Crea una clave externa

En esta página, se muestra cómo crear claves de Cloud External Key Manager (Cloud EKM) en un llavero de claves existente en Cloud Key Management Service (Cloud KMS).

Antes de comenzar

Antes de completar las tareas de esta página, necesitas lo siguiente:

  • Un Cloud de Confiance recurso de proyecto para contener tus recursos de Cloud KMS. Te recomendamos que uses un proyecto separado para tus recursos de Cloud KMS que no contenga ningún otro Cloud de Confiance recurso.

    Anota la cuenta de servicio de Cloud EKM de tu proyecto. En el siguiente ejemplo, reemplaza PROJECT_NUMBER por el Cloud de Confiance número de proyecto de tu proyecto. Esta información también es visible cada vez que usas la Cloud de Confiance consola para crear una clave de Cloud EKM.

        service-PROJECT_NUMBER@gcp-sa-ekms.s3ns-system.iam.gserviceaccount.com
  • El nombre y la ubicación del llavero de claves en el que deseas crear tu clave. Elige un llavero de claves en una ubicación cercana a tus otros recursos y que admita Cloud EKM. Para crear un llavero de claves, consulta Crea un llavero de claves.
  • En el sistema de socios de administración de claves externas, otorga a la Cloud de Confiance cuenta de servicio acceso para usar tus claves externas. Trata la cuenta de servicio como una dirección de correo electrónico. Es posible que los socios de EKM usen una terminología diferente a la que se usa en este documento.
  • Para crear claves de EKM a través de VPC, debes crear una conexión de EKM.

Roles obligatorios

Para obtener los permisos que necesitas para crear claves, pídele a tu administrador que te otorgue el rol de IAM de administrador de Cloud KMS (roles/cloudkms.admin) en el proyecto o en un recurso superior. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para crear claves. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para crear claves:

  • cloudkms.cryptoKeys.create
  • cloudkms.cryptoKeys.get
  • cloudkms.cryptoKeys.list
  • cloudkms.cryptoKeyVersions.create
  • cloudkms.cryptoKeyVersions.get
  • cloudkms.cryptoKeyVersions.list
  • cloudkms.keyRings.get
  • cloudkms.keyRings.list
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
  • Para recuperar una clave pública: cloudkms.cryptoKeyVersions.viewPublicKey

También puedes obtener estos permisos con roles personalizados o otros roles predefinidos.

Crea una clave externa coordinada

Console

  1. En la Cloud de Confiance consola de, ve a la página **Administración de claves**.

    Ir a Key Management

  2. Haz clic en el nombre del llavero de claves para el que crearás la clave.

  3. Haz clic en Crear clave.

  4. En Nombre de la clave, ingresa un nombre para tu clave.

  5. En Nivel de protección, selecciona Externo.

  6. En Tipo de conexión del administrador de claves externo (EKM), selecciona a través de VPC.

  7. En EKM a través de conexión de VPC, selecciona una conexión.

    Si no tienes el permiso EkmConnection.list, debes ingresar manualmente el nombre del recurso de conexión.

  8. Haz clic en Continuar.

  9. En la sección Material de clave, deberías ver un mensaje sobre el nuevo material de clave que solicita Cloud KMS y que se genera en tu EKM. Si ves el campo Ruta de la clave, el EKM a través de la conexión de VPC que seleccionaste no está configurado para las claves externas coordinadas.

  10. Configura el resto de los parámetros de configuración de la clave según sea necesario y, luego, haz clic en Crear.

Cloud EKM envía una solicitud a tu EKM para crear una clave nueva. La clave se muestra como Generación pendiente hasta que tu EKM muestra la ruta de la clave y la clave de Cloud EKM está disponible.

gcloud

Para usar Cloud KMS en la línea de comandos, primero Instala o actualiza a la versión más reciente de Google Cloud CLI.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Reemplaza lo siguiente:

  • KEY_NAME: el nombre de la clave.
  • KEY_RING: el nombre del llavero de claves que incluye la clave
  • LOCATION: la ubicación de Cloud KMS del llavero de claves.
  • PURPOSE: el propósito de la clave.
  • ALGORITHM: el algoritmo que se usará para la clave, por ejemplo, google-symmetric-encryption. Para obtener una lista de los algoritmos compatibles, consulta Algoritmos.
  • VPC_CONNECTION_RESOURCE_ID: el ID de recurso de la conexión de EKM.

Para obtener información sobre todas las marcas y los valores posibles, ejecuta el comando con la marca --help.

¿Qué sigue?