Crear una clave externa

En esta página se explica cómo crear claves de Cloud External Key Manager (Cloud EKM) en un conjunto de claves de Cloud Key Management Service (Cloud KMS).

Antes de empezar

Antes de completar las tareas de esta página, necesitas lo siguiente:

  • Un recurso de proyecto que contenga tus recursos de Cloud KMS. Trusted Cloud Te recomendamos que uses un proyecto independiente para tus recursos de Cloud KMS que no contenga ningún otro recurso. Trusted Cloud

    Anota la cuenta de servicio de Cloud EKM de tu proyecto. En el ejemplo siguiente, sustituye PROJECT_NUMBER por el Trusted Cloud número de proyecto. Esta información también se muestra cada vez que usas la consola Trusted Cloud para crear una clave de Cloud EKM.

        service-PROJECT_NUMBER@gcp-sa-ekms.
  • El nombre y la ubicación del conjunto de claves en el que quieras crear la clave. Elige un conjunto de claves en una ubicación cercana a tus otros recursos y que admita Cloud EKM. Para crear un conjunto de claves, consulta Crear un conjunto de claves.
  • En el sistema del partner de gestión de claves externo, concede a la cuenta de servicio Trusted Cloud acceso para usar tus claves externas. Trata la cuenta de servicio como una dirección de correo. Es posible que los partners de EKM usen una terminología diferente a la que se utiliza en este documento.
  • Para crear claves de EKM en VPC, debes crear una conexión de EKM.

Roles obligatorios

Para obtener los permisos que necesitas para crear claves, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de Cloud KMS (roles/cloudkms.admin) en el proyecto o en un recurso principal. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para crear claves. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para crear claves, se necesitan los siguientes permisos:

  • cloudkms.cryptoKeys.create
  • cloudkms.cryptoKeys.get
  • cloudkms.cryptoKeys.list
  • cloudkms.cryptoKeyVersions.create
  • cloudkms.cryptoKeyVersions.get
  • cloudkms.cryptoKeyVersions.list
  • cloudkms.keyRings.get
  • cloudkms.keyRings.list
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
  • Para obtener una clave pública, sigue estos pasos: cloudkms.cryptoKeyVersions.viewPublicKey

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Crear una clave externa coordinada

Consola

  1. En la consola de Trusted Cloud , ve a la página Gestión de claves.

    Ir a Administración de claves

  2. Haga clic en el nombre del conjunto de claves para el que creará una clave.

  3. Haz clic en Crear clave.

  4. En Key name (Nombre de la clave), escribe el nombre de la clave.

  5. En Nivel de protección, selecciona Externo.

  6. En Tipo de conexión de gestor de claves externo (EKM), selecciona a través de VPC.

  7. En Gestión de claves empresariales a través de una conexión de VPC, selecciona una conexión.

    Si no tienes el permiso EkmConnection.list, debes introducir manualmente el nombre del recurso de conexión.

  8. Haz clic en Continuar.

  9. En la sección Material de clave, debería ver un mensaje sobre el material de clave nuevo solicitado por Cloud KMS y generado en su EKM. Si ves el campo Ruta de la clave, significa que la conexión de EKM a través de VPC que has seleccionado no está configurada para claves externas coordinadas.

  10. Configura el resto de los ajustes de la clave según sea necesario y, a continuación, haz clic en Crear.

Cloud EKM envía una solicitud a tu EKM para crear una clave. La clave se muestra como Generación pendiente hasta que tu EKM devuelva la ruta de la clave y la clave de Cloud EKM esté disponible.

gcloud

Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de la CLI de Google Cloud.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Haz los cambios siguientes:

  • KEY_NAME: el nombre de la clave.
  • KEY_RING: el nombre del conjunto de claves que contiene la clave.
  • LOCATION: la ubicación de Cloud KMS del conjunto de claves.
  • PURPOSE: el propósito de la clave.
  • ALGORITHM: el algoritmo que se va a usar para la clave. Por ejemplo, google-symmetric-encryption. Para ver una lista de los algoritmos admitidos, consulta Algoritmos.
  • VPC_CONNECTION_RESOURCE_ID: el ID de recurso de la conexión EKM.

Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.

Siguientes pasos