Claves de encriptación administradas por el cliente (CMEK)
De forma predeterminada, Vertex AI Workbench encripta el contenido del cliente en reposo. Vertex AI Workbench controla la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina Encriptación predeterminada de Google.
Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluido Vertex AI Workbench. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite hacer un seguimiento del uso de las claves, ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.
Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos de Vertex AI Workbench es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).
En esta página, se describen algunos beneficios y limitaciones específicos del uso de CMEK con Vertex AI Workbench y se muestra cómo configurar una instancia de Vertex AI Workbench nueva para usar CMEK.
Para obtener más información sobre cómo usar CMEK para Vertex AI, consulta la página de CMEK de Vertex AI.
Beneficios de CMEK
En general, las CMEK son más útiles si necesitas control total sobre las claves que se usan para encriptar los datos. Mediante CMEK, puedes administrar las claves dentro de Cloud Key Management Service. Por ejemplo, puedes rotar o inhabilitar una clave, o bien puedes configurar una programación de rotación mediante la API de Cloud KMS.
Cuando ejecutas una instancia de Vertex AI Workbench, esta se ejecuta en una máquina virtual (VM) administrada por Vertex AI Workbench. Cuando habilitas CMEK para una instancia de Vertex AI Workbench, Vertex AI Workbench usa la clave que designes, en lugar de una clave administrada por Google, para encriptar datos en los discos de arranque de la VM.
La clave CMEK no encripta los metadatos, como el nombre y la región de la instancia, asociados con tu instancia de Vertex AI Workbench. Los metadatos asociados con las instancias de Vertex AI Workbench siempre se encriptan mediante el mecanismo de encriptación predeterminado de Google.
Limitaciones de CMEK
Para disminuir la latencia y evitar que los recursos dependan de los servicios distribuidos en varios dominios con fallas, Google recomienda proteger las instancias de Vertex AI Workbench con claves en la misma ubicación.
- Puedes encriptar instancias regionales de Vertex AI Workbench mediante claves en la misma ubicación o en la ubicación global. Por ejemplo, puedes encriptar datos en un disco en la zona
us-west1-a
mediante una clave enus-west1
oglobal
. - Puedes encriptar instancias globales mediante el uso de claves en cualquier ubicación.
- La configuración de CMEK para Vertex AI Workbench no configura de forma automática las CMEK para otros productos de Google Cloud que uses. Para usar CMEK a fin de encriptar datos en otros productos de Google Cloud, debes completar la configuración adicional.
Configura CMEK para la instancia de Vertex AI Workbench
En las siguientes secciones, se describe cómo crear un llavero de claves y una clave en Cloud Key Management Service, cómo otorgar permisos de encriptador y desencriptador de cuenta de servicio para tu clave y cómo crear una instancia de Vertex AI Workbench que use CMEK.
Antes de comenzar
Recomendamos usar una configuración que admita una separación de obligaciones. Si deseas configurar CMEK para Vertex AI Workbench, puedes usar dos proyectos de Google Cloud diferentes:
- Un proyecto de Cloud KMS: un proyecto para administrar tu clave de encriptación
- Un proyecto de Vertex AI Workbench: Un proyecto para acceder a instancias de Vertex AI Workbench y, además, interactuar con cualquier otro producto de Google Cloud que necesites para tu caso de uso
Como alternativa, puedes usar un solo proyecto de Google Cloud. Para hacerlo, usa el mismo proyecto para todas las tareas siguientes.
Configura el proyecto de Cloud KMS
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud KMS API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud KMS API.
Configura el proyecto de Vertex AI Workbench
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Notebooks API.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Notebooks API.
Configura la CLI de Google Cloud
gcloud CLI es obligatoria en algunos pasos de esta página y opcional en otros.Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Crea un llavero de claves y una clave
Cuando crees un llavero de claves y una clave, ten en cuenta los siguientes requisitos:
Cuando elijas la ubicación de tu llavero de claves, usa
global
o la ubicación en la que se encuentra la instancia de Vertex AI Workbench.Asegúrate de crear el llavero de claves y la clave en el proyecto de Cloud KMS.
Para crear un llavero de claves y una clave, consulta Crea claves de encriptación simétricas.
Otorga permisos de Vertex AI Workbench
A fin de usar CMEK para la instancia de Vertex AI Workbench, debes otorgar permiso a la instancia de Vertex AI Workbench para encriptar y desencriptar datos con la clave. Otorgas este permiso al agente de servicio de tu proyecto y a la cuenta de servicio de Compute Engine.
Usa la consola de Google Cloud para encontrar las cuentas específicas de tu proyecto de Vertex AI Workbench.
En la consola de Google Cloud, ve a la página IAM.
Selecciona Incluir asignaciones de roles proporcionadas por Google.
Busca los miembros que coincidan con los siguientes formatos de dirección de correo electrónico. Toma nota de las direcciones de correo electrónico y úsalas en los siguientes pasos.
