Es posible que parte o toda la información de esta página no se aplique a Trusted Cloud by S3NS. Para obtener más información, consulta las diferencias con Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Niveles de protección

En esta página se comparan los distintos niveles de protección que admite Cloud KMS:

Software: Cloud KMS con el nivel de protección SOFTWARE se usan en operaciones criptográficas que se realizan en software. Google puede generar o importar claves de Cloud KMS.


Externo a través de VPC: Cloud EKM almacena material criptográfico adicional y una ruta a tu clave única, que se usa para acceder a tu clave a través de una red de nube privada virtual (VPC).

Las claves con todos estos niveles de protección comparten las siguientes características:

Usa tus claves para losTrusted Cloud serviciosTrusted Cloud integrados con claves de cifrado gestionadas por el cliente (CMEK).

Nota: Algunos servicios integrados con CMEK no admiten claves de Cloud EKM. Para saber qué servicios integrados con CMEK admiten claves de Cloud EKM, consulta Integraciones de CMEK.
Usa tus claves con las APIs o las bibliotecas de cliente de Cloud KMS sin necesidad de usar código especializado en función del nivel de protección de la clave.
Controla el acceso a tus claves mediante roles de Gestión de Identidades y Accesos (IAM).
Controla si cada versión de la clave está habilitada o inhabilitada en Cloud KMS.
Las operaciones con claves se registran en los registros de auditoría. Se puede habilitar el registro de acceso a datos.

Nivel de protección del software

Cloud KMS utiliza el módulo BoringCrypto (BCM) para todas las operaciones criptográficas de las claves de software. El BCM está validado según el estándar FIPS 140-2. Las claves de software de Cloud KMS usan los primitivos criptográficos con la validación FIPS 140-2 de nivel 1 del módulo BoringCrypto (BCM).

Las claves de software son una buena opción para los casos prácticos que no tienen requisitos normativos específicos para un nivel de validación FIPS 140-2 superior.

Nivel de protección externa a través de VPC

Las claves de Cloud External Key Manager (Cloud EKM) son claves que gestionas en un servicio de partner de gestión de claves externo (EKM) admitido y que usas enTrusted Cloud servicios y en las APIs y bibliotecas de cliente de Cloud KMS. Las claves de Cloud EKM pueden estar respaldadas por software o por hardware, en función de tu proveedor de EKM. Puedes usar tus claves de Cloud EKM en servicios integrados con CMEK o mediante las APIs y bibliotecas de cliente de Cloud KMS. Cloud KMS se conecta a tu Cloud EKM a través de una red VPC.

Cuando usas claves de Cloud EKM, puedes tener la certeza de que Trusted Cloud no puede acceder al material de tu clave.

Para ver qué servicios integrados con CMEK admiten claves de EKM de Cloud, consulta Integraciones de CMEK y aplica el filtro Mostrar solo servicios compatibles con EKM.

Puedes usar claves de Cloud EKM en una red de VPC en la mayoría de las ubicaciones regionales compatibles con Cloud KMS.

Siguientes pasos

Consulta los servicios compatibles que te permiten usar tus llaves en Trusted Cloud.
Consulta cómo crear llaveros y crear claves de cifrado.
Más información sobre cómo importar claves
Consulta información sobre las claves externas.
Consulta otras consideraciones sobre el uso de Cloud EKM.