Es posible que parte de la información de esta página (o toda) no se aplique a Trusted Cloud de S3NS.

Se usó la API de Cloud Translation para traducir esta página.

Cloud External Key Manager

En esta página, se proporciona una descripción general de Cloud External Key Manager (Cloud EKM).

Terminología

Administrador de claves externas (EKM)

Es el administrador de claves que se usa fuera de Trusted Cloud para administrar tus claves.
Cloud External Key Manager (Cloud EKM)

Un Trusted Cloud servicio para usar tus claves externas administradas dentro de un EKM compatible.
Cloud EKM a través de una VPC

Es una versión de Cloud EKM en la que Trusted Cloud se comunica con tu administrador de claves externo a través de una nube privada virtual (VPC). Para obtener más información, consulta la descripción general de la red de VPC.
Administración de claves de EKM desde Cloud KMS

Tus claves usan el modo de administración de EKM de Cloud KMS para simplificar el proceso de mantenimiento de claves externas en tu socio de administración de claves externas y en Cloud EKM. Para obtener más información, consulta Claves externas coordinadas y Administración de claves de EKM desde Cloud KMS en esta página.
Espacio criptográfico

Es un contenedor para tus recursos dentro de tu socio de administración de claves externas. Tu espacio criptográfico se identifica con una ruta única. El formato de la ruta de acceso al espacio criptográfico varía según el socio de administración de claves externas. Por ejemplo, v0/cryptospaces/YOUR_UNIQUE_PATH.
EKM administrado por el socio

Es un acuerdo en el que un socio de confianza administra tu EKM. Para obtener más información, consulta EKM administrado por socios en esta página.

Descripción general

Con Cloud EKM, puedes usar las claves que administras dentro de un socio de administración de claves externo compatible para proteger los datos enTrusted Cloud. Puedes proteger los datos en reposo en los servicios de integración de CMEK compatibles o llamando directamente a la API de Cloud Key Management Service.

Cloud EKM ofrece varios beneficios:

Procedencia de la clave: Tú controlas la ubicación y la distribución de las claves administradas de forma externa. Las claves administradas de forma externa nunca se almacenan en caché ni en Trusted Cloud. En su lugar, Cloud EKM se comunica directamente con el socio de administración de claves externo para cada solicitud.
Control de acceso: Administras el acceso a tus claves administradas de forma externa en tu administrador de claves externas. No puedes usar una clave administrada de forma externa enTrusted Cloud sin antes otorgar acceso al proyecto Trusted Cloud a la clave en tu administrador de claves externo. Puedes revocar este acceso en cualquier momento.
Administración de claves centralizada: Puedes administrar tus claves y políticas de acceso desde una única interfaz de usuario, ya sea que los datos que protejan residan en la nube o en tus instalaciones locales.

En todos los casos, la clave reside en el sistema externo y nunca se envía a Google.

Te comunicas con tu administrador de claves externo a través de una nube privada virtual (VPC).

Cómo funciona Cloud EKM

Las versiones de claves de Cloud EKM constan de las siguientes partes:

Material de clave externa: El material de clave externa de una clave de Cloud EKM es material criptográfico que se crea y almacena en tu EKM. Este material no sale de tu EKM y nunca se comparte con Google.
Referencia de clave: Cada versión de clave de Cloud EKM contiene un URI de clave o una ruta de acceso a la clave. Es un identificador único para el material de la clave externa que Cloud EKM usa cuando solicita operaciones criptográficas con la clave.
Material de clave interno: Cuando se crea una clave simétrica de Cloud EKM, Cloud KMS crea material de clave adicional en Cloud KMS, que nunca sale de Cloud KMS. Este material de clave se usa como una capa adicional de encriptación cuando se comunica con tu EKM. Este material de clave interno no se aplica a las claves de firma asimétricas.

Para usar tus claves de Cloud EKM, Cloud EKM envía solicitudes de operaciones criptográficas a tu EKM. Por ejemplo, para encriptar datos con una clave de encriptación simétrica, Cloud EKM primero encripta los datos con el material de la clave interna. Los datos encriptados se incluyen en una solicitud al EKM. El EKM une los datos encriptados en otra capa de encriptación con el material de la clave externa y, luego, devuelve el texto cifrado resultante. Los datos encriptados con una clave de Cloud EKM no se pueden desencriptar sin el material de la clave externa y el material de la clave interna.

