Es posible que parte de la información de esta página (o toda) no se aplique a Cloud de Confiance de S3NS. Consulta Diferencias con Google Cloud para obtener más información.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Protege recursos con las claves de Cloud KMS

En este documento, se proporciona información sobre cómo usar las claves de Cloud Key Management Service Cloud KMS creadas de forma manual para encriptar discos y otros recursos relacionados con el almacenamiento. Las claves administradas en Cloud KMS se conocen como claves de encriptación administradas por el cliente (CMEK). Puedes usar CMEKs para encriptar recursos de Compute Engine, como discos, imágenes de máquina, instantáneas instantáneas y instantáneas estándar.

Antes de comenzar

Obtén información sobre discos, imágenes, instantáneas estándare instancias de máquina virtual (VM).

Decide si ejecutarás Compute Engine y Cloud KMS en el mismo Cloud de Confiance by S3NS proyecto o en proyectos diferentes. Para obtener información sobre los Cloud de Confiance ID y los números de proyectos, consulta Identifica proyectos.

En el proyecto Cloud de Confiance que ejecuta Cloud KMS, haz lo siguiente:
1. Habilita la API de Cloud KMS.
  Roles necesarios para habilitar las APIs
  Para habilitar las APIs, necesitas el rol de IAM de administrador de Service Usage (roles/serviceusage.serviceUsageAdmin), que contiene el permiso serviceusage.services.enable. Obtén más información para otorgar roles.
  Habilitar la API
Para crear un nuevo volumen de Hyperdisk Balanced en modo confidencial, asegúrate de que tu caso de uso sea compatible. Para ello, revisa las limitaciones y las regiones admitidas pertinentes.
Si aún no lo hiciste, configura la autenticación. La autenticación verifica tu identidad para acceder a los servicios y las APIs de Cloud de Confiance by S3NS . Para ejecutar código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:
Selecciona la pestaña que corresponda a la forma en que planeas usar las muestras de esta página:
Console

Cuando usas la consola de Cloud de Confiance para acceder a los servicios y las APIs de Cloud de Confiance by S3NS , no necesitas configurar la autenticación.
gcloud
1. Instala Google Cloud CLI y, luego, accede a gcloud CLI con tu identidad federada. Después de acceder, inicializa Google Cloud CLI con el siguiente comando:
  gcloud init
  Nota: Si ya instalaste gcloud CLI, asegúrate de tener la versión más reciente. Para esto, ejecuta gcloud components update.
Configura una región y una zona predeterminadas.

REST

Para usar las muestras de la API de REST incluidas en esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a la gcloud CLI.

Instala Google Cloud CLI y, luego, accede a gcloud CLI con tu identidad federada.

Para obtener más información, consulta Autentícate para usar REST en la documentación de autenticación de Cloud de Confiance .

Roles y permisos requeridos

El agente de servicio de Compute Engine tiene el siguiente formato:

service-PROJECT_NUMBER@compute-system.s3ns-system.iam.gserviceaccount.com

Puedes usar Google Cloud CLI para asignar el rol:

gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
    --member serviceAccount:service-PROJECT_NUMBER@compute-system.s3ns-system.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter

Reemplaza lo siguiente:

KMS_PROJECT_ID: Es el ID de tu proyecto deCloud de Confiance que ejecuta Cloud KMS (incluso si es el mismo proyecto que ejecuta Compute Engine).
PROJECT_NUMBER: Es el número del proyecto (no el ID del proyecto de Cloud de Confiance ) de tu proyecto de Cloud de Confiance que ejecuta los recursos de Compute Engine.

Para asegurarte de que el agente de servicio de Compute Engine tenga los permisos necesarios para proteger los recursos con claves de Cloud KMS, pídele a tu administrador que otorgue el rol de IAM de Encriptador/Desencriptador de CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) al agente de servicio de Compute Engine en tu proyecto.

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para proteger recursos con claves de Cloud KMS. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para proteger recursos con claves de Cloud KMS:

Para rotar una clave de encriptación que protege un disco, haz lo siguiente: compute.disks.updateKmsKey
Para rotar una clave de encriptación que protege una instantánea, haz lo siguiente: compute.snapshots.updateKmsKey

Es posible que tu administrador también pueda otorgarle estos permisos al agente de servicio de Compute Engine con roles personalizados u otros roles predefinidos.

Especificaciones de encriptación

Las claves de Cloud KMS que se usan para ayudar a proteger tus datos en Compute Engine son claves AES-256. Estas son claves de encriptación de claves y se usan para encriptar las claves de encriptación de datos que inculyen tus datos, no los datos en sí.

Los datos en los discos se encriptan con Google Cloud-powered encryption keys. Para conocer las especificaciones relacionadas con la encriptación predeterminada en Cloud de Confiance by S3NS, consulta Encriptación en reposo predeterminada en la documentación de seguridad.

Con el modo confidencial de Hyperdisk Balanced y Cloud HSM, la clave de encriptación de datos (DEK) tiene propiedades de seguridad adicionales con enclaves respaldados por hardware.

Limitaciones

No puedes encriptar los recursos existentes con CMEKs. Solo puedes encriptar discos, imágenes y, también, instantáneas con CMEKs cuando las creas.
Cuando creas un disco a partir de una instantánea inmediata encriptada con CMEK, debes especificar la clave que se usa para encriptar el disco de origen. No es necesario que especifiques la clave cuando trabajas con otros recursos encriptados con CMEK, como las clonaciones de discos y las instantáneas estándar.
Cuando creas una instantánea con alcance regional (versión preliminar) a partir de un disco encriptado con una CMEK, debes crear la instantánea con una CMEK regional que se encuentre en la misma ubicación que la instantánea. Esto garantiza el aislamiento regional de tu instantánea y aumenta su confiabilidad.
No puedes usar tus propias claves con discos SSD locales porque la infraestructura de Cloud de Confiance by S3NS administra las claves y se borran cuando se finaliza la VM.
Los recursos regionales (discos) solo se pueden encriptar con una clave en una de las siguientes ubicaciones de Cloud KMS:
- Una clave en la misma región que el disco
- Una clave multirregional en la misma ubicación geográfica que el disco
- Una clave en la ubicación global.
Por ejemplo, un disco en la zona us-west1-a se puede encriptar mediante una clave en la ubicación global, la región us-west1 o la multirregión us.

