Se usó la API de Cloud Translation para traducir esta página.

Habilita las claves de encriptación administradas por el cliente para las evaluaciones

En este documento, se describe cómo encriptar los datos de evaluación del Administrador de cargas de trabajo con claves de encriptación administradas por el cliente (CMEK).

Descripción general

De forma predeterminada, Workload Manager encripta el contenido del cliente en reposo. Workload Manager controla la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina Encriptación predeterminada de Google.

Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluido Workload Manager. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.

Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos de Workload Manager es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).

Limitaciones

Las siguientes limitaciones se aplican a las encriptaciones con CMEK en Workload Manager:

La CMEK solo está disponible para las evaluaciones de tipo de regla personalizada de Workload Manager. Otras funciones del Administrador de cargas de trabajo, como las evaluaciones o la implementación de SAP, usan la encriptación predeterminada de Google porque no se involucra contenido del cliente en reposo.
El Administrador de cargas de trabajo solo aplica claves de CMEK al almacenamiento que le pertenece.

Antes de comenzar

Antes de usar la CMEK, debes crear una clave de Cloud Key Management Service y otorgar los permisos necesarios.

Crea un llavero de claves y una clave.

Selecciona un proyecto y sigue la guía de Cloud KMS para crear claves simétricas y crear un llavero de claves y una clave. La ubicación del llavero de claves debe coincidir con la ubicación de la evaluación.

Ten en cuenta que el Administrador de cargas de trabajo admite la clave administrada externa. Para obtener más información, consulta Cloud External Key Manager.
Otorgar permisos

Para proporcionar acceso a la clave de Cloud KMS, otorga el rol roles/cloudkms.cryptoKeyEncrypterDecrypter al agente de servicio de Workload Manager. El agente de servicio es service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com, donde PROJECT_ID es el ID del proyecto en el que se crea la evaluación.

Cómo funciona la CMEK para las evaluaciones de tipos de reglas personalizadas

En esta sección, se describe cómo funciona la CMEK para las evaluaciones de tipos de reglas personalizadas.

Aprovisionamiento de claves de KMS

Puedes proporcionar una clave de Cloud KMS durante el proceso de creación o actualización de una evaluación de tipo de regla personalizada. Esta disposición es opcional. Si no se especifica ninguna clave de Cloud KMS, Workload Manager usa la encriptación predeterminada de Google. La clave de Cloud KMS proporcionada debe existir y se le debe asignar a la cuenta de servicio de Workload Manager el rol de encriptador/desencriptador (roles/cloudkms.cryptoKeyEncrypterDecrypter) para usar la clave de Cloud KMS. Workload Manager valida la clave de Cloud KMS durante la creación o actualización de la evaluación, y devuelve errores.

Encriptación de datos

Cuando ejecutas una evaluación con una clave de Cloud KMS aprovisionada, Workload Manager usa la clave de Cloud KMS proporcionada para encriptar el almacenamiento que posee Workload Manager:

Es el bucket temporal de Cloud Storage que usa la operación de evaluación. El bucket temporal de Cloud Storage se crea al inicio de una evaluación y se borra al final de la evaluación.
Son los conjuntos de datos de BigQuery en los que se almacenan los resultados de la evaluación.

Workload Manager no usa estas claves para encriptar datos en los buckets de Cloud Storage en los que almacenas reglas personalizadas ni en los conjuntos de datos externos de BigQuery que usas para guardar los resultados de la evaluación.

Acceso a los datos

Workload Manager encripta los resultados de la evaluación con la versión principal de la clave de Cloud KMS proporcionada en el momento de ejecutar la evaluación. Puedes acceder a los resultados de una evaluación y verlos si esa versión específica de la clave de Cloud KMS permanece habilitada.

El acceso a los resultados de la evaluación no se ve afectado por la rotación de claves de KMS. La rotación de claves crea una versión nueva, y las versiones anteriores permanecen.

Los resultados de la evaluación no se vuelven a encriptar cuando se rota la clave.

Configura CMEK para las evaluaciones de tipos de reglas personalizadas

Para usar la CMEK en las evaluaciones de tipos de reglas personalizadas, primero crea una clave en Cloud KMS y, luego, otorga a la clave los permisos necesarios como se describe en Antes de comenzar. Después de eso, puedes usar la clave para crear o actualizar evaluaciones, ejecutarlas y ver sus resultados.

Crea una evaluación con CMEK

Puedes crear evaluaciones de tipos de reglas personalizadas con la CMEK de la misma manera que se describe en la página de creación de evaluaciones. Puedes habilitar la CMEK después de seleccionar las regiones.

Selecciona Clave de encriptación administrada por el cliente (CMEK) en la lista Encriptación (opcional).
Selecciona una clave de Cloud KMS.

Actualiza una evaluación con CMEK

Puedes actualizar una evaluación para que use claves de CMEK.

En la página de edición de la evaluación, selecciona Clave de encriptación administrada por el cliente (CMEK) en la lista Encriptación (opcional).
Selecciona una clave de Cloud KMS.

Visualiza los resultados de la evaluación con CMEK

Puedes ver los resultados de la evaluación de la misma manera que se describe en la página Cómo ver los resultados de la evaluación. No se requiere trabajo adicional.

Cuotas de Cloud KMS y Workload Manager

Cuando usas CMEK en Workload Manager, tus proyectos pueden consumir cuotas de solicitudes criptográficas de Cloud KMS. Por ejemplo, las evaluaciones de Workload Manager encriptadas con CMEK pueden consumir estas cuotas. Las operaciones de encriptación y desencriptación con claves CMEK afectan las cuotas de Cloud KMS solo si usas claves de hardware (Cloud HSM) o externas (Cloud EKM). Para obtener más información, consulta las cuotas de Cloud KMS.

Para las claves externas, la cuota predeterminada es de 100 QPS por proyecto de clave para las operaciones criptográficas. Si es necesario, puedes solicitar una cuota de EKM más alta.

¿Qué sigue?

Obtén más información sobre la CMEK en Google Cloud.
Obtén más información para usar CMEK con otros Google Cloudproductos.