Es posible que parte o toda la información de esta página no se aplique a Trusted Cloud by S3NS. Para obtener más información, consulta las diferencias con Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Cloud External Key Manager

En esta página se ofrece una descripción general de Cloud External Key Manager (Cloud EKM).

Terminología

Gestor de claves externas (EKM)

El gestor de claves que se usa fuera de Trusted Cloud para gestionar tus claves.
Cloud External Key Manager (Cloud EKM)

Un Trusted Cloud servicio para usar tus claves externas que se gestionan en un EKM compatible.
Cloud EKM a través de una VPC

Una versión de Cloud EKM en la que Trusted Cloud se comunica con tu gestor de claves externo a través de una nube privada virtual (VPC). Para obtener más información, consulta la descripción general de las redes de VPC.
Gestión de claves de EKM desde Cloud KMS

Tus claves usan el modo de gestión EKM de Cloud KMS para simplificar el proceso de mantenimiento de claves externas en tu partner de gestión de claves externo y en Cloud EKM. Para obtener más información, consulta las secciones Claves externas coordinadas y Gestión de claves de EKM desde Cloud KMS de esta página.
Espacio criptográfico

Un contenedor de tus recursos en tu partner de gestión de claves externo. Tu espacio de criptomonedas se identifica con una ruta única. El formato de la ruta del espacio criptográfico varía según el partner de gestión de claves externas. Por ejemplo, v0/cryptospaces/YOUR_UNIQUE_PATH.
Gestión de claves externa por parte del partner

Acuerdo en el que un partner de confianza gestiona tu EKM. Para obtener más información, consulte la sección Gestión de claves externas por parte del partner de esta página.

Información general

Con Cloud EKM, puedes usar las claves que gestionas en un partner de gestión de claves externo admitido para proteger los datos enTrusted Cloud. Puedes proteger los datos en reposo en los servicios de integración de CMEK compatibles o llamando directamente a la API de Cloud Key Management Service.

Cloud EKM ofrece varias ventajas:

Procedencia de las claves: tú controlas la ubicación y la distribución de tus claves gestionadas externamente. Las claves gestionadas de forma externa nunca se almacenan en caché ni se guardan en Trusted Cloud. En su lugar, Cloud EKM se comunica directamente con el partner de gestión de claves externo para cada solicitud.
Control de acceso: gestionas el acceso a tus claves gestionadas de forma externa en tu gestor de claves externo. No puedes usar una clave gestionada de forma externa en Trusted Cloud sin haber concedido primero al proyecto Trusted Cloud acceso a la clave en tu gestor de claves externo. Puedes revocar este acceso en cualquier momento.
Gestión de claves centralizada: puedes gestionar tus claves y políticas de acceso desde una única interfaz de usuario, independientemente de si los datos que protegen residen en la nube o en tus instalaciones.

En todos los casos, la clave se encuentra en el sistema externo y nunca se envía a Google.

Te comunicas con tu gestor de claves externo a través de una nube privada virtual (VPC).

Cómo funciona Cloud EKM

Las versiones de claves de Cloud EKM constan de las siguientes partes:

Material de clave externa: el material de clave externa de una clave de Cloud EKM es material criptográfico creado y almacenado en tu EKM. Este material no sale de tu EKM y nunca se comparte con Google.
Referencia de clave: cada versión de clave de Cloud EKM contiene un URI de clave o una ruta de clave. Es un identificador único del material de clave externa que usa Cloud EKM al solicitar operaciones criptográficas con la clave.
Material de claves interno: cuando se crea una clave de Cloud EKM simétrica, Cloud KMS crea material de claves adicional en Cloud KMS, que nunca sale de Cloud KMS. Este material de clave se usa como una capa adicional de cifrado al comunicarse con tu EKM. Este material de clave interno no se aplica a las claves de firma asimétricas.

Para usar tus claves de Cloud EKM, Cloud EKM envía solicitudes de operaciones criptográficas a tu EKM. Por ejemplo, para cifrar datos con una clave de cifrado simétrica, Cloud EKM primero cifra los datos con el material de clave interno. Los datos cifrados se incluyen en una solicitud al EKM. EKM envuelve los datos cifrados en otra capa de cifrado mediante el material de claves externo y, a continuación, devuelve el texto cifrado resultante. Los datos encriptados con una clave de Cloud EKM no se pueden desencriptar sin el material de la clave externa y el material de la clave interna.

