De forma predeterminada, Cloud Tasks encripta tus datos almacenados en reposo. Google Cloud administra esta encriptación predeterminada sin que debas realizar acciones adicionales.
Si tienes requisitos regulatorios o de cumplimiento específicos relacionados con las claves que protegen tus datos, puedes usar claves de encriptación administradas por el cliente (CMEK) para Cloud Tasks. Tu tarea y los datos asociados (cuerpo y encabezado) en reposo están protegidos con una clave de encriptación a la que solo tú puedes acceder, y que puedes controlar y administrar con Cloud Key Management Service (Cloud KMS).
Qué se protege con CMEK
Cuando habilitas CMEK en Cloud Tasks, lo haces para una región. Cuando se habilita, el cuerpo y el encabezado de las tareas creadas en esa región están protegidos con tu clave cuando están en reposo. Si se creó una tarea mientras estaba habilitada la CMEK y, luego, la clave se vuelve inactiva (cuando se inhabilita o borra la clave, o se inhabilitan las CMEK), la tarea se encripta con tu clave, pero no se puede ejecutar.
Las tareas no están protegidas con CMEK en los siguientes casos:
- Se creó la tarea antes de habilitar las CMEK
- La tarea no se encuentra en la región para la que se habilitaron las CMEK
- La tarea se ve afectada por una limitación de compatibilidad
Limitaciones de compatibilidad
La integración de Cloud Tasks con CMEK no admite lo siguiente:
Versiones
google-gax
anteriores a4.0.0
: El paquete de NPMgoogle-gax
para Node.js tiene compatibilidad limitada en versiones anteriores a4.0.0
. Para estas versiones, las CMEK solo se admiten en la regiónus-central1
. Incluso si solo tienes tareas en esa región, se recomienda que actualices a la versión4.0.0
o una posterior.Servicio en cola de tareas integrado en App Engine: Las tareas creadas con el servicio integrado en cola de tareas en cola de App Engine no están protegidas por CMEK, incluso si están en una región para la que está habilitada. Habilitar CMEK no impide la creación ni la operación (por ejemplo, la ejecución o eliminación) de estas tareas.
Listas de extracción: Si habilitas las CMEK, puedes crear y ejecutar tareas en las listas de extracción, pero estas no están protegidas por CMEK. Las listas de extracción no son comunes. Para verificar si tu cola es una lista de extracción, ejecuta el siguiente comando de gcloud CLI en la terminal:
gcloud tasks queues describe QUEUE_NAME
Reemplaza
QUEUE_NAME
por el nombre de la cola.Si
type
espull
, tu cola es una lista de extracción. Si eltype
que se muestra espush
, esta limitación no afecta las tareas de tu cola.Enrutamiento a nivel de cola: Cuando las CMEK están habilitadas, no puedes aplicar el enrutamiento a nivel de la cola. Y, si el enrutamiento a nivel de cola está habilitado, no puedes habilitar CMEK. Para verificar si el enrutamiento a nivel de cola está habilitado, haz lo siguiente:
Ejecuta el siguiente comando de gcloud CLI en tu terminal:
gcloud tasks queues describe QUEUE_NAME
ReemplazaQUEUE_NAME
por el nombre de la cola.En el resultado, busca el campo
httpTarget
y verifica si se configuróuriOverride
. Si se especifica unhost
, la cola tiene habilitado el enrutamiento a nivel de la cola y no es compatible con CMEK. Para quitar el enrutamiento a nivel de cola, consulta Actualiza o quita el enrutamiento a nivel de cola. Si el resultado no muestrauriOverride
con unhost
especificado, la cola no usa el enrutamiento a nivel de la cola.
TTL de la tarea: Cuando se habilita CMEK, no puedes configurar
task_ttl
en más de 60 días. Y si tienes untask_ttl
configurado en más de 60 días, no puedes habilitar CMEK.
Antes de comenzar
Antes de usar CMEK en Cloud Tasks, completa los siguientes pasos:
Habilitar las APIs
Console
-
Habilita las API de Cloud KMS and Cloud Tasks.
gcloud
En la consola de Google Cloud, activa Cloud Shell.
