KMS.
Importante: Debes otorgar este rol a la cuenta de servicio de Cloud Security Command Center, no a tu cuenta de usuario. Si no se otorga el rol a la principal correcta, es posible que se produzcan errores de permisos.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Es posible que tu administrador también pueda otorgar los permisos necesarios a la cuenta de servicio de Cloud Security Command Center a través de roles personalizados o de otros roles predefinidos.

Ubicación de la clave

La ubicación de tu clave de Cloud KMS debe corresponder a la ubicación en la que activaste Security Command Center. Usa la siguiente tabla para identificar qué ubicación de la clave de Cloud KMS corresponde a qué ubicación de Security Command Center.

Ubicación de Security Command Center	Ubicación de la clave de Cloud KMS
`eu`	`europe`
`global`	`us`
`sa`	`me-central2`
`us`	`us`

Si no habilitas la residencia de datos cuando activas Security Command Center, usa global para la ubicación de Security Command Center y us para la ubicación de la clave de Cloud KMS. Para obtener más información sobre la residencia de datos, consulta Planificación de la residencia de datos.

Limitaciones

Si la organización que activas contiene uno o más proyectos con Security Command Center, no puedes usar la CMEK para Security Command Center en esa organización.

No puedes cambiar la clave de Cloud KMS ni cambiar aGoogle-owned and Google-managed encryption key después de activar Security Command Center.

Puedes rotar la clave, lo que hará que Security Command Center use la nueva versión de la clave. Sin embargo, algunas funciones de Security Command Center seguirán usando la clave anterior durante 30 días.

Configura la CMEK para Security Command Center

Para usar la CMEK con Security Command Center, haz lo siguiente:

Durante la configuración del Centro de seguridad de una organización, en la página Seleccionar servicios, en Encriptación de datos, selecciona Cambiar la solución de administración de claves de encriptación de datos (opcional). Se abrirá la opción Encriptación.
Selecciona Clave de Cloud KMS.
Selecciona un proyecto.
Selecciona una llave. Puedes seleccionar una clave de cualquier proyecto Google Cloud , incluidos los que no están en la organización que estás activando. En la lista, solo se muestran las llaves en ubicaciones compatibles. Para obtener más información sobre las ubicaciones de claves de la CMEK para Security Command Center, consulta la tabla en la sección Ubicación de la clave.

Después de otorgar el rol y completar la configuración de Security Command Center, este encripta tus datos con la clave de Cloud KMS que elegiste.

Verifica la configuración de CMEK

Para verificar que configuraste correctamente la CMEK para Security Command Center, haz lo siguiente:

En Security Command Center, selecciona Configuración.
Ve a la pestaña Detalles del nivel.
En Detalles de configuración > Encriptación de datos, si se configuró la CMEK para Security Command Center, el nombre de la clave se muestra como un vínculo después de Encriptación de datos.

Precios

Si bien no hay cargos adicionales por habilitar la CMEK en Security Command Center Standard y Premium, se aplican cargos en Cloud KMS cuando Security Command Center usa tu CMEK para encriptar y desencriptar datos. Para obtener más información, consulta Precios de Cloud KMS.

Restablece el acceso a Security Command Center

Con la CMEK habilitada, la cuenta de servicio de Security Command Center requiere acceso a tu clave de Cloud KMS para funcionar. No revoques los permisos de la cuenta de servicio para la CMEK, inhabilita la CMEK ni programes su destrucción. Todas estas acciones provocan que dejen de funcionar las siguientes capacidades de Security Command Center:

Resultados
Configuraciones de exportaciones continuas
Exportaciones de BigQuery
Reglas de silencio

Si intentas usar Security Command Center mientras la clave de Cloud KMS no está disponible, verás un mensaje de error en Security Command Center o un error FAILED_PRECONDITION en la API.

Puedes perder las capacidades de Security Command Center por una clave de Cloud KMS por uno de los siguientes motivos:

Es posible que se haya revocado el rol de encriptador/desencriptador de CryptoKey de Cloud KMS en la clave de la cuenta de servicio. Puedes restablecer el acceso a Security Command Center después de que se revoca una clave.
Es posible que se haya inhabilitado la clave de Cloud KMS. Puedes restablecer el acceso a Security Command Center después de que se inhabilite una clave.
Es posible que la clave esté programada para destruirse. Puedes restablecer el acceso a Security Command Center después de que se programe la destrucción de una clave.

Restablece el acceso a Security Command Center después de que se revoca una clave

Para restablecer el acceso a tu clave en Security Command Center, otorga a la cuenta de servicio de Cloud Security Command Center el rol de encriptador/desencriptador de CryptoKey de Cloud KMS en la clave:

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORG_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Reemplaza lo siguiente:

KEY_RING: Es el llavero de claves de tu clave de Cloud KMS.
LOCATION: Es la ubicación de tu clave de Cloud KMS.
KEY_NAME: El nombre de tu clave de Cloud KMS
ORG_NUMBER: El número de tu organización

Restablece el acceso a Security Command Center después de inhabilitar una clave

Para obtener más información sobre cómo habilitar una clave inhabilitada, consulta Habilita una versión de clave.

Restablece el acceso a Security Command Center después de que se programa la destrucción de una clave

Si deseas obtener más información para restablecer una clave que está programada para su destrucción, consulta Destruye y restablece versiones de clave.

Una vez que se destruye una clave, no se puede recuperar ni restablecer el acceso a Security Command Center.