Claves de encriptación administradas por el cliente

De forma predeterminada, Google Cloud encripta los datos cuando están en reposo de manera automática mediante claves de encriptación administradas por Google. Si tienes requisitos normativos o de cumplimiento específicos relacionados con las claves que protegen los datos, puedes usar claves de encriptación administradas por el cliente (CMEK) con tus instancias de Vertex AI Workbench.

En esta página, se describen algunos beneficios y limitaciones específicos del uso de CMEK con Vertex AI Workbench y se muestra cómo configurar una instancia de Vertex AI Workbench nueva para usar CMEK.

Para obtener información sobre las CMEK en general, incluso cuándo y por qué habilitarlas, consulta Claves de encriptación administradas por el cliente.

Beneficios de CMEK

En general, las CMEK son más útiles si necesitas control total sobre las claves que se usan para encriptar los datos. Mediante CMEK, puedes administrar las claves dentro de Cloud Key Management Service. Por ejemplo, puedes rotar o inhabilitar una clave, o bien puedes configurar una programación de rotación mediante la API de Cloud KMS.

Cuando ejecutas una instancia de Vertex AI Workbench, esta se ejecuta en una máquina virtual (VM) administrada por Vertex AI Workbench. Cuando habilitas CMEK para una instancia de Vertex AI Workbench, Vertex AI Workbench usa la clave que designes, en lugar de una clave administrada por Google, para encriptar datos en los discos de arranque de la VM.

La clave CMEK no encripta los metadatos, como el nombre y la región de la instancia, asociados con tu instancia de Vertex AI Workbench. Los metadatos asociados con las instancias de Vertex AI Workbench siempre se encriptan mediante el mecanismo de encriptación predeterminado de Google.

Limitaciones de CMEK

Para disminuir la latencia y evitar que los recursos dependan de los servicios distribuidos en varios dominios con fallas, Google recomienda proteger las instancias de Vertex AI Workbench con claves en la misma ubicación.

  • Puedes encriptar instancias regionales de Vertex AI Workbench mediante claves en la misma ubicación o en la ubicación global. Por ejemplo, puedes encriptar datos en un disco en la zona us-west1-a mediante una clave en us-west1 o global.
  • Puedes encriptar instancias globales mediante el uso de claves en cualquier ubicación.
  • La configuración de CMEK para Vertex AI Workbench no configura de forma automática las CMEK para otros productos de Google Cloud que uses. Para usar CMEK a fin de encriptar datos en otros productos de Google Cloud, debes completar la configuración adicional.

Configura CMEK para la instancia de Vertex AI Workbench

En las siguientes secciones, se describe cómo crear un llavero de claves y una clave en Cloud Key Management Service, cómo otorgar permisos de encriptador y desencriptador de cuenta de servicio para tu clave y cómo crear una instancia de Vertex AI Workbench que use CMEK.

Antes de comenzar

Recomendamos usar una configuración que admita una separación de obligaciones. Si deseas configurar CMEK para Vertex AI Workbench, puedes usar dos proyectos de Google Cloud diferentes:

  • Un proyecto de Cloud KMS: un proyecto para administrar tu clave de encriptación
  • Un proyecto de Vertex AI Workbench: Un proyecto para acceder a instancias de Vertex AI Workbench y, además, interactuar con cualquier otro producto de Google Cloud que necesites para tu caso de uso

Como alternativa, puedes usar un solo proyecto de Google Cloud. Para hacerlo, usa el mismo proyecto para todas las tareas siguientes.

Configura el proyecto de Cloud KMS

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

  2. En la página del selector de proyectos de la consola de Google Cloud, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

  4. Habilita la API de Cloud KMS.

    Habilita la API

    5.

  5. En la página del selector de proyectos de la consola de Google Cloud, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  6. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

  7. Habilita la API de Cloud KMS.

    Habilita la API

    8.

Configura el proyecto de Vertex AI Workbench

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

  2. En la página del selector de proyectos de la consola de Google Cloud, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

  4. Habilita Notebooks API.

    Habilita la API

    5.

  5. En la página del selector de proyectos de la consola de Google Cloud, selecciona o crea un proyecto de Google Cloud.

    Ir al selector de proyectos

  6. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

  7. Habilita Notebooks API.

    Habilita la API

    8.

Configura la CLI de Google Cloud

La CLI de gcloud es obligatoria en algunos pasos de esta página y opcional en otros.

Instala Google Cloud CLI y, luego, inicializa la ejecución del siguiente comando: 

gcloud init

Crea un llavero de claves y una clave

Cuando crees un llavero de claves y una clave, ten en cuenta los siguientes requisitos:

  • Cuando elijas la ubicación de tu llavero de claves, usa global o la ubicación en la que se encuentra la instancia de Vertex AI Workbench.

  • Asegúrate de crear el llavero de claves y la clave en el proyecto de Cloud KMS.

Para crear un llavero de claves y una clave, consulta Crea claves de encriptación simétricas.

Otorga permisos de Vertex AI Workbench

A fin de usar CMEK para la instancia de Vertex AI Workbench, debes otorgar permiso a la instancia de Vertex AI Workbench para encriptar y desencriptar datos con la clave. Otorgas este permiso al agente de servicio de tu proyecto y a la cuenta de servicio de Compute Engine.