Los recursos globales (como imágenes y las instantáneas) se pueden encriptar mediante claves en cualquier ubicación. Si quieres obtener más información, consulta Tipos de ubicaciones para Cloud KMS.

Nota: Te recomendamos que uses claves en la misma ubicación que los recursos que deseas proteger. Este enfoque ayuda a disminuir la latencia y evitar casos en los que los recursos dependen de los servicios distribuidos en varios dominios con fallas.
No puedes cambiar ni quitar la clave de encriptación de una imagen o instantánea inmediata.
No puedes quitar la clave de encriptación de un disco o una instantánea, ni cambiar la clave de una CMEK a una Google Cloud-powered key. En su lugar, crea una copia del disco o la instantánea y especifica un nuevo tipo de encriptación para la copia.

Para obtener más información, consulta Cómo quitar la CMEK de un disco y Cómo quitar la CMEK de una instantánea.
No puedes rotar ni cambiar la CMEK de los volúmenes de Hyperdisk confidenciales en línea ni de los volúmenes de Hyperdisk en línea que están conectados a tipos de máquinas no compatibles.
Solo puedes rotar o cambiar la CMEK en los siguientes tipos de discos:
- Todos los volúmenes de Persistent Disk
- Volúmenes de Hyperdisk que se crearon a partir de una instantánea inmediata
- Volúmenes de Hyperdisk sin conexión
- Volúmenes de Hyperdisk confidenciales sin conexión
- Volúmenes de Hyperdisk en línea conectados a tipos de máquinas de primera o segunda generación
- Volúmenes de Hyperdisk en línea conectados a los siguientes tipos de máquinas de tercera o cuarta generación:
  - A3
  - A4
  - Z3
  - H4D
  - Todas las versiones de TPU
  - Tipos de máquinas Bare Metal A4X, C4, C4A, C4D, C3 y X4
No puedes cambiar la clave de los volúmenes de Hyperdisk que creaste clonando un disco, a menos que hayas borrado el disco de origen y todos los demás clones de ese disco.

Creación manual o automática de claves

Puedes crear claves de Cloud KMS de forma manual o usar la clave automática de Cloud KMS. Autokey simplifica la creación y la administración de claves de Cloud KMS mediante la automatización del aprovisionamiento y la asignación. Con Autokey, no necesitas aprovisionar llaveros de claves, claves y cuentas de servicio con anticipación. En cambio, se generan a pedido como parte de la creación de recursos de Compute Engine. Para obtener más información, consulta la descripción general de las claves automáticas.

Crea manualmente un llavero de claves y una clave

Para el proyecto Cloud de Confiance que ejecuta Cloud KMS, crea un llavero de claves y una clave como se describe en Crea claves y llaveros de claves.

Encripta un Persistent Disk nuevo con CMEK

Puedes proporcionar una clave durante la creación de la VM o el disco para encriptar un Persistent Disk nuevo.

Console

En la consola de Cloud de Confiance , ve a la página Discos.
Ir a Discos
Haz clic en Crear disco y, luego, escribe las propiedades del disco nuevo.
En Encriptación, elige Clave administrada por el cliente.
En el menú desplegable, elige la clave de Cloud KMS que deseas usar para encriptar este disco.
Para crear el disco, haz clic en Crear.

gcloud

Crea un disco encriptado mediante el comando gcloud compute disks create y especifica la clave mediante la marca --kms-key.

gcloud compute disks create DISK_NAME \
  --kms-key projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY

Reemplaza lo siguiente:

DISK_NAME: Es el nombre del disco nuevo
KMS_PROJECT_ID: Es el proyecto que posee la clave de Cloud KMS
REGION: es la región en la que se encuentra la clave
KEY_RING: el nombre del llavero de claves que incluye la clave
KEY: es el nombre de la clave que se usa para encriptar el disco

REST

Realiza una solicitud POST al instances.insert método . Para encriptar un disco, usa la propiedad diskEncryptionKey con la propiedad kmsKeyName. Por ejemplo, puedes encriptar un disco nuevo durante la creación de la VM con tu clave de Cloud KMS mediante el siguiente procedimiento:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances

{
"machineType": "zones/ZONE/machineTypes/MACHINE_TYPE",
"disks": [
 {
  "type": "PERSISTENT",
  "diskEncryptionKey": {
    "kmsKeyName": "projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY"
  },
  "initializeParams": {
   "sourceImage": "SOURCE_IMAGE"
  },
  "boot": true
 }
],
...
}

Reemplaza lo siguiente:

PROJECT_ID: Es el ID del proyecto deCloud de Confiance que ejecuta Compute Engine.
ZONE: Es la zona en la que se creará la VM.
MACHINE_TYPE: el tipo de máquina, por ejemplo, c3-standard-4
KMS_PROJECT_ID: Es el proyecto que posee la clave de Cloud KMS
REGION: Es la región en la que se encuentra el disco.
KEY_RING: es el nombre del llavero de claves que incluye la clave.
KEY: es el nombre de la clave que se usa para encriptar el disco.
SOURCE_IMAGE: La imagen que se usará cuando se cree la VM, por ejemplo, projects/debian-cloud/global/images/debian-11-bullseye-v20231115

Del mismo modo, puedes usar el método disks.insert para crear un nuevo Persistent Disk independiente y encriptarlo con tu clave de Cloud KMS:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks?sourceImage=SOURCE_IMAGE
{
 "name": "DISK_NAME",
 "diskEncryptionKey": {
   "kmsKeyName": "projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY"
  },
 "type": "projects/PROJECT_ID/zones/ZONE/diskTypes/DISK_TYPE"
}

Reemplaza lo siguiente:

PROJECT_ID: Es el ID del proyecto deCloud de Confiance que ejecuta Compute Engine.
ZONE: Es la zona en la que se creará la VM.
SOURCE_IMAGE: es la imagen que se usará cuando se cree el disco, por ejemplo, projects/debian-cloud/global/images/debian-11-bullseye-v20231115
DISK_NAME: Es un nombre para el disco nuevo
KMS_PROJECT_ID: Es el proyecto que posee la clave de Cloud KMS
REGION: Es la región en la que se encuentra el disco.
KEY_RING: es el nombre del llavero de claves que incluye la clave.
KEY: es el nombre de la clave que se usa para encriptar el disco.
DISK_TYPE: es el tipo de disco que se creará

Crea un disco de Hyperdisk Balanced en modo confidencial

Puedes crear un disco Hyperdisk Balanced nuevo en modo confidencial con la consola deCloud de Confiance , Google Cloud CLI o REST. Para crear un disco que no esté en modo confidencial, sigue los pasos que se indican en Crea un Persistent Disk desde una instantánea encriptada con CMEK.

