En T-Systems Sovereign Cloud, todos los datos deben encriptarse con claves de Cloud External Key Manager (Cloud EKM), que son claves de encriptación conectadas a un administrador de claves externo (también abreviado como EKM). Si bien los clientes pueden configurar y usar su propio EKM de Cloud, también se les proporciona un proyecto aprovisionado por Google Cloud y T-Systems Sovereign Cloud. En este proyecto, denominado proyecto de administración de claves, se pueden crear claves con un administrador de claves externo que opera T-Systems International (TSI) en nombre del cliente.
En este tema, se describen los pasos para usar Cloud KMS cuando está respaldado por TSI.
Descripción general
Para crear y administrar claves con Cloud EKM en T-Systems Sovereign Cloud, usarás un sistema de tickets llamado Herramienta de seguimiento de errores. Recibirás un vínculo a la herramienta de Herramienta de seguimiento de errores y la información clave del grupo de acceso de administrador en el correo electrónico de bienvenida. Todos los administradores de claves deben agregarse al grupo de acceso. Estos administradores tendrán acceso al componente de Herramienta de seguimiento de errores para enviar tickets a TSI, que realizará operaciones de administración de claves en tu nombre.
Todas las claves administradas por TSI deben crearse en el proyecto de administración de claves aprovisionado previamente. Puedes alojar datos en un proyecto que no sea aquel en el que se encuentran tus claves de Cloud KMS. Esta función admite la práctica recomendada de separación de obligaciones entre los administradores de claves y los administradores de datos.
Cómo encontrar información específica del cliente
Antes de comenzar a crear claves, busca la siguiente información en tu correo electrónico de bienvenida inicial:
- Número de proyecto de Cloud KMS
- Grupo de acceso de administrador de claves
- Vínculo de la Herramienta de seguimiento de errores
Configura grupos de acceso
El grupo de acceso de administrador de claves es un grupo de Google privado para los administradores de claves de tu organización, es decir, aquellos a los que se les otorgará el rol de Identity and Access Management (IAM) de Administrador de Cloud KMS. Tú administras el grupo de acceso de administrador de claves.
Recibirás tu grupo de acceso en el correo electrónico de bienvenida. Tendrá el siguiente formato:
<customer-name>-<KMS-project-number>-key-admin@googlegroups.com
Agrega al Grupo de Google a los usuarios a los que deseas otorgarles el rol de Administrador de Cloud KMS en tu proyecto. Para obtener más información sobre cómo administrar tu grupo, consulta Agrega personas a tu grupo.
Crea una clave de Cloud EKM
Las claves de EKM de Cloud se usan para encriptar tus datos en Google Cloud. Para usar las claves del administrador de claves externo de TSI, primero debes crear una clave de Cloud EKM. Esta clave de Cloud EKM vinculada a TSI se usa para hacer referencia a una clave específica en el EKM de TSI y solo se puede crear en el proyecto de administración de claves aprovisionado previamente.
Crea un llavero de claves
Crea un llavero de claves para guardar tu clave de Cloud EKM. En el caso de T-Systems Sovereign Cloud, la ubicación del llavero de claves siempre debe ser europe-west3. Reemplaza el marcador de posición KEY_RING_NAME por el nombre que quieras para el llavero de claves:
gcloud
gcloud kms keyrings create KEY_RING_NAME \ --location europe-west3
Obtén el nombre del recurso de conexión de Cloud EKM
A continuación, deberás obtener el nombre del recurso de conexión de EKM de Cloud de TSI en el Proyecto de administración de claves. Se llamará default-ekm-connection.
gcloud
Ejecuta el siguiente comando y busca el nombre del recurso de conexión del EKM de Cloud que contiene el nombre de conexión default-ekm-connection. Tendrá el formato de projects/[PROJECT-ID]/locations/europe-west3/ekmConnections/default-ekm-connection:
gcloud kms ekm-connections list \ --location europe-west3
Resultado de muestra:
NAME: projects/test-project/locations/europe-west3/ekmConnections/default-ekm-connection SERVICE_DIRECTORY_SERVICE: projects/host-project/locations/europe-west3/namespaces/tsi-ekm-000000001/services/tsi-ekm-00000001 HOSTNAME: test_host.example.com
Copia el nombre completo del recurso, que es el texto destacado en la sección NAME. Se usará como el valor de --crypto-key-backend cuando crees tu clave simétrica o asimétrica.
Crea una clave de encriptación simétrica
Para crear una clave simétrica de EKM de Cloud, usa el siguiente comando en Google Cloud CLI:
gcloud
gcloud kms keys create KEY_NAME \ --keyring KEY_RING_NAME \ --location europe-west3 \ --purpose encryption \ --protection-level external-vpc \ --default-algorithm external-symmetric-encryption \ --skip-initial-version-creation \ --crypto-key-backend EKM_CONNECTION
La marca --skip-initial-version-creation se usa para evitar que se cree una versión de clave. Cuando usas Cloud KMS con TSI Sovereign Cloud,
TSI es responsable de crear versiones de claves por ti.
El propósito de la clave como encryption especifica que la clave es una clave de encriptación simétrica. Debes usar el nivel de protección external-vpc, ya que el EKM de TSI está conectado a Cloud KMS con un EKM a través de una conexión de VPC.
Reemplaza EKM_CONNECTION por el nombre de la conexión del EKM que copiaste en la sección Obtén el nombre del recurso de conexión del EKM de Cloud anterior, con el nombre completo del recurso.
El paso anterior crea una clave de encriptación simétrica vacía en el llavero. Para crear una versión de clave, sigue las instrucciones que se indican en la sección Pasos finales que aparece a continuación.
Crear una clave de firma asimétrica
Crear una clave de firma asimétrica es similar a crear una clave de encriptación simétrica. Las diferencias principales son el propósito de la clave y el algoritmo predeterminado.
Cuando crees una clave nueva, asegúrate de agregar --skip-initial-version-creation para evitar que se cree una versión de clave. Cuando usas Cloud KMS con
T-Systems Sovereign Cloud, TSI es responsable de crear versiones de claves para
tu cuenta.
gcloud
gcloud kms keys create KEY_NAME \ --keyring KEY_RING_NAME \ --location europe-west3 \ --purpose asymmetric-signing \ --protection-level external-vpc \ --skip-initial-version-creation \ --default-algorithm ec-sign-p256-sha256 \ --crypto-key-backend EKM_CONNECTION
Establece el propósito de la clave como asymmetric-signing para especificar que es una clave de firma asimétrica. Debes usar el nivel de protección external-vpc, ya que el EKM de TSI está conectado a Cloud KMS con un EKM a través de una conexión de VPC.
Reemplaza EKM_CONNECTION por el nombre de la conexión del EKM que copiaste en la sección Obtén el nombre del recurso de conexión del EKM de Cloud anterior, con el nombre completo del recurso.
Los pasos anteriores crean una clave de encriptación asimétrica vacía en el llavero. Para crear una versión de clave, sigue las instrucciones que se indican en la sección Pasos finales que aparece a continuación.
Pasos finales
Después de crear una clave de EKM de Cloud en Google Cloud, el último paso es enviar un ticket a TSI mediante el formulario de solicitud del Herramienta de seguimiento de errores. Haz esto para crear la primera versión de la clave. Tu solicitud se enviará a TSI para que completen su parte del aprovisionamiento de claves.
Consulta Operaciones de claves administradas por TSI para obtener explicaciones detalladas sobre otras operaciones de administración de claves, como la creación o rotación de versiones de claves.