Para encontrar las cuentas específicas de tu proyecto de Vertex AI Workbench, usa la consola de Google Cloud.

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM

  2. Selecciona Incluir asignaciones de roles proporcionadas por Google.

  3. Busca los miembros que coincidan con los siguientes formatos de dirección de correo electrónico. Toma nota de las direcciones de correo electrónico y úsalas en los siguientes pasos.

    • La dirección de correo electrónico del agente de servicio de tu proyecto se ve de la siguiente manera:

      service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com

    • La dirección de correo electrónico de la cuenta de servicio de Compute Engine se ve de la siguiente manera:

      service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com

    Reemplaza NOTEBOOKS_PROJECT_NUMBER por el número de proyecto de tu proyecto de Vertex AI Workbench.

    A fin de otorgar permiso a estas cuentas para encriptar y desencriptar datos con la clave, puedes usar la consola de Google Cloud o Google Cloud CLI.

    Console

    1. En la consola de Google Cloud, ve a la página Claves criptográficas.

      Ir a Claves criptográficas

    2. Selecciona tu proyecto de Cloud KMS.

    3. Haz clic en el nombre del llavero de claves que creaste en Crea un llavero de claves y una clave. Se abrirá la página Detalles del llavero de claves.

    4. Selecciona la casilla de verificación de la clave que creaste en Crea un llavero de claves y una clave. Si no hay un panel de información etiquetado con el nombre de la clave que ya esté abierto, haz clic en Mostrar panel de información.

    5. En el panel de información, haz clic en  Agregar miembro. Se abre el cuadro de diálogo Agregar miembros a “KEY_NAME. En este cuadro de diálogo, haz la siguiente acción:

      1. En el campo Miembros nuevos, ingresa la dirección de correo electrónico del agente de servicio de tu proyecto:

        service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com

      2. En la lista Seleccionar un rol, haz clic en Cloud KMS y, luego, selecciona la función Encriptador/desencriptador de CryptoKey de Cloud KMS.

      3. Haz clic en Guardar.

    6. Repite estos pasos para el agente de servicio de Compute Engine:

      service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com

    gcloud

    1. Para otorgar permiso al agente de servicio de tu proyecto para encriptar y desencriptar datos con tu clave, ejecuta el siguiente comando:

      gcloud kms keys add-iam-policy-binding KEY_NAME \
  --keyring=KEY_RING_NAME \
  --location=REGION \
  --project=KMS_PROJECT_ID \
  --member=serviceAccount:service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com \
  --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

      Reemplaza lo siguiente:

      • KEY_NAME: Es el nombre de la clave que creaste en Crea un llavero de claves y una clave.
      • KEY_RING_NAME: Es el llavero de claves que creaste en Crea un llavero de claves y una clave.
      • REGION: Es la región en la que creaste el llavero de claves.
      • KMS_PROJECT_ID: Es el ID del proyecto de Cloud KMS.
      • NOTEBOOKS_PROJECT_NUMBER: Es el número del proyecto de Vertex AI Workbench, que anotaste en la sección anterior como parte de una dirección de correo electrónico de cuenta de servicio.

    2. Para otorgar permiso a la cuenta de servicio de Compute Engine para encriptar y desencriptar datos con tu clave, ejecuta el siguiente comando:

      gcloud kms keys add-iam-policy-binding KEY_NAME \
  --keyring=KEY_RING_NAME \
  --location=REGION \
  --project=KMS_PROJECT_ID \
  --member=serviceAccount:service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \
  --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Crea una instancia de Vertex AI Workbench con CMEK

Después de otorgar a tu instancia de Vertex AI Workbench permiso para encriptar y desencriptar datos con tu clave, puedes crear una instancia de Vertex AI Workbench que encripte los datos con esta clave.

En el siguiente ejemplo, se muestra cómo encriptar y desencriptar datos con la clave mediante la consola de Google Cloud.

Sigue estos pasos para crear una instancia de Vertex AI Workbench con una clave de encriptación administrada por el cliente:

  1. En la consola de Google Cloud, ve a la página Instancias.

    Ir a Instancias

  2. Haz clic en  Crear nuevo.

  3. En el cuadro de diálogo Instancia nueva, haz clic en Opciones avanzadas.

  4. En el diálogo Crear instancia, en la sección Detalles, proporciona la siguiente información para tu instancia nueva:

    • Nombre: un nombre para tu instancia nueva
    • Región: es la región en la que se encuentran la clave y el llavero de claves.
    • Zona: selecciona una zona dentro de la región que elegiste.

  5. En la sección Discos, en Encriptación, selecciona Clave de encriptación administrada por el cliente (CMEK).

  6. Haz clic en Selecciona una clave administrada por el cliente.

    • Si la clave administrada por el cliente que deseas usar está en la lista, selecciónala.

    • Si la clave administrada por el cliente que deseas usar no está en la lista, ingresa el ID de recurso de tu clave administrada por el cliente. El ID de recurso de tu clave administrada por el cliente será similar al siguiente:

      projects/NOTEBOOKS_PROJECT_NUMBER/locations/global/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME

      Reemplaza lo siguiente:

  7. Completa el resto del diálogo de creación de la instancia y, luego, haz clic en Crear.

¿Qué sigue?