En la parte inferior de la consola de Google Cloud, se inicia una sesión de Cloud Shell en la que se muestra una ventana de línea de comandos. Cloud Shell es un entorno de shell con Google Cloud CLI ya instalada y con valores ya establecidos para el proyecto actual. La sesión puede tardar unos segundos en inicializarse.
Configura tu proyecto predeterminado. Este debería ser el proyecto que contenga los recursos de Cloud Tasks que quieres proteger con CMEK. Si necesitas ejecutar un comando en un proyecto diferente, como el proyecto que contiene tus recursos de Cloud KMS, en esta página se incluirá la marca
--project
en el comando de gcloud CLI y se te dirá qué proyecto especificar.gcloud config set project PROJECT_ID
Reemplaza
PROJECT_ID
por el ID del proyecto que contiene tus recursos de Cloud Tasks.Actualiza los componentes de
gcloud
:gcloud components update
Habilita las APIs de Cloud KMS y Cloud Tasks para el proyecto que almacenará tus claves de encriptación.
gcloud services enable cloudkms.googleapis.com cloudtasks.googleapis.com
--project=PROJECT_IDReemplaza
PROJECT_ID
por el ID del proyecto que almacenará tus claves de encriptación. Este podría ser el mismo proyecto que tus recursos de Cloud Tasks, pero para limitar el acceso a tus claves de Cloud KMS, considera configurar Cloud KMS en otro proyecto.
-
Cloud KMS produce Registros de auditoría de Cloud cuando las claves se habilitan, inhabilitan o usan los recursos de Cloud Tasks para encriptar y desencriptar datos. Asegúrate de que el registro esté habilitado para la API de Cloud KMS en tu proyecto y de que hayas decidido qué permisos y funciones específicos del registro se aplican a tu caso de uso. Para obtener más detalles, consulta la información de registro de auditoría de Cloud KMS.
Obtener roles de Identity and Access Management
Si quieres obtener los permisos que necesitas para usar CMEK con Cloud Tasks, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:
-
Habilita o inhabilita CMEK:
roles/cloudtasks.admin
-
Consulta la clave en uso:
roles/cloudtasks.viewer
Si quieres obtener más información para otorgar funciones, consulta Administra el acceso.
Es posible que también puedas obtener los permisos necesarios a través de los roles personalizados o de otros roles predefinidos.
-
Habilita o inhabilita CMEK:
Crea un llavero de claves y una clave de Cloud KMS globales
Si ya tienes un llavero de claves en la misma región que tus recursos de Cloud Tasks y deseas usar esa clave y ese llavero, omite esta sección. Si no es así, usa estas instrucciones para crear tu clave y llavero de claves de Cloud KMS.
-
El llavero de claves debe estar en la región que contiene los recursos de Cloud Tasks que quieres proteger. Para obtener más información, consulta Ubicaciones de Cloud KMS y Ubicaciones de Cloud Tasks.
El llavero de claves y los recursos de Cloud Tasks protegidos por CMEK pueden estar en el mismo proyecto. Sin embargo, para limitar el acceso a tus claves de Cloud KMS, considera configurar Cloud KMS en un proyecto separado.
Recupera el ID de una clave de Cloud KMS
El ID de recurso de una clave de Cloud KMS es obligatorio cuando habilitas CMEK para Cloud Tasks.
Console
En la consola de Google Cloud, ve a la página Administración de claves y selecciona la pestaña Inventario de claves.
Para la clave cuyo ID de recurso quieres recuperar, haz clic en more_vert Acciones.
Haz clic en Copiar nombre del recurso.
El ID de recurso de la clave se copiará en el portapapeles. Su formato es similar al siguiente:
projects/PROJECT_NAME/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
gcloud
Enumera todas las claves de un llavero de claves determinado:
gcloud kms keys list --keyring=KEY_RING --location=LOCATION --project=PROJECT_ID
Reemplaza lo siguiente:
KEY_RING
: es el nombre del llavero de claves.LOCATION
: Es la región del llavero de claves.PROJECT_ID
: El ID del proyecto que contiene el llavero de claves
El resultado incluye el ID de cada clave. Por ejemplo:
NAME: projects/PROJECT_NAME/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
Otorga al agente de servicio de Cloud Tasks acceso a la clave
Debes otorgar al agente de servicio de Cloud Tasks la función de encriptador y desencriptador de CryptoKey de Cloud KMS de Identity and Access Management (IAM) para que pueda acceder a la clave de Cloud KMS:
Console
En la consola de Google Cloud, ve a la página Identity and Access Management.
