Crea una clave externa

En esta página, se muestra cómo crear claves de Cloud External Key Manager (Cloud EKM) en un llavero de claves existente en Cloud Key Management Service (Cloud KMS).

Antes de comenzar

Antes de completar las tareas de esta página, necesitas lo siguiente:

  • Un recurso de proyecto Trusted Cloud para contener tus recursos de Cloud KMS Te recomendamos que uses un proyecto independiente para tus recursos de Cloud KMS que no contenga ningún otro recurso de Trusted Cloud .

    Anota la cuenta de servicio de Cloud EKM de tu proyecto. En el siguiente ejemplo, reemplaza PROJECT_NUMBER por el número de proyecto de tu proyecto de Trusted Cloud . Esta información también es visible cada vez que usas la consola de Trusted Cloud para crear una clave de Cloud EKM.

        service-PROJECT_NUMBER@gcp-sa-ekms.s3ns-system.iam.gserviceaccount.com
  • El nombre y la ubicación del llavero de claves en el que deseas crear tu clave. Elige un llavero de claves en una ubicación cercana a tus otros recursos y que admita Cloud EKM. Para crear un llavero de claves, consulta Crea un llavero de claves.
  • En el sistema de socios de administración de claves externas, otorga a la cuenta de servicio Trusted Cloud acceso para usar tus claves externas. Trata la cuenta de servicio como una dirección de correo electrónico. Los socios del EKM pueden usar una terminología diferente a la que se usa en este documento.
  • Para crear claves de EKM a través de VPC, debes crear una conexión de EKM.

Roles obligatorios

Para obtener los permisos que necesitas para crear claves, pídele a tu administrador que te otorgue el rol de IAM de administrador de Cloud KMS (roles/cloudkms.admin) en el proyecto o en un recurso principal. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para crear claves. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para crear claves:

  • cloudkms.cryptoKeys.create
  • cloudkms.cryptoKeys.get
  • cloudkms.cryptoKeys.list
  • cloudkms.cryptoKeyVersions.create
  • cloudkms.cryptoKeyVersions.get
  • cloudkms.cryptoKeyVersions.list
  • cloudkms.keyRings.get
  • cloudkms.keyRings.list
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
  • Para recuperar una clave pública, haz lo siguiente: cloudkms.cryptoKeyVersions.viewPublicKey

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Crea una clave externa coordinada

Console

  1. En la consola de Trusted Cloud , ve a la página Administración de claves.

    Ir a Key Management

  2. Haz clic en el nombre del llavero de claves para el que crearás la clave.

  3. Haz clic en Crear clave.

  4. En Nombre de la clave, ingresa un nombre para la clave.

  5. En Nivel de protección, selecciona Externo.

  6. En Tipo de conexión del administrador de claves externo (EKM), selecciona a través de VPC.

  7. En EKM a través de una conexión de VPC, selecciona una conexión.

    Si no tienes el permiso EkmConnection.list, debes ingresar manualmente el nombre del recurso de conexión.

  8. Haz clic en Continuar.

  9. En la sección Material de clave, deberías ver un mensaje sobre el material de clave nuevo que solicitó Cloud KMS y que se generó en tu EKM. Si ves el campo Ruta de acceso a la clave, significa que la conexión EKM a través de VPC que seleccionaste no está configurada para claves externas coordinadas.

  10. Configura el resto de los parámetros clave según sea necesario y, luego, haz clic en Crear.

Cloud EKM envía una solicitud a tu EKM para crear una clave nueva. La clave se muestra como Pendiente de generación hasta que tu EKM devuelva la ruta de acceso a la clave y la clave de Cloud EKM esté disponible.

gcloud

Para usar Cloud KMS en la línea de comandos, primero instala o actualiza a la versión más reciente de Google Cloud CLI.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Reemplaza lo siguiente:

  • KEY_NAME: el nombre de la clave.
  • KEY_RING: el nombre del llavero de claves que incluye la clave
  • LOCATION: la ubicación de Cloud KMS del llavero de claves.
  • PURPOSE: Es el propósito de la clave.
  • ALGORITHM: Es el algoritmo que se usará para la clave, por ejemplo, google-symmetric-encryption. Para obtener una lista de los algoritmos admitidos, consulta Algoritmos.
  • VPC_CONNECTION_RESOURCE_ID: Es el ID del recurso de la conexión del EKM.

Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.

¿Qué sigue?