La creación y administración de claves de Cloud EKM requieren cambios correspondientes tanto en Cloud KMS como en el EKM. Tus claves son externas coordinadas, por lo que estos cambios correspondientes se controlan por ti con el plano de control de Cloud EKM. Para obtener más información, consulta Claves externas coordinadas en esta página.

En el siguiente diagrama, se muestra cómo Cloud KMS encaja en el modelo de administración de claves. En este diagrama, se usan Compute Engine y BigQuery como dos ejemplos. También puedes consultar la lista completa de servicios compatibles con las claves Cloud EKM.

Diagrama que ilustra la encriptación y desencriptación con Cloud EKM

Puedes obtener información sobre las consideraciones y las restricciones cuando usas Cloud EKM.

Claves externas coordinadas

En esta sección, se proporciona una descripción general de cómo funciona Cloud EKM con claves externas coordinadas.

Configuras una conexión de EKM y estableces el modo de administración de EKM en Cloud KMS. Durante la configuración, debes autorizar tu EKM para que acceda a tu red de VPC y autorizar tu cuenta de servicio del proyecto deTrusted Cloud para que acceda a tu espacio criptográfico en tu EKM. Tu conexión de EKM usa el nombre de host de tu EKM y una ruta de espacio criptográfico que identifica tus recursos dentro de tu EKM.
Crea una clave externa en Cloud KMS. Cuando creas una clave de Cloud EKM con una conexión EKM a través de VPC con el modo de administración de EKM de Cloud KMS habilitado, se realizan automáticamente los siguientes pasos:
1. Cloud EKM envía una solicitud de creación de claves a tu EKM.
2. Tu EKM crea el material de clave solicitado. Este material de clave externo permanece en el EKM y nunca se envía a Google.
3. Tu EKM devuelve una ruta de acceso a la clave a Cloud EKM.
4. Cloud EKM crea tu versión de clave de Cloud EKM con la ruta de acceso a la clave que proporciona tu EKM.
Las operaciones de mantenimiento en claves externas coordinadas se pueden iniciar desde Cloud KMS. Por ejemplo, las claves externas coordinadas que se usan para la encriptación simétrica se pueden rotar automáticamente según un programa establecido. Cloud EKM coordina la creación de versiones de claves nuevas en tu EKM. También puedes activar la creación o destrucción de versiones de claves en tu EKM desde Cloud KMS con la consola deTrusted Cloud , gcloud CLI, la API de Cloud KMS o las bibliotecas cliente de Cloud KMS.

Dentro de Trusted Cloud, la clave aparece junto a tus otras claves de Cloud KMS y Cloud HSM, con el nivel de protecciónEXTERNAL_VPC. La clave de Cloud EKM y la clave del socio de administración de claves externo trabajan juntas para proteger tus datos. El material de la clave externa nunca se expone a Google.

Administración de claves de EKM desde Cloud KMS

Las claves externas coordinadas son posibles gracias a las conexiones de EKM que usan la administración de claves de EKM de Cloud KMS. Si tu EKM admite el plano de control de Cloud EKM, puedes habilitar la administración de claves del EKM desde Cloud KMS para que tus conexiones del EKM creen claves externas coordinadas. Con la administración de claves de EKM habilitada desde Cloud KMS, Cloud EKM puede solicitar los siguientes cambios en tu EKM:

Crea una clave: Cuando creas una clave administrada de forma externa en Cloud KMS con una conexión de EKM compatible, Cloud EKM envía tu solicitud de creación de claves a tu EKM. Cuando se completa correctamente, tu EKM crea la clave y el material de clave nuevos, y devuelve la ruta de acceso de la clave para que Cloud EKM la use para acceder a la clave.
Rotar una clave: Cuando rotas una clave administrada de forma externa en Cloud KMS con una conexión de EKM compatible, Cloud EKM envía tu solicitud de rotación a tu EKM. Si la operación se realiza correctamente, tu EKM crea un nuevo material de clave y devuelve la ruta de acceso a la clave para que Cloud EKM la use para acceder a la nueva versión de la clave.
Destruye una clave: Cuando destruyes una versión de clave para una clave administrada de forma externa en Cloud KMS con una conexión de EKM compatible, Cloud KMS programa la destrucción de la versión de clave en Cloud KMS. Si la versión de clave no se restablece antes de que finalice el período programado para su destrucción, Cloud EKM destruye su parte del material criptográfico de la clave y envía una solicitud de destrucción a tu EKM.