Console

En la consola de Cloud de Confiance , ve a la página Discos.
Ir a Discos
Haz clic en Crear disco y, luego, ingresa las propiedades del disco nuevo.
En la sección Configuración de disco, elige Hyperdisk Balanced para el tipo de disco.
Opcional. Cambia la configuración predeterminada de Tamaño, IOPS aprovisionadas y Capacidad de procesamiento aprovisionada del disco.
En la sección Encriptación, selecciona Clave de Cloud KMS.
En la lista de claves, selecciona la clave de Cloud HSM que deseas usar para encriptar este disco.
En la sección Confidential Computing, selecciona Habilitar servicios de Confidential Computing.
Para crear el disco, haz clic en Crear.

gcloud

Encripta un disco nuevo con el modo confidencial de Hyperdisk Balanced usando el comando gcloud compute disks create. Habilita el modo confidencial con la marca --confidential-compute y especifica la clave con la marca --kms-key.

gcloud compute disks create DISK_NAME \
  --type=hyperdisk-balanced \
  --kms-key projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY \
  --confidential-compute

Reemplaza lo siguiente:

DISK_NAME: Es el nombre del disco nuevo.
KMS_PROJECT_ID: el proyecto que posee la clave de Cloud HSM.
REGION: es la región en la que se encuentra la clave
KEY_RING: el nombre del llavero de claves que incluye la clave
KEY: es el nombre de la clave que se usa para encriptar el disco

REST

Realiza una solicitud POST al método instances.insert. Para encriptar un disco con el modo confidencial de Hyperdisk Balanced, usa la propiedad diskEncryptionKey con la propiedad kmsKeyName y establece la marca enableConfidentialCompute. Por ejemplo, puedes encriptar un disco nuevo durante la creación de la VM con tu clave de Cloud HSM mediante el siguiente procedimiento:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances

{
"machineType": "zones/ZONE/machineTypes/MACHINE_TYPE",
"disks": [
 {
  "type": "DISK_TYPE",
  "diskEncryptionKey": {
    "kmsKeyName": "projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY"
  },
  "initializeParams": {
   "sourceImage": "SOURCE_IMAGE",
   "enableConfidentialCompute": true
  },
  "boot": true
 }
],
"networkInterfaces": [
  {
   "network": "global/networks/default"
  }
]
}

Reemplaza lo siguiente:

DISK_TYPE: El tipo de disco que se creará, por ejemplo, hyperdisk-balanced
PROJECT_ID: Es el ID del proyecto de Cloud de Confiance que ejecuta Compute Engine.
ZONE: Es la zona en la que se creará la VM.
MACHINE_TYPE: el tipo de máquina, por ejemplo, n2d-standard-4
KMS_PROJECT_ID: el proyecto que posee la clave de Cloud HSM.
REGION: Es la región en la que se encuentra el disco.
KEY_RING: el nombre del llavero de claves que incluye la clave
KEY: es el nombre de la clave que se usa para encriptar el disco
SOURCE_IMAGE: la imagen que admite Confidential VM para usar cuando se crea la VM, por ejemplo, projects/debian-cloud/global/images/debian-11-bullseye-v20231115.

Del mismo modo, puedes usar el método disks.insert para crear un nuevo modo confidencial para Hyperdisk Balanced:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks?sourceImage=SOURCE_IMAGE
{
 "name": "DISK_NAME",
 "diskEncryptionKey": {
   "kmsKeyName": "projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY"
  },
 "type": "projects/PROJECT_ID/zones/ZONE/diskTypes/DISK_TYPE",
 "enableConfidentialCompute": true
}

Reemplaza lo siguiente:

PROJECT_ID: Es el ID del proyecto deCloud de Confiance que ejecuta Compute Engine.
ZONE: Es la zona en la que se creará la VM.
SOURCE_IMAGE: la imagen que admite Confidential VM cuando se crea el disco, por ejemplo, projects/debian-cloud/global/images/debian-11-bullseye-v20231115.
DISK_NAME: Es un nombre para el disco nuevo
KMS_PROJECT_ID: el proyecto que posee la clave de Cloud HSM.
REGION: Es la región en la que se encuentra el disco.
KEY_RING: es el nombre del llavero de claves que incluye la clave.
KEY: es el nombre de la clave que se usa para encriptar el disco.
DISK_TYPE: el tipo de disco que se creará, por ejemplo, hyperdisk-balanced.

Crea una instantánea desde un disco encriptado con CMEK

Para crear una instantánea a partir de un disco encriptado con CMEK, debes crear la instantánea con la misma clave de encriptación que usaste para encriptar el disco.

No se puede crear una instantánea que use CMEK, a menos que el disco de origen también use CMEK. Además, no se pueden convertir discos ni instantáneas encriptados con CMEK para usar laCloud de Confiance by S3NS encriptación predeterminada, a menos que crees una imagen de disco completamente nueva y un disco persistente nuevo.

Las instantáneas de los discos encriptados con CMEK son incrementales.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos:

compute.snapshots.create en el proyecto
compute.disks.createSnapshot
Para crear una instantánea del disco de arranque de una instancia que tiene una cuenta de servicio adjunta, haz lo siguiente: iam.serviceAccounts.actAs en la cuenta de servicio de la instancia

Console

En la consola de Cloud de Confiance , ve a la página Instantáneas.
Ir a Instantáneas
Haz clic en Crear instantánea.
En Disco de origen, elige el disco de origen para la instantánea. La instantánea se encripta de forma automática con la misma clave que usa el disco de origen.

gcloud

En el caso de la encriptación administrada por el cliente, la clave de Cloud KMS que se usó para encriptar el disco también se usa a fin de encriptar la instantánea.

Puedes crear tu instantánea en la política de ubicación de almacenamiento que define tu configuración de instantáneas o usar una ubicación de almacenamiento alternativa de tu elección. Para obtener más información, consulta Elige la ubicación de almacenamiento de tu instantánea.

