En esta página, se proporciona una lista de los servicios de Cloud de Confiance by S3NS que ofrecen integraciones con Cloud KMS. Estos servicios generalmente se ubican en una de las siguientes categorías:
Una integración de clave de encriptación administrada por el cliente (CMEK) te permite encriptar los datos en reposo en ese servicio con una clave de Cloud KMS que posees y administras. Los datos protegidos con una clave CMEK no se pueden desencriptar sin acceso a esa clave.
Un servicio compatible con CMEK no almacena los datos o solo lo almacena durante un período corto, como durante el procesamiento por lotes. Esos datos se encriptan mediante una clave efímera que solo existe en la memoria y nunca se escribe en el disco. Cuando los datos ya no se necesitan, la clave efímera se limpia de la memoria y no se puede volver a acceder a los datos. El resultado de un servicio que cumple con CMEK se puede almacenar en un servicio que está integrado con CMEK, como Cloud Storage.
Tus aplicaciones pueden usar Cloud KMS de otras formas. Por ejemplo, puedes encriptar directamente los datos de la aplicación antes de transmitirlos o almacenarlos.
Para obtener más información sobre cómo se protegen los datos en reposo en Cloud de Confiance y cómo funcionan las claves de encriptación administradas por el cliente (CMEK), consulta Claves de encriptación administradas por el cliente (CMEK).
Integraciones de CMEK
En la siguiente tabla, se enumeran los servicios que se integran con Cloud KMS. Los productos que se integran en Cloud KMS cuando se usan claves externas de Cloud EKM se indican en EKM compatible.
| Servicio | Protección con CMEK | Compatible con EKM | Tema |
|---|---|---|---|
| Artifact Registry | Datos en repositorios | Sí | Habilita claves de encriptación administradas por el cliente |
| BigQuery | Datos en BigQuery | Sí | Protege datos con claves de Cloud KMS |
| Cloud Logging | Datos en el almacenamiento de Logging | Sí | Administra las claves que protegen los datos de almacenamiento de Logging |
| Cloud SQL | Datos escritos en bases de datos | Sí | Usa claves de encriptación administradas por el cliente |
| Cloud Storage | Datos en depósitos de almacenamiento | Sí | Usa claves de encriptación administradas por el cliente |
| Compute Engine | Instantáneas | Sí | Protege recursos con las claves de Cloud KMS |
| Compute Engine | Imágenes personalizadas | Sí | Protege recursos con las claves de Cloud KMS |
| Compute Engine | Imágenes de máquina | Sí | Protege recursos con las claves de Cloud KMS |
| Pub/Sub | Datos asociados con temas | Sí | Configurar la encriptación de mensajes |
Servicios compatibles con CMEK
En la siguiente tabla, se enumeran los servicios que no usan claves de encriptación administradas por el cliente (CMEK) porque no almacenan datos a largo plazo. Para obtener más información sobre por qué estos servicios se consideran compatibles con CMEK, consulta Cumplimiento de CMEK.
| Servicio | Tema |
|---|---|
| API Gateway | Cumplimiento de CMEK en API Gateway |
| Cloud Build | Cumplimiento de CMEK en Cloud Build |
| Cloud Trace | Cumplimiento de CMEK en Cloud Trace |
| Container Registry | Usa un bucket de almacenamiento protegido con CMEK |
| Cloud Vision | Cumplimiento de CMEK en la API de Vision |
| Servicio de transferencia de almacenamiento | Claves de encriptación administradas por el cliente |
Otras integraciones en Cloud KMS
En estas páginas, se analizan otras formas de usar Cloud KMS con otros servicios deCloud de Confiance .
| Producto | Tema |
|---|---|
| Cualquier servicio | Encripta datos de aplicación antes de transmitirlos o almacenarlos |
| Cloud Build | Encripta recursos antes de agregarlos a una compilación |
| Protección de datos sensibles | Crea una clave unida |