Los datos encriptados con esta versión de clave no se pueden desencriptar después de que se destruya la versión de clave en Cloud KMS, incluso si el EKM aún no destruyó la versión de clave. Puedes ver si el EKM destruyó correctamente la versión de la clave consultando los detalles de la clave en Cloud KMS.

Cuando las claves de tu EKM se administran desde Cloud KMS, el material de clave sigue residiendo en tu EKM. Google no puede realizar ninguna solicitud de administración de claves a tu EKM sin permiso explícito. Google no puede cambiar los permisos en tu sistema de administración de claves externas. Si revocas los permisos de Google en tu EKM, fallarán las operaciones de administración de claves que se intenten en Cloud KMS.

Compatibilidad

Administradores de claves compatibles

Puede almacenar claves externas en los siguientes sistemas de administración de claves externas:

Compatibles hoy:
- Fortanix
- Futurex
- Thales

Servicios que admiten CMEK con Cloud EKM

Los siguientes servicios admiten la integración con Cloud KMS para claves externas (Cloud EKM):

Agent Assist
AlloyDB para PostgreSQL
Concentrador de API de Apigee
Application Integration
Artifact Registry
Copia de seguridad para GKE
BigQuery
Bigtable
Cloud Composer
Cloud Data Fusion
API de Cloud Healthcare
Cloud Logging: Datos en el enrutador de registros y datos en el almacenamiento de Logging
Cloud Run
Cloud Run Functions
Cloud SQL
Cloud Storage
Cloud Tasks
Cloud Workstations
Compute Engine: Discos persistentes, Instantáneas, Imágenes personalizadas, y Imágenes de máquinas
Estadísticas de conversación
Database Migration Service: Migraciones de MySQL: Datos escritos en bases de datos, Migraciones de PostgreSQL: Datos escritos en bases de datos, Migraciones de PostgreSQL a AlloyDB: Datos escritos en bases de datos, Migraciones de SQL Server: Datos escritos en bases de datos, y datos en reposo de Oracle a PostgreSQL
Dataflow
Dataform
Dataplex Universal Catalog
Dataproc: Datos de clústeres de Dataproc en discos de VM y datos de Dataproc sin servidores en discos de VM
Dataproc Metastore
Dialogflow CX
Document AI
Eventarc Standard
Filestore
Firestore
Google Cloud Managed Service para Apache Kafka
Google Cloud NetApp Volumes
Google Distributed Cloud
Google Kubernetes Engine: Datos en discos de VM y Secrets de la capa de la aplicación
Integration Connectors
Looker (Google Cloud Core)
Memorystore para Redis
Migrate to Virtual Machines: Datos migrados desde fuentes de VM de VMware, AWS y Azure y Datos migrados desde fuentes de imágenes de disco y máquinas
Administrador de parámetros
Pub/Sub
Secret Manager
Secure Source Manager
Spanner
Speaker ID (Disponibilidad general restringida)
Speech-to-Text
Vertex AI
Instancias de Vertex AI Workbench
Workflows

Consideraciones

Cuando usas una clave de Cloud EKM, Google no tiene control sobre la disponibilidad de tu clave administrada de forma externa en el sistema de socios de administración de claves externas. Si pierdes las claves que administras fuera de Trusted Cloud, Google no podrá recuperar tus datos.
Revisa los lineamientos sobre socios y regiones de administración de claves externas cuando elijas las ubicaciones para tus claves de Cloud EKM.
La comunicación con un servicio externo a través de Internet puede generar problemas de confiabilidad, disponibilidad y latencia. Para las aplicaciones con baja tolerancia a estos tipos de riesgos, considera usar Cloud HSM o Cloud KMS para almacenar tu material de claves.
- Si una clave externa no está disponible, Cloud KMS devuelve un error FAILED_PRECONDITION y proporciona detalles en el detalle del error PreconditionFailure.
  