Para crear una instantánea en la ubicación predefinida o en la ubicación personalizada predeterminada que se estableció en la configuración de instantánea, usa el comando gcloud compute snapshots create.
```
gcloud compute snapshots create SNAPSHOT_NAME \
    --source-disk-zone=SOURCE_ZONE \
    --source-disk=SOURCE_DISK_NAME \
    --snapshot-type=SNAPSHOT_TYPE
```
De lo contrario, si quieres anular la configuración de la instantánea y crear una instantánea en una ubicación de almacenamiento personalizada, incluye la marca --storage-location para indicar dónde almacenar la instantánea.
```
gcloud compute snapshots create SNAPSHOT_NAME \
    --source-disk-zone=SOURCE_ZONE \
    --source-disk=SOURCE_DISK_NAME \
    --snapshot-type=SNAPSHOT_TYPE \
    --storage-location=STORAGE_LOCATION
```

(Versión preliminar) Para crear una instantánea con alcance regional en una región permitida, incluye la marca --region para indicar dónde crear la instantánea.

  gcloud beta compute snapshots create SNAPSHOT_NAME \
      --region=SNAPSHOT_SCOPE_REGION
      --source-disk=SOURCE_DISK_NAME \
      --source-disk-zone=SOURCE_ZONE \
      --snapshot-type=SNAPSHOT_TYPE \
      --kms-key=projects/KMS_PROJECT_ID/locations/KEY_REGION/keyRings/KEY_RING/cryptoKeys/SNAPSHOT_KEY

Reemplaza lo siguiente:

SNAPSHOT_NAME: Es un nombre para la instantánea.
SOURCE_ZONE: Es la zona del disco de origen.
SOURCE_DISK_NAME: Es el nombre del volumen de disco desde el que deseas crear una instantánea.
KMS_PROJECT_ID: El proyecto que contiene la clave de encriptación que se almacena en Cloud Key Management Service.
KEY_REGION: es la región en la que se encuentra la clave de Cloud KMS.
KEY_RING: Es el nombre del llavero de claves que contiene la clave de Cloud KMS.
SNAPSHOT_KEY: Es el nombre de la clave de Cloud KMS que usaste para encriptar el disco de origen.
SNAPSHOT_TYPE: Es el tipo de instantánea, ya sea STANDARD o ARCHIVE. Si no se especifica un tipo de instantánea, se crea una instantánea STANDARD.
STORAGE_LOCATION: Opcional: Para las instantáneas con alcance global, la multirregión de Cloud Storage o la región de Cloud Storage en la que quieres almacenar la instantánea. Solo puedes especificar una ubicación de almacenamiento.

Usa el parámetro --storage-location solo cuando quieras anular la ubicación de almacenamiento predeterminada o personalizada establecida en tu configuración de instantáneas.
SNAPSHOT_SCOPE_REGION: Opcional: Para las instantáneas con alcance regional, es la región a la que se limita la instantánea. Si incluyes este parámetro, no puedes usar el parámetro --storage-location. El STORAGE_LOCATION se establece automáticamente en el SNAPSHOT_SCOPE_REGION.

Nota: Google recomienda usar el comando gcloud compute snapshots create en lugar del comando gcloud compute disks snapshot porque admite más funciones, como la creación de instantáneas en un proyecto diferente del proyecto de disco de origen.

REST

Para crear la instantánea en la ubicación predeterminada o personalizada establecida en tu configuración de instantáneas, haz una solicitud POST al método snapshots.insert.

POST https://compute.s3nsapis.fr/compute/v1/projects/DESTINATION_PROJECT_ID/global/snapshots
{
    "name": "SNAPSHOT_NAME",
    "sourceDisk": "projects/SOURCE_PROJECT_ID/zones/SOURCE_ZONE/disks/SOURCE_DISK_NAME",
    "snapshotEncryptionKey":  {
     "kmsKeyName": "projects/KMS_PROJECT_ID/locations/KEY_REGION/keyRings/KEY_RING/cryptoKeys/SNAPSHOT_KEY"
    },
    "snapshotType": "SNAPSHOT_TYPE"
}

De forma alternativa, para anular la configuración de instantáneas y crear una instantánea en una ubicación de almacenamiento personalizada, haz una solicitud POST al método snapshots.insert y, además, incluye la propiedad storageLocations en tu solicitud:

POST https://compute.s3nsapis.fr/compute/v1/projects/DESTINATION_PROJECT_ID/global/snapshots
{
    "name": "SNAPSHOT_NAME",
    "sourceDisk": "projects/SOURCE_PROJECT_ID/zones/SOURCE_ZONE/disks/SOURCE_DISK_NAME",
    "snapshotEncryptionKey":  {
     "kmsKeyName": "projects/KMS_PROJECT_ID/locations/KEY_REGION/keyRings/KEY_RING/cryptoKeys/SNAPSHOT_KEY"
    },
    "snapshotType": "SNAPSHOT_TYPE",
    "storageLocations": [
        "STORAGE_LOCATION"
    ],
}

(Vista previa) Para crear una instantánea con alcance regional en una región permitida, realiza una solicitud POST al método snapshots.insert y define la región de creación:

POST https://compute.s3nsapis.fr/compute/beta/projects/DESTINATION_PROJECT_ID/regions/SNAPSHOT_SCOPE_REGION/snapshots
{
  "name": "SNAPSHOT_NAME",
  "sourceDisk": "projects/SOURCE_PROJECT_ID/regions/SOURCE_REGION/disks/SOURCE_DISK_NAME",
  "snapshotType": "SNAPSHOT_TYPE",
  "snapshotEncryptionKey": {
    "kmsKeyName":"projects/KMS_PROJECT_ID/locations/KEY_REGION/keyRings/KEY_RING/cryptoKeys/SNAPSHOT_KEY",
  },
}

Reemplaza lo siguiente:

DESTINATION_PROJECT_ID: Es el ID del proyecto en el que deseas crear la instantánea.
SNAPSHOT_NAME: Es un nombre para la instantánea.
SOURCE_PROJECT_ID: Es el ID del proyecto del disco de origen.
SOURCE_ZONE: Es la zona del disco de origen.
SOURCE_DISK_NAME: Es el nombre del disco desde el que deseas crear una instantánea.
KMS_PROJECT_ID: El proyecto que contiene la clave de encriptación que se almacena en Cloud Key Management Service.
KEY_REGION: es la región en la que se encuentra la clave de Cloud KMS.
KEY_RING: Es el nombre del llavero de claves que contiene la clave de Cloud KMS.
SNAPSHOT_KEY: Es el nombre de la clave de Cloud KMS que usaste para encriptar el disco de origen.
SNAPSHOT_TYPE: Es el tipo de instantánea, ya sea STANDARD o ARCHIVE. Si no se especifica un tipo de instantánea, se crea una instantánea STANDARD.
STORAGE_LOCATION: Opcional: Para las instantáneas con alcance global, la multirregión de Cloud Storage o la región de Cloud Storage en la que quieres almacenar la instantánea. Solo puedes especificar una ubicación de almacenamiento.