Para crear y gestionar claves de Cloud EKM, es necesario hacer los cambios correspondientes tanto en Cloud KMS como en el EKM. Tus claves son claves externas coordinadas, por lo que estos cambios correspondientes se gestionan automáticamente mediante el plano de control de Cloud EKM. Para obtener más información, consulta la sección Claves externas coordinadas de esta página.

En el siguiente diagrama se muestra cómo se integra Cloud KMS en el modelo de gestión de claves. En este diagrama se usan Compute Engine y BigQuery como ejemplos, pero también puedes consultar la lista completa de servicios que admiten claves de Cloud EKM.

Diagrama que ilustra el cifrado y el descifrado con Cloud EKM

Puedes consultar las consideraciones y las restricciones al usar Cloud EKM.

Claves externas coordinadas

En esta sección se ofrece una descripción general de cómo funciona Cloud EKM con claves externas coordinadas.

Configura una conexión EKM y define el modo de gestión de EKM como Cloud KMS. Durante la configuración, debe autorizar a su EKM para que acceda a su red de VPC y a suTrusted Cloud cuenta de servicio del proyecto para que acceda a su espacio criptográfico en su EKM. Tu conexión EKM usa el nombre de host de tu EKM y una ruta de espacio criptográfico que identifica tus recursos en tu EKM.
Crea una clave externa en Cloud KMS. Cuando creas una clave de Cloud EKM mediante una conexión EKM a través de una VPC con el modo de gestión de EKM de Cloud KMS habilitado, se llevan a cabo los siguientes pasos automáticamente:
1. Cloud EKM envía una solicitud de creación de claves a tu EKM.
2. Tu EKM crea el material de la clave solicitada. Este material de clave externo permanece en el EKM y nunca se envía a Google.
3. Tu EKM devuelve una ruta de clave a Cloud EKM.
4. Cloud EKM crea tu versión de clave de Cloud EKM con la ruta de clave proporcionada por tu EKM.
Las operaciones de mantenimiento de claves externas coordinadas se pueden iniciar desde Cloud KMS. Por ejemplo, las claves externas coordinadas que se usan para el cifrado simétrico se pueden rotar automáticamente según una programación establecida. Cloud EKM coordina la creación de nuevas versiones de claves en tu EKM. También puedes activar la creación o la destrucción de versiones de claves en tu EKM desde Cloud KMS mediante laTrusted Cloud consola, la CLI de gcloud, la API de Cloud KMS o las bibliotecas de cliente de Cloud KMS.

En Trusted Cloud, la clave aparece junto a tus otras claves de Cloud KMS y Cloud HSM, con el nivel de protección EXTERNAL_VPC. La clave de Cloud EKM y la clave del partner de gestión de claves externo trabajan conjuntamente para proteger tus datos. El material de claves externo nunca se expone a Google.

Gestión de claves de EKM desde Cloud KMS

Las claves externas coordinadas son posibles gracias a las conexiones EKM que usan la gestión de claves EKM de Cloud KMS. Si tu EKM es compatible con el plano de control de Cloud EKM, puedes habilitar la gestión de claves de EKM desde Cloud KMS para tus conexiones de EKM y crear claves externas coordinadas. Si la gestión de claves de EKM de Cloud KMS está habilitada, Cloud EKM puede solicitar los siguientes cambios en tu EKM:

Crear una clave: cuando creas una clave gestionada de forma externa en Cloud KMS mediante una conexión EKM compatible, Cloud EKM envía tu solicitud de creación de claves a tu EKM. Si la operación se realiza correctamente, tu EKM crea la clave y el material de clave nuevos, y devuelve la ruta de la clave para que Cloud EKM la use para acceder a la clave.
Rotar una clave: cuando rotas una clave gestionada externamente en Cloud KMS mediante una conexión EKM compatible, Cloud EKM envía tu solicitud de rotación a tu EKM. Si la operación se realiza correctamente, tu EKM crea material de clave nuevo y devuelve la ruta de la clave para que Cloud EKM la use y acceda a la nueva versión de la clave.
Destruir una clave: cuando destruyes una versión de una clave gestionada externamente en Cloud KMS mediante una conexión EKM compatible, Cloud KMS programa la destrucción de la versión de la clave en Cloud KMS. Si la versión de la clave no se restaura antes de que finalice el periodo programado para la destrucción, Cloud EKM destruye su parte del material criptográfico de la clave y envía una solicitud de destrucción a tu EKM.