  Habilita el registro de auditoría de datos para mantener un registro de todos los errores relacionados con Cloud EKM. Los mensajes de error contienen información detallada para ayudar a identificar la fuente del error. Un ejemplo de error común es cuando un socio externo de administración de claves no responde a una solicitud en un plazo razonable.
- Necesitas un contrato de asistencia con el socio de administración de claves externas. Trusted Cloud La asistencia solo puede ayudarte con problemas en los Trusted Cloud servicios y no puede ayudarte directamente con problemas en los sistemas externos. A veces, debes trabajar con el equipo de asistencia de ambos lados para solucionar problemas de interoperabilidad.
Cloud EKM se puede usar con Bare Metal Rack HSM para crear una solución de HSM de usuario único integrada en Cloud KMS. Para obtener más información, elige un socio de Cloud EKM que admita HSM de usuario único y revisa los requisitos para los HSM para bastidor Bare Metal.
Habilita el registro de auditoría en tu administrador de claves externas para capturar el acceso y el uso de tus claves de EKM.

Precaución: Cuando usas claves de Cloud EKM, existe el riesgo de que la clave deje de estar disponible. Según los servicios que uses, esto puede provocar errores fatales o datos inaccesibles. Por ejemplo, si usas una clave de CMEK externa para encriptar los secretos de la capa de aplicación de Google Kubernetes Engine, es posible que tus nodos no estén disponibles si no pueden desencriptar los secretos. La imposibilidad de acceder a la clave externa también puede provocar la pérdida permanente de datos. Por ejemplo, si la clave de CMEK que se usó para encriptar una base de datos de Spanner permanece no disponible durante más de 30 días consecutivos, Spanner borra automáticamente la base de datos. Cuando la versión de clave actual no está disponible, no puedes recuperar los datos rotando a una nueva versión de clave. Para una mejor disponibilidad, considera usar Cloud EKM en lugar de claves de Cloud HSM o de VPC.

Restricciones

Cuando creas una clave de Cloud EKM con la API o Google Cloud CLI, no debe tener una versión de clave inicial. Esto no se aplica a las claves de Cloud EKM creadas con laTrusted Cloud consola.
Las operaciones de Cloud EKM están sujetas a cuotas específicas, además de las cuotas de las operaciones de Cloud KMS.

Claves de encriptación simétricas

Solo se admiten claves de encriptación simétricas para lo siguiente:
- Claves de encriptación administradas por el cliente (CMEK) en servicios de integración compatibles
- Encriptación y desencriptación simétricas directamente con Cloud KMS
Los datos que Cloud EKM encripta con una clave administrada de forma externa no se pueden desencriptar sin usar Cloud EKM.

Claves de firma asimétricas

Las claves de firma asimétricas se limitan a un subconjunto de algoritmos de Cloud KMS.
Las claves de firma asimétricas solo se admiten para los siguientes casos de uso:
- Firma asimétrica con Cloud KMS directamente.
- Clave de firma personalizada con aprobación de acceso.
Una vez que se establece un algoritmo de firma asimétrica en una clave de Cloud EKM, no se puede modificar.
La firma debe realizarse en el campo data.

EKM administrado por el socio

El EKM administrado por socios te permite usar Cloud EKM a través de un socio soberano de confianza que administra tu sistema de EKM por ti. Con el EKM administrado por el socio, tu socio crea y administra las claves que usas en Cloud EKM. El socio se asegura de que tu EKM cumpla con los requisitos de soberanía.

Cuando te incorporas con tu socio soberano, este aprovisiona recursos en Trusted Cloud y en tu EKM. Estos recursos incluyen un proyecto de Cloud KMS para administrar tus claves de Cloud EKM y una conexión de EKM configurada para la administración de claves de EKM desde Cloud KMS. Tu socio crea recursos en ubicaciones de Trusted Cloud según tus requisitos de residencia de datos.

Cada clave de Cloud EKM incluye metadatos de Cloud KMS, lo que permite que Cloud EKM envíe solicitudes a tu EKM para realizar operaciones criptográficas con el material de claves externas que nunca sale de tu EKM. Las claves simétricas de Cloud EKM también incluyen material de claves interno de Cloud KMS que nunca sale de Trusted Cloud. Para obtener más información sobre los lados interno y externo de las claves de Cloud EKM, consulta Cómo funciona Cloud EKM en esta página.

Para obtener más información sobre EKM administrado por socios, consulta Configura Cloud KMS administrado por socios.

¿Qué sigue?

Comienza a usar la API.
Crea una conexión de EKM para usar EKM a través de la VPC.
Lee la Referencia de la API de Cloud KMS.
Obtén más información sobre Logging en Cloud KMS. El registro se basa en operaciones y se aplica a claves con niveles de protección de software y HSM.