Usa el parámetro storageLocations solo cuando quieras anular la ubicación de almacenamiento predeterminada o personalizada establecida en tu configuración de instantáneas.
SNAPSHOT_SCOPE_REGION: Opcional: Para las instantáneas con alcance regional, es la región a la que se limita la instantánea. Si incluyes este parámetro, no puedes usar el parámetro storageLocations. El STORAGE_LOCATION se establece automáticamente en el SNAPSHOT_SCOPE_REGION.

Nota: Google recomienda usar el método snapshots.insert en lugar del método disks.createSnapshot porque admite más funciones, como crear instantáneas en un proyecto diferente del proyecto del disco de origen.

Encripta una imagen importada con CMEK

Puedes encriptar una imagen nueva si importas una imagen personalizada a Compute Engine. Antes de importar una imagen, debes crear y comprimir un archivo de imagen de disco y subir ese archivo comprimido a Cloud Storage.

Console

En la consola de Cloud de Confiance , ve a la página Imágenes.
Ir a Imágenes
Haga clic en Crear imagen.
En Disco de origen, elige el disco del que deseas crear una imagen.
En Encriptación, elige Clave administrada por el cliente.
En el menú desplegable, elige la clave de Cloud KMS que deseas usar para encriptar esta imagen.
Continúa con el proceso de creación de imágenes.

gcloud

Para importar y encriptar una imagen, usa el comando gcloud compute images create. En el caso de la encriptación administrada por el cliente, especifica la clave de Cloud KMS para la imagen.

gcloud compute images create IMAGE_NAME \
    --source-disk=SOURCE_DISK  \
    --kms-key projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY

Reemplaza lo siguiente:

IMAGE_NAME: Es el nombre de la imagen que crearás
SOURCE_DISK: Es el nombre del disco del que se creará una instantánea
KMS_PROJECT_ID: el proyecto que contiene la clave de Cloud KMS
REGION: Es la región en la que se encuentra la clave de Cloud KMS
KEY_RING: Es el llavero de claves que contiene la clave de Cloud KMS
KEY: es el nombre de la clave que se usará para encriptar el disco nuevo

REST

Para encriptar una imagen importada, crea una solicitud POST al método images.insert. Especifica el URI para el archivo comprimido, agrega la propiedad imageEncryptionKey a la solicitud de creación de la imagen y especifica la clave a fin de encriptar la imagen en la propiedad kmsKeyName.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/images

{
 "rawDisk": {
  "source": "http://storage.googleapis.com/example-image/example-image.tar.gz"
  },
 "name": "IMAGE_NAME",
 "sourceType": "RAW",
 "imageEncryptionKey": {
   "kmsKeyName": "projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY"
   }
}

Reemplaza lo siguiente:

PROJECT_ID: Es el proyecto en el que se creará la imagen encriptada
IMAGE_NAME: Es el nombre de la imagen que crearás
KMS_PROJECT_ID: el proyecto que contiene la clave de Cloud KMS
REGION: Es la región en la que se encuentra la clave de Cloud KMS
KEY_RING: Es el llavero de claves que contiene la clave de Cloud KMS
KEY: es el nombre de la clave que usaste para encriptar el disco de origen

Crea un disco desde una instantánea encriptada con CMEK

Para crear un disco nuevo a partir de una instantánea encriptada, haz lo siguiente:

Console

En la consola de Cloud de Confiance , ve a la página Discos.
Ir a Discos
Haz clic en Crear disco y, luego, escribe las propiedades del disco nuevo.
En Tipo de fuente, elige la instantánea o imagen que deseas usar.
Opcional: Si quieres especificar una clave de encriptación nueva, para Encriptación, especifica el tipo de clave de encriptación que se usará y, luego, proporciona la información de la clave de encriptación.

Si deseas quitar la clave de encriptación administrada por el cliente o proporcionada por él, para la Encriptación, usa el valor predeterminado Google Cloud-powered encryption key.
Continúa con el proceso de creación del disco.

gcloud

Para crear un disco nuevo a partir de una instantánea encriptada con alcance global, usa el comando gcloud compute disks create.

gcloud compute disks create DISK_NAME \
  --zone=ZONE \
  --source-snapshot=SNAPSHOT_NAME \
  --kms-key=projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY

(Versión preliminar) Para crear un disco nuevo a partir de una instantánea encriptada con alcance regional, usa el comando gcloud compute disks create y especifica la región de la instantánea de origen.

gcloud compute disks create DISK_NAME \
  --zone=ZONE \
  --source-snapshot=SNAPSHOT_NAME \
  --source-snapshot-region=SOURCE_REGION \
  --kms-key=projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY

Reemplaza lo siguiente:

DISK_NAME: Es el nombre del disco nuevo
SNAPSHOT_NAME: Es el nombre de la instantánea encriptada

Para usar una imagen en lugar de una instantánea, reemplaza --source-snapshot SNAPSHOT_NAME por --image IMAGE_NAME.
KMS_PROJECT_ID: (Opcional) es el proyecto que contiene la clave de Cloud KMS
REGION: (Opcional) la región en la que se encuentra la clave de Cloud KMS
SOURCE_REGION: Es la región para la que se define el alcance de la instantánea de origen.
ZONE: Es la zona en la que residirá el disco nuevo.
KEY_RING: (Opcional) es el llavero de claves que contiene la clave de Cloud KMS
KEY: (Opcional) Es el nombre de la clave de Cloud KMS que se usará para encriptar el disco nuevo

Para encriptar el disco nuevo, puedes realizar una de las siguientes acciones:
- Para especificar una clave de encriptación nueva administrada por el cliente, usa la marca --kms-key.
- Para usar el valor predeterminado Google Cloud-powered encryption key, no incluyas la marca --kms-key.