Los datos encriptados con esta versión de la clave no se pueden descifrar después de que se haya destruido en Cloud KMS, aunque el EKM aún no haya destruido la versión de la clave. Para comprobar si el EKM ha destruido correctamente la versión de la clave, consulta los detalles de la clave en Cloud KMS.

Cuando las claves de tu EKM se gestionan desde Cloud KMS, el material de claves sigue residiendo en tu EKM. Google no puede enviar ninguna solicitud de gestión de claves a tu EKM sin tu permiso explícito. Google no puede cambiar los permisos en el sistema de tu colaborador de gestión de claves externo. Si revocas los permisos de Google en tu EKM, las operaciones de gestión de claves que se intenten realizar en Cloud KMS fallarán.

Compatibilidad

Gestores de claves admitidos

Puedes almacenar claves externas en los siguientes sistemas de partners de gestión de claves externos:

Hoy se admiten los siguientes:
- Fortanix
- Futurex
- Thales

Servicios que admiten CMEK con Cloud EKM

Los siguientes servicios admiten la integración con Cloud KMS para claves externas (Cloud EKM):

Agent Assist
AlloyDB for PostgreSQL
Hub de APIs de Apigee
Application Integration
Artifact Registry
Copia de seguridad de GKE
BigQuery
Bigtable
Cloud Composer
Cloud Data Fusion
API de Cloud Healthcare
Cloud Logging: Datos en el enrutador de registros y Datos en el almacenamiento de Logging
Cloud Run
Cloud Run Functions
Cloud SQL
Cloud Storage
Cloud Tasks
Cloud Workstations
Compute Engine: Discos persistentes, Capturas, Imágenes personalizadas, e imágenes de máquina
Conversational Insights
Database Migration Service: Migraciones de MySQL: datos escritos en bases de datos, Migraciones de PostgreSQL: datos escritos en bases de datos, Migraciones de PostgreSQL a AlloyDB: datos escritos en bases de datos, Migraciones de SQL Server: datos escritos en bases de datos, y datos en reposo de Oracle a PostgreSQL
Dataflow
Dataform
Dataplex Universal Catalog
Dataproc: Datos de clústeres de Dataproc en discos de máquinas virtuales y datos de Dataproc sin servidor en discos de máquinas virtuales
Dataproc Metastore
Dialogflow CX
Document AI
Eventarc Standard
Filestore
Firestore
Google Cloud Managed Service para Apache Kafka
Google Cloud NetApp Volumes
Google Distributed Cloud
Google Kubernetes Engine: Datos en discos de máquinas virtuales y secretos de la capa de aplicación
Integration Connectors
Looker (servicio principal de Google Cloud)
Memorystore para Redis
Migrate to Virtual Machines: Datos migrados desde fuentes de VMs de VMware, AWS y Azure y datos migrados desde fuentes de imágenes de disco y de máquina
Gestor de parámetros
Pub/Sub
Secret Manager
Secure Source Manager
Spanner
Speaker ID (GA restringida)
Speech-to-Text
Vertex AI
Instancias de Vertex AI Workbench
Workflows
Workload Manager

Cuestiones importantes

Cuando usas una clave de Cloud EKM, Google no tiene control sobre la disponibilidad de tu clave gestionada de forma externa en el sistema del partner de gestión de claves externo. Si pierdes las claves que gestionas fuera de Trusted Cloud, Google no podrá recuperar tus datos.
Consulta las directrices sobre partners y regiones de gestión de claves externas al elegir las ubicaciones de tus claves de Cloud EKM.
Comunicarse con un servicio externo a través de Internet puede provocar problemas de fiabilidad, disponibilidad y latencia. En el caso de las aplicaciones que no toleran este tipo de riesgos, puedes usar Cloud HSM o Cloud KMS para almacenar el material de claves.
- Si una clave externa no está disponible, Cloud KMS devuelve un error FAILED_PRECONDITION y proporciona detalles en el error PreconditionFailure.
  