La dirección de correo electrónico del agente de servicio de tu proyecto se ve de la siguiente manera:
service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com
La dirección de correo electrónico de la cuenta de servicio de Compute Engine se ve de la siguiente manera:
service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
Reemplaza
NOTEBOOKS_PROJECT_NUMBER
por el número de proyecto de tu proyecto de Vertex AI Workbench.Para otorgarles permiso a estas cuentas para encriptar y desencriptar datos con tu clave, puedes usar la consola de Google Cloud o Google Cloud CLI.
Console
En la consola de Google Cloud, ve a la página Administración de claves.
Selecciona tu proyecto de Cloud KMS.
Haz clic en el nombre del llavero de claves que creaste en Crea un llavero de claves y una clave. Se abrirá la página Detalles del llavero de claves.
Selecciona la casilla de verificación de la clave que creaste en Crea un llavero de claves y una clave. Si no hay un panel de información etiquetado con el nombre de la clave que ya esté abierto, haz clic en Mostrar panel de información.
En el panel de información, haz clic en
Agregar miembro. Se abre el cuadro de diálogo Agregar miembros a “KEY_NAME”. En este cuadro de diálogo, haz la siguiente acción:En el campo Miembros nuevos, ingresa la dirección de correo electrónico del agente de servicio de tu proyecto:
service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com
En la lista Seleccionar un rol, haz clic en Cloud KMS y, luego, selecciona la función Encriptador/desencriptador de CryptoKey de Cloud KMS.
Haz clic en Guardar.
Repite estos pasos para el agente de servicio de Compute Engine:
service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
gcloud
Para otorgar permiso al agente de servicio de tu proyecto para encriptar y desencriptar datos con tu clave, ejecuta el siguiente comando:
gcloud kms keys add-iam-policy-binding KEY_NAME \ --keyring=KEY_RING_NAME \ --location=REGION \ --project=KMS_PROJECT_ID \ --member=serviceAccount:service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Reemplaza lo siguiente:
KEY_NAME
: Es el nombre de la clave que creaste en Crea un llavero de claves y una clave.KEY_RING_NAME
: Es el llavero de claves que creaste en Crea un llavero de claves y una clave.REGION
: Es la región en la que creaste el llavero de claves.KMS_PROJECT_ID
: Es el ID del proyecto de Cloud KMS.NOTEBOOKS_PROJECT_NUMBER
: Es el número del proyecto de Vertex AI Workbench, que anotaste en la sección anterior como parte de una dirección de correo electrónico de cuenta de servicio.
Para otorgar permiso a la cuenta de servicio de Compute Engine para encriptar y desencriptar datos con tu clave, ejecuta el siguiente comando:
gcloud kms keys add-iam-policy-binding KEY_NAME \ --keyring=KEY_RING_NAME \ --location=REGION \ --project=KMS_PROJECT_ID \ --member=serviceAccount:service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Crea una instancia de Vertex AI Workbench con CMEK
Después de otorgar a tu instancia de Vertex AI Workbench permiso para encriptar y desencriptar datos con tu clave, puedes crear una instancia de Vertex AI Workbench que encripte los datos con esta clave.
En el siguiente ejemplo, se muestra cómo encriptar y desencriptar datos con la clave mediante la consola de Google Cloud.
Sigue estos pasos para crear una instancia de Vertex AI Workbench con una clave de encriptación administrada por el cliente:
En la consola de Google Cloud, ve a la página Instancias.
Haz clic en
Crear nuevo.En el cuadro de diálogo Instancia nueva, haz clic en Opciones avanzadas.
En el diálogo Crear instancia, en la sección Detalles, proporciona la siguiente información para tu instancia nueva:
- Nombre: un nombre para tu instancia nueva
- Región: es la región en la que se encuentran la clave y el llavero de claves.
- Zona: selecciona una zona dentro de la región que elegiste.
En la sección Discos, en Encriptación, selecciona Clave de encriptación administrada por el cliente (CMEK).
Haz clic en Selecciona una clave administrada por el cliente.
- Si la clave administrada por el cliente que deseas usar está en la lista, selecciónala.
Si la clave administrada por el cliente que deseas usar no está en la lista, ingresa el ID de recurso de tu clave administrada por el cliente. El ID de recurso de tu clave administrada por el cliente será similar al siguiente:
projects/NOTEBOOKS_PROJECT_NUMBER/locations/global/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
Reemplaza lo siguiente:
NOTEBOOKS_PROJECT_NUMBER
: Es el ID de tu proyecto de Vertex AI WorkbenchKEY_RING_NAME
: Es el llavero de claves que creaste en Crea un llavero de claves y una clave.KEY_NAME
: Es el nombre de la clave que creaste en Crea un llavero de claves y una clave.
Completa el resto del diálogo de creación de la instancia y, luego, haz clic en Crear.
¿Qué sigue?
- Obtén más información sobre CMEK en Google Cloud.
- Obtén más información sobre cómo usar CMEK con otros productos de Google Cloud.