REST

Para crear un disco nuevo a partir de una instantánea encriptada con alcance global, crea una solicitud POST al método compute.disks.insert. Usa la propiedad sourceSnapshot para especificar la instantánea.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks

{
  "name": "DISK_NAME",
  "sourceSnapshot": "projects/SNAPSHOT_PROJECT_ID/global/snapshots/SNAPSHOT_NAME",
  "diskEncryptionKey": {
    "kmsKeyName": "projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY"
  }
}

(Vista previa) Para crear un disco nuevo a partir de una instantánea encriptada con alcance regional, crea una solicitud POST al método compute.disks.insert. Usa la propiedad sourceSnapshot para especificar la instantánea.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks

{
  "name": "DISK_NAME",
  "sourceSnapshot": "projects/SNAPSHOT_PROJECT_ID/regions/SOURCE_REGION/snapshots/SNAPSHOT_NAME",
  "type": "projects/PROJECT_ID/zones/ZONE/diskTypes/DISK_TYPE",
  "zone": "projects/PROJECT_ID/zones/ZONE"
  "diskEncryptionKey": {
    "kmsKeyName": "projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY"
  }
}

Reemplaza lo siguiente:

PROJECT_ID: Es el proyecto en el que se creará el disco nuevo
ZONE: Es la zona en la que se creará el disco nuevo.
SOURCE_REGION: Es la región para la que se define el alcance de la instantánea de origen.
DISK_NAME: Es el nombre del disco nuevo.
DISK_TYPE: Es la URL completa o parcial para el tipo de disco, por ejemplo, PROJECT_ID/zones/ZONE/diskTypes/pd-ssd.
SNAPSHOT_PROJECT_ID: Es el proyecto que contiene la instantánea.
SNAPSHOT_NAME: Es el nombre de la instantánea encriptada.

Para usar una imagen en lugar de una instantánea, reemplaza sourceSnapshot por sourceImage.
KMS_PROJECT_ID: (Opcional) es el proyecto que contiene la clave de Cloud KMS
REGION: (Opcional) la región en la que se encuentra la clave de Cloud KMS
KEY_RING: (Opcional) es el llavero de claves que contiene la clave de Cloud KMS
KEY: (Opcional) Es el nombre de la clave de Cloud KMS que se usará para encriptar el disco nuevo

Si incluyes diskEncryptionKey, el disco se encripta con la clave de Cloud KMS especificada. Si no incluyes diskEncryptionKey, el disco se encripta con un Google Cloud-powered encryption key.

Conecta un disco de arranque encriptado con CMEK a una VM nueva

Console

En la consola de Cloud de Confiance , ve a la página Crear una instancia.

Ir a Crear una instancia
Especifica los detalles de la VM y, en la sección Disco de arranque, haz clic en Cambiar. A continuación, sigue estos pasos:
1. Haz clic en Discos existentes.
2. En la lista Disco, elige un disco existente para conectar a la VM.
3. Haz clic en Seleccionar.
Continúa con el proceso de creación de VM.

gcloud

Para conectar un disco encriptado cuando creas una VM nueva, usa el comando gcloud compute instances create. Usa la marca --disk para especificar el disco de arranque encriptado, como se muestra en el siguiente ejemplo:

gcloud compute instances create VM_NAME \
  ...
  --disk name=DISK_NAME,boot=yes

Reemplaza lo siguiente:

VM_NAME: Es el nombre de la VM que estás creando
DISK_NAME: Es el nombre del disco encriptado

REST

Realiza una solicitud POST al compute.instances.insert método . Usa la propiedad disks para especificar el disco de arranque encriptado, como se muestra en el siguiente ejemplo:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances
{
  ...
  "disks": [
    {
      "deviceName": "DISK_ALIAS",
      "source": "projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME"
    }
  ]
}

Reemplaza lo siguiente:

PROJECT_ID: Es el proyecto en el que se creará la VM nueva
ZONE: Es la zona en la que se creará la VM.
DISK_ALIAS: un nombre de dispositivo único para usar como alias de disco en el directorio /dev/disk/by-id/google-* de la VM que ejecuta un sistema operativo Linux. Este nombre se puede usar para hacer referencia al disco en operaciones como la activación o el cambio de tamaño desde la instancia. Si no especificas un nombre de dispositivo, la VM elige un nombre de dispositivo predeterminado para aplicarlo a este disco, con el formato persistent-disk-x, en el que x es un número asignado por Compute Engine. Este campo solo se aplica a los volúmenes de Persistent Disk.
DISK_NAME: Es el nombre del disco encriptado

Rota la CMEK de un disco o una instantánea

Para reducir las posibles consecuencias de que se vulnere tu clave, te recomendamos que rotes las claves de encriptación de Cloud KMS de forma periódica con uno de los siguientes métodos.

gcloud

Para rotar la clave de Cloud KMS que se usa para encriptar un disco, una instantánea de archivo o una instantánea estándar a una versión de clave nueva, usa el comando gcloud compute disks update-kms-key o el comando gcloud compute snapshots update-kms-key.

Para rotar la versión de la clave que encripta un disco, haz lo siguiente:
```
gcloud compute disks update-kms-key DISK_NAME \
--zone ZONE
```
Para rotar la versión de la clave que encripta una instantánea estándar, haz lo siguiente:
```
gcloud compute snapshots update-kms-key SNAPSHOT_NAME
```

Reemplaza lo siguiente:

DISK_NAME: Es el nombre del disco encriptado
ZONE: Es la zona en la que se encuentra el disco encriptado.
SNAPSHOT_NAME: Es el nombre de la instantánea encriptada

REST

Para rotar la clave de Cloud KMS que se usa para encriptar un disco, una instantánea archivada o una instantánea estándar a una versión de clave nueva, crea una solicitud PATCH al método compute.disks.updateKmsKey o al método compute.snapshots.updateKmsKey.