  Habilita el registro de auditoría de datos para mantener un registro de todos los errores relacionados con Cloud EKM. Los mensajes de error contienen información detallada para ayudar a identificar la fuente del error. Un ejemplo de error habitual es cuando un colaborador de gestión de claves externas no responde a una solicitud en un plazo razonable.
- Debes tener un contrato de asistencia con el partner de gestión de claves externo. Trusted Cloud solo puede ayudarte con problemas en los Trusted Cloud servicios y no puede ofrecer asistencia directa con problemas en sistemas externos. En ocasiones, debe trabajar con el equipo de asistencia de ambas partes para solucionar problemas de interoperabilidad.
Cloud EKM se puede usar con Bare Metal Rack HSM para crear una solución de HSM de un solo inquilino integrada con Cloud KMS. Para obtener más información, elige un partner de Cloud EKM que admita HSMs de un solo inquilino y consulta los requisitos de los HSMs de Bare Metal Rack.
Habilita el registro de auditoría en tu gestor de claves externo para registrar el acceso y el uso de tus claves de EKM.

Advertencia: Cuando usas claves de EKM de Cloud, existe el riesgo de que la clave deje de estar disponible. En función de los servicios que utilices, esto puede provocar errores graves o que no se pueda acceder a los datos. Por ejemplo, si usas una clave CMEK externa para cifrar secretos de la capa de aplicación de Google Kubernetes Engine, tus nodos pueden dejar de estar disponibles si no pueden descifrar los secretos. Si no se puede acceder a la clave externa, también se pueden perder datos de forma permanente. Por ejemplo, si la clave CMEK que se usa para cifrar una base de datos de Spanner no está disponible durante más de 30 días consecutivos, Spanner eliminará automáticamente la base de datos. Si la versión de la clave actual no está disponible, no podrás recuperar los datos rotando a una nueva versión de la clave. Para mejorar la disponibilidad, te recomendamos que uses Cloud EKM en lugar de claves de VPC o Cloud HSM.

Restricciones

Cuando creas una clave de EKM de Cloud con la API o la CLI de Google Cloud, no debe tener una versión de clave inicial. Esto no se aplica a las claves de Cloud EKM creadas con laTrusted Cloud consola
Las operaciones de Cloud EKM están sujetas a cuotas específicas, además de las cuotas de las operaciones de Cloud KMS.

Claves de cifrado simétrico

Las claves de cifrado simétricas solo se admiten en los siguientes casos:
- Claves de cifrado gestionadas por el cliente (CMEK) en servicios de integración compatibles.
- Encriptado y desencriptado simétricos con Cloud KMS directamente.
Los datos que Cloud EKM cifra con una clave gestionada externamente no se pueden descifrar sin usar Cloud EKM.

Claves de firma asimétricas

Las claves de firma asimétricas se limitan a un subconjunto de algoritmos de Cloud KMS.
Las claves de firma asimétricas solo se admiten en los siguientes casos prácticos:
- Firma asimétrica con Cloud KMS directamente.
- Clave de firma personalizada con Access Approval.
Una vez que se ha definido un algoritmo de firma asimétrica en una clave de EKM de Cloud, no se puede modificar.
La firma debe hacerse en el campo data.

EKM gestionado por el partner

La gestión de claves externa de Cloud gestionada por partners te permite usar Cloud EKM a través de un partner soberano de confianza que gestiona tu sistema EKM. Con EKM gestionado por partners, tu partner crea y gestiona las claves que usas en Cloud EKM. El partner se asegura de que tu EKM cumpla los requisitos de soberanía.

Cuando incorporas a tu partner soberano, este aprovisiona recursos en Trusted Cloud y en tu EKM. Estos recursos incluyen un proyecto de Cloud KMS para gestionar las claves de Cloud EKM y una conexión de EKM configurada para la gestión de claves de EKM desde Cloud KMS. Tu partner crea recursos en Trusted Cloud ubicaciones según tus requisitos de residencia de datos.

Cada clave de Cloud EKM incluye metadatos de Cloud KMS, que permiten a Cloud EKM enviar solicitudes a tu EKM para realizar operaciones criptográficas con el material de clave externa, que nunca sale de tu EKM. Las claves simétricas de Cloud EKM también incluyen material de claves interno de Cloud KMS que nunca sale de Trusted Cloud. Para obtener más información sobre los aspectos internos y externos de las claves de Cloud EKM, consulta la sección Cómo funciona Cloud EKM de esta página.

Para obtener más información sobre EKM gestionado por un partner, consulte Configurar Cloud KMS gestionado por un partner.

Siguientes pasos

Empieza a usar la API.
Crea una conexión EKM para usar EKM a través de una VPC.
Consulta la referencia de la API de Cloud KMS.
Consulta información sobre el registro en Cloud KMS. El registro se basa en las operaciones y se aplica a las claves con niveles de protección de HSM y de software.