Selecciona la casilla de verificación Incluir asignaciones de roles proporcionadas por Google.
Escribe
cloudtasks.iam.gserviceaccount.com
en el filtro para buscar la cuenta de servicio de Cloud Tasks.La cuenta de servicio de Cloud Tasks tiene el formato
service-PROJECT_NUMBER@gcp-sa-cloudtasks.iam.gserviceaccount.com
.Haz clic en el ícono de lápiz Editar principal.
En el panel que se abre, haz clic en Agregar otro rol.
Busca y selecciona el rol Encriptador/Desencriptador de CryptoKey de Cloud KMS.
Haz clic en Guardar.
gcloud
gcloud kms keys add-iam-policy-binding KEY_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudtasks.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Reemplaza lo siguiente:
KEY_ID
: Es el ID del recurso completamente calificado para tu clave. Si quieres obtener instrucciones para encontrar esto, consulta Recupera el ID de una clave de Cloud KMS. No incluyas un número de versión de clave. Si incluyes un número de versión de clave, es posible que este comando falle.PROJECT_NUMBER
: el número de tu proyecto de Google Cloud. Para encontrar el número del proyecto, ve a la página de bienvenida de la consola de Google Cloud o ejecuta el siguiente comando:PROJECT=$(gcloud info --format='value(config.project)') gcloud projects describe ${PROJECT} --format="value(projectNumber)"
Siempre que el agente de servicio tenga la función roles/cloudkms.cryptoKeyEncrypterDecrypter
, una tarea en tu región habilitada para CMEK puede encriptar y desencriptar sus datos mediante la clave CMEK. Si revocas este rol, o si inhabilitas o destruyes la clave CMEK, no se podrá acceder a los datos. En este documento, consulta Cómo inhabilitar Cloud KMS.
Habilita CMEK para Cloud Tasks
Puedes habilitar CMEK con la API o gcloud CLI. En Cloud Tasks, las CMEK se habilitan por región. No está habilitado para tareas individuales. Cuando las CMEK se habilitan para una región determinada en Cloud Tasks, todas las tareas en esa región están protegidas por CMEK.
API
Para habilitar CMEK, llama al método Update CMEK config
. La API de Cloud Tasks proporciona el método Update CMEK config
en las API de REST y RPC:
- REST: Usa el método
updateCmekConfig
. - RPC: Usa el método
UpdateCmekConfigRequest
.
gcloud
Para habilitar CMEK con Google Cloud CLI, usa el siguiente comando:
gcloud tasks cmek-config update --location=LOCATION --kms-key-name=KEY_ID
Reemplaza lo siguiente:
LOCATION
: Es la región del recurso de Cloud Tasks.KEY_ID
: Es el ID del recurso completamente calificado para tu clave. Si quieres obtener instrucciones para encontrar esto, consulta Recupera el ID de una clave de Cloud KMS. No incluyas un número de versión de clave. Si incluyes un número de versión de clave, es posible que este comando falle.
Para verificar que la clave se haya habilitado de forma correcta, sigue las instrucciones de la sección Identifica la clave en uso.
Habilitar para tareas preexistentes
Las CMEK no protegen las tareas que se crearon antes de habilitar las CMEK para Cloud Tasks. Para proteger las tareas preexistentes con CMEK, sigue estos pasos:
- Habilita CMEK (consulta la sección sobre cómo habilitar CMEK).
Reemplaza las tareas preexistentes. Existen dos formas principales de hacerlo. La mejor manera de hacerlo depende de lo que sea importante para ti:
Ejecución continua: Para garantizar la ejecución continua (la entrega “al mínimo una vez”), primero puedes volver a crear la tarea y, luego, borrar la tarea preexistente después de verificar que la tarea nueva funcione como se espera. Esto puede generar ejecuciones duplicadas, ya que la tarea antigua y la nueva pueden ejecutarse antes de borrar la antigua.