Para rotar la versión de la clave que encripta un disco zonal, haz lo siguiente:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME/updateKmsKey

Para rotar la versión de clave que encripta un disco regional, haz lo siguiente:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/disks/DISK_NAME/updateKmsKey

Para rotar la versión de la clave que encripta una instantánea estándar con alcance global, haz lo siguiente:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/snapshots/SNAPSHOT_NAME/updateKmsKey

(Vista previa) Para rotar la versión de la clave que encripta una instantánea estándar con alcance regional, haz lo siguiente:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/snapshots/SNAPSHOT_NAME/updateKmsKey
```

Reemplaza lo siguiente:

PROJECT_ID: Es el proyecto en el que se encuentra el disco o la instantánea encriptados.
ZONE: Es la zona en la que se encuentra el disco encriptado.
REGION: Es la región en la que se encuentra el disco regional o la instantánea con alcance regional.
DISK_NAME: Es el nombre del disco encriptado
SNAPSHOT_NAME: Es el nombre de la instantánea encriptada
REGION: Es la región en la que se encuentra el disco regional o la instantánea con alcance regional.

La respuesta incluirá un elemento name con un valor de operación que representa la rotación de claves:

  "name": "operation-YYYYYYYYYYYYY-YYYYYYYYYYYYY-YYYYYYYY-YYYYYYYY"

Luego, puedes sondear el estado de la operación para determinar si tu llamada a la API se realizó correctamente con una solicitud GET:

  GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/operations/OPERATION_NAME

Reemplaza lo siguiente:

PROJECT_ID: Es el proyecto en el que se encuentra el disco o la instantánea encriptados.
ZONE: Es la zona en la que se encuentra el disco encriptado.
OPERATION_NAME: Es el nombre de la operación de rotación de la CMEK, en el formato operation-YYYYYYYYYYYYY-YYYYYYYYYYYYY-YYYYYYYY-YYYYYYYY.

La respuesta incluirá un valor progress que representa el estado de la rotación de claves. Cuando progress es 100, la operación se realizó correctamente.

La rotación de claves no inhabilita ni borra versiones de clave anteriores. Para obtener más información, consulta Después de rotar las claves.

Cómo cambiar la CMEK de un disco o una instantánea

Puedes cambiar la encriptación de un disco, una instantánea de archivo o una instantánea estándar a una CMEK diferente (por ejemplo, durante una migración de proyecto o para cumplir con nuevos requisitos de cumplimiento) sin tiempo de inactividad.

Cuando se cambia la CMEK, se vuelve a encriptar la clave de encriptación de datos (DEK) del recurso con la nueva clave. Este proceso no cambia la DEK ni afecta el rendimiento de las cargas de trabajo en ejecución.

Para cambiar la clave de Cloud KMS, puedes usar gcloud CLI o REST.

gcloud

Para cambiar la clave de Cloud KMS de un disco o una instantánea estándar, usa la marca --kms-key con el comando gcloud compute disks update-kms-key o el comando gcloud compute snapshots update-kms-key.

Para cambiar la clave de un disco zonal, haz lo siguiente:

gcloud compute disks update-kms-key DISK_NAME \
--kms-key=projects/KEY_PROJECT_ID/locations/global/keyRings/KEY_RING/cryptoKeys/NEW_KEY_NAME \
--zone=ZONE

Para cambiar la clave de un disco regional, haz lo siguiente:

gcloud compute disks update-kms-key DISK_NAME \
--kms-key=projects/KEY_PROJECT_ID/locations/global/keyRings/KEY_RING/cryptoKeys/NEW_KEY_NAME \
--region=REGION

Para cambiar la clave de una instantánea global, haz lo siguiente:

gcloud compute snapshots update-kms-key SNAPSHOT_NAME \
--kms-key=projects/KEY_PROJECT_ID/locations/global/keyRings/KEY_RING/cryptoKeys/NEW_KEY_NAME

Para cambiar la clave de una instantánea con alcance regional, haz lo siguiente:

gcloud beta compute snapshots update-kms-key SNAPSHOT_NAME \
--kms-key=projects/KEY_PROJECT_ID/locations/global/keyRings/KEY_RING/cryptoKeys/NEW_KEY_NAME \
--regions=REGION

Reemplaza lo siguiente:

DISK_NAME: Es el nombre del disco encriptado.
NEW_KMS_KEY: Es el ID completo del recurso de la nueva CMEK.
ZONE: Es la zona en la que se encuentra el disco.
REGION: Es la región en la que se encuentra el disco o la instantánea.
SNAPSHOT_NAME: Es el nombre de la instantánea encriptada.

REST

Para cambiar la clave, envía una solicitud POST al método compute.disks.updateKmsKey o al método compute.snapshots.updateKmsKey y, luego, incluye el kmsKeyName en el cuerpo de la solicitud.

Para cambiar la clave de un disco zonal, haz lo siguiente:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME/updateKmsKey

{
"kmsKeyName": "projects/KEY_PROJECT_ID/locations/global/keyRings/KEY_RING/cryptoKeys/NEW_KEY_NAME"
}

Para cambiar la clave de un disco regional, haz lo siguiente:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/disks/DISK_NAME/updateKmsKey

{
"kmsKeyName": "projects/KEY_PROJECT_ID/locations/global/keyRings/KEY_RING/cryptoKeys/NEW_KEY_NAME"
}

Para cambiar la clave de una instantánea global, haz lo siguiente:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/snapshots/SNAPSHOT_NAME/updateKmsKey

{
"kmsKeyName": "projects/KEY_PROJECT_ID/locations/global/keyRings/KEY_RING/cryptoKeys/NEW_KEY_NAME"
}

Para cambiar la clave de una instantánea con alcance regional, haz lo siguiente:

POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/snapshots/SNAPSHOT_NAME/updateKmsKey

{
"kmsKeyName": "projects/KEY_PROJECT_ID/locations/global/keyRings/KEY_RING/cryptoKeys/NEW_KEY_NAME"
}

Reemplaza lo siguiente:

PROJECT_ID: Es el proyecto que contiene el disco o la instantánea.
ZONE: Es la zona en la que se encuentra el disco.
REGION: Es la región en la que se encuentra el disco o la instantánea.
DISK_NAME: el nombre del disco.
NEW_KEY_NAME: Es el nombre de la nueva CMEK.
SNAPSHOT_NAME: Es el nombre de la instantánea encriptada.

Quita la CMEK de un disco

No puedes quitar una CMEK de un disco ni cambiar el tipo de clave de encriptación. Puedes realizar una de las siguientes acciones:

Cambia el disco para usar una CMEK diferente.
Desencripta el contenido de un disco encriptado con CMEK y crea un disco nuevo que use la encriptación predeterminada. Cloud de Confiance by S3NS De forma predeterminada, Cloud de Confiance by S3NS encripta todos los datos en reposo.