Prevención de duplicados: Para evitar ejecuciones duplicadas ("entrega como máximo una vez"), primero puedes borrar la tarea anterior y, luego, volver a crearla. Esto puede provocar que se pierdan ejecuciones debido al tiempo transcurrido entre la eliminación de la tarea anterior y la creación de la nueva.
Identifica la clave en uso
A fin de identificar la clave CMEK que se usa para los recursos de Cloud Tasks, ejecuta el siguiente comando de gcloud CLI en la terminal:
gcloud tasks cmek-config describe --location=LOCATION
Reemplaza LOCATION
por la región de los recursos de Cloud Tasks.
Si no hay resultados, las CMEK no están configuradas para la ubicación especificada.
Inhabilita CMEK para Cloud Tasks
Puedes inhabilitar CMEK con la API o gcloud CLI. En Cloud Tasks, las CMEK están inhabilitadas por región. No está inhabilitado para tareas individuales. Cuando las CMEK están inhabilitadas para una región determinada en Cloud Tasks, las tareas en esa región no están protegidas por CMEK.
Inhabilitar CMEK afecta las tareas creadas en el futuro, no las creadas en el pasado:
- Tareas nuevas: no están protegidas por CMEK
Tareas preexistentes: Las tareas que se crearon mientras se habilitaba CMEK permanecen encriptadas y se siguen ejecutando mientras la clave de Cloud KMS permanezca activa.
API
Para inhabilitar CMEK, llama al método Update CMEK config
y borra la clave de Cloud KMS si la reemplazas por una string vacía. La API de Cloud Tasks proporciona el método Update CMEK config
en las API de REST y RPC:
- REST: Usa el método
updateCmekConfig
. - RPC: Usa el método
UpdateCmekConfigRequest
.
gcloud
Para inhabilitar CMEK con Google Cloud CLI, usa el siguiente comando:
gcloud tasks cmek-config update --location=LOCATION --clear-kms-key
Reemplaza lo siguiente:
LOCATION
: Es la región del recurso de Cloud Tasks.
Quita Cloud KMS
Si deseas revocar el acceso a los datos en tus tareas, puedes quitar Cloud KMS. Existen tres maneras de hacerlo:
Inhabilita la clave de encriptación administrada por el cliente. Cuando se inhabilita una clave CMEK, se suspende el acceso a todos los datos protegidos por esa versión de clave mientras la clave está inhabilitada. No puedes acceder ni crear tareas con una clave que esté inhabilitada. Si intentas ejecutar una tarea protegida con CMEK mientras la clave está inhabilitada, se mostrará un error
UNKNOWN
en Cloud Logging. Puedes volver a habilitar la clave más adelante si lo deseas. Cuando inhabilitas una clave de encriptación administrada por el cliente, el cambio puede tardar hasta 5 minutos en aplicarse.Destruye la clave de encriptación administrada por el cliente. La destrucción de una clave CMEK suspende de forma permanente el acceso a todos los datos que protege esa versión de clave. No puedes crear tareas con una clave destruida ni acceder a ellas. Si se creó una tarea mientras estaba habilitada la CMEK y luego se destruye la clave, la tarea se encripta con tu clave, pero no se puede ejecutar. Si la tarea intenta ejecutarse, Cloud Logging registra un error
UNKNOWN
. Cuando destruyes una clave de encriptación administrada por el cliente, el cambio puede tardar hasta 5 minutos en aplicarse.Revoca el rol
cloudkms.cryptoKeyEncrypterDecrypter
de IAM del agente de servicio de Cloud Tasks. Esto afecta a todas las tareas del proyecto de Google Cloud que admiten la encriptación mediante CMEK. No puedes crear tareas nuevas integradas con CMEK ni ver ningún recurso encriptado con CMEK.
Aunque ninguna de estas operaciones garantiza la revocación instantánea del acceso, los cambios de IAM suelen aplicarse más rápido. Para obtener más información, consulta Coherencia de recursos de Cloud KMS y Propagación de cambios de acceso.
Precios
Esta integración no genera costos adicionales más allá de las operaciones de clave, que se facturan en tu proyecto de Google Cloud. Para obtener información sobre los precios actuales, consulta Precios de Cloud KMS.