Para crear un disco que use Google Cloud-powered key a partir de un disco encriptado con CMEK, sigue estos pasos:

Crea una instantánea del disco de arranque.
Usa la instantánea encriptada nueva para crear un disco nuevo.

Después de crear el disco nuevo, este usa la Cloud de Confiance by S3NS encriptación predeterminada para ayudar a proteger el contenido del disco. Las instantáneas que creas desde ese disco también deben usar la encriptación predeterminada.

Quita la CMEK de una instantánea

No puedes quitar una CMEK de una instantánea ni cambiar el tipo de clave de encriptación. Puedes cambiar la instantánea para que use una CMEK diferente o crear una copia de la instantánea y encriptarla con una Google Cloud-powered key.

Para crear una instantánea que use Google Cloud-powered keya partir de una instantánea encriptada con CMEK, sigue estos pasos:

Crea un disco nuevo a partir de la instantánea. Cuando crees el disco nuevo, selecciona el tipo de encriptación que desees.
Crea una instantánea del disco nuevo:
- Si el disco nuevo está encriptado con una CMEK, consulta Crea un disco a partir de una instantánea encriptada con CMEK.
- Si el disco nuevo está encriptado con un Google Cloud-powered key, consulta Crea instantáneas de discos.

Inhabilita o destruye una CMEK

Si ya no necesitas una CMEK o quieres evitar su uso, inhabilita o destruye la clave. Borrar, inhabilitar o quitar los permisos de IAM en una clave también se conoce como revocar la clave.

Impacto de la revocación de claves en los recursos encriptados

Cuando revocas una clave de encriptación, los recursos que protege la clave se ven afectados de la siguiente manera:

No puedes iniciar una VM si alguno de sus discos conectados tiene claves revocadas.
Si un disco que usa la clave está conectado a una VM en ejecución y habilitaste el cierre de VM en la revocación de claves para la VM, Compute Engine cerrará la VM en un plazo de 7 horas.
No puedes conectar un disco con una clave revocada a una VM ni crear una instantánea a partir del disco.
No puedes usar imágenes ni instantáneas encriptadas con claves revocadas para crear discos.

Si inhabilitas la clave, puedes revertir los efectos anteriores si la habilitas. Si destruyes la clave, no podrás revertir los efectos anteriores.

Configura el cierre de VM en la revocación de claves de Cloud KMS

Puedes configurar la VM para que se cierre de forma automática cuando revoques la clave de Cloud KMS que ayuda a proteger un disco conectado a la VM. Puedes revocar una clave inhabilitándola o borrándola. Con esta configuración habilitada, la VM se cierra dentro de 7 horas tras la revocación de claves.

Si vuelves a habilitar la clave, puedes reiniciar la VM con el disco adjunto que la clave ayuda a proteger. La VM no se reinicia de forma automática después de habilitar la clave.

Console

Para configurar una VM para que se cierre cuando se revoca una clave de Cloud KMS, haz lo siguiente:

Para comenzar, crea una VM que incluya un disco protegido por una clave de Cloud KMS.
Abre el menú Herramientas de redes, discos, seguridad, administración, usuario único.
Expande la sección Administración.
En Política de revocación de clave de encriptación administrada por el cliente (CMEK), elige Cerrar.

gcloud

Usa el comando gcloud compute instances create para crear una VM y, luego, incluye --key-revocation-action-type=stop.

gcloud compute instances create VM_NAME \
  --image IMAGE \
  --key-revocation-action-type=stop

REST

Usa el método instances.insert para crear una VM y configura la propiedad "keyRevocationActionType" como "STOP". En el siguiente ejemplo, se crea la VM a partir de una imagen pública.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances

{
  "machineType": "zones/MACHINE_TYPE_ZONE/machineTypes/MACHINE_TYPE",
  "name": "VM_NAME",
  "disks": [
    {
      "initializeParams": {
        "sourceImage": "projects/IMAGE_PROJECT/global/images/IMAGE"
      },
      "boot": true
    }
  ],
  "keyRevocationActionType": "STOP"
}

De forma alternativa, puedes configurar una plantilla de instancias para crear VMs que se cierren cuando se revoquen claves mediante Google Cloud CLI o REST.

Console

Puedes usar una plantilla de instancias para crear VMs que se cierran cuando se revoque una clave de Cloud KMS.

Para comenzar, crea una plantilla de instancias nueva que incluya un disco protegido por una clave de Cloud KMS.
Abre el menú Herramientas de redes, discos, seguridad, administración, usuario único.
Expande la sección Administración.
En Política de revocación de clave de encriptación administrada por el cliente (CMEK), elige Cerrar.

gcloud

Crea una plantilla de instancias con el comando gcloud compute instance-templates create e incluye --key-revocation-action-type=stop.

gcloud compute instance-templates create INSTANCE_TEMPLATE_NAME \
  --key-revocation-action-type=stop

REST

Realiza una solicitud POST al método instanceTemplates.insert. En el cuerpo de la solicitud, debes definir de forma explícita todos los campos de configuración obligatorios. Si deseas que las VM creadas a partir de esta plantilla se cierren en la revocación de claves, especifica "keyRevocationActionType":"STOP". Por ejemplo, una plantilla de instancias con la cantidad mínima de campos obligatorios para crear VMs que se cierran con la revocación de claves se ve de la siguiente manera:

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instanceTemplates

{
  "name": "example-template",
  "properties": {
  "machineType": "e2-standard-4",
  "networkInterfaces": [
    {
      "network": "global/networks/default",
      "accessConfigs": [
        {
          "name": "external-IP",
          "type": "ONE_TO_ONE_NAT"
        }
      ]
    }
  ],
  "disks":
  [
    {
      "type": "PERSISTENT",
      "boot": true,
      "mode": "READ_WRITE",
      "initializeParams":
      {
        "sourceImage": "projects/debian-cloud/global/images/family/debian-11"
      }
    }
  ],
  "keyRevocationActionType": "STOP"
  }
}

Después de crear una VM que esté configurada para cerrarse cuando se revoque Cloud KMS, crea y adjunta un Persistent Disk encriptado con una clave de Cloud KMS.

¿Qué sigue?

Obtén más información sobre la encriptación de disco.