Es posible que parte de la información de esta página (o toda) no se aplique a Trusted Cloud de S3NS.

Se usó la API de Cloud Translation para traducir esta página.

Niveles de protección

En esta página, se comparan los diferentes niveles de protección que admite Cloud KMS:

Software: Google puede generar o importar claves de Cloud KMS.


Externo a través de la VPC: Las claves de Cloud EKM con el nivel de protección EXTERNAL_VPC se generan y almacenan en tu sistema externo de administración de claves (EKM). Cloud EKM almacena material criptográfico adicional y una ruta de acceso a tu clave única, que se usa para acceder a tu clave a través de una red de nube privada virtual (VPC).

Las llaves con todos estos niveles de protección comparten las siguientes características:

Usar tus claves para los servicios integrados en la clave de encriptación administrada por el cliente (CMEK)Trusted Cloud

Nota: Algunos servicios integrados en CMEK no admiten claves de Cloud EKM. Para saber qué servicios integrados en CMEK admiten claves de Cloud EKM, consulta Integraciones de CMEK.
Usa tus claves con las APIs o bibliotecas cliente de Cloud KMS, sin ningún código especializado basado en el nivel de protección de la clave.
Controla el acceso a tus claves con los roles de Identity and Access Management (IAM).
Controla si cada versión de la clave está Habilitada o Inhabilitada desde Cloud KMS.
Las operaciones de claves se capturan en los registros de auditoría. Se puede habilitar el registro de acceso a los datos.

Nivel de protección del software

Cloud KMS usa el módulo BoringCrypto (BCM) para todas las operaciones criptográficas de las claves de software. El BCM está validado en función del estándar FIPS 140-2. Las claves de software de Cloud KMS usan algoritmos criptográficos primitivos del BCM validados en función del nivel 1 del estándar FIPS 140-2.

Las claves de software son una buena opción para los casos de uso que no tienen requisitos reglamentarios específicos para un nivel de validación más alto de la FIPS 140-2.

Nivel de protección externo a través de la VPC

Las claves de Cloud External Key Manager (Cloud EKM) son claves que administras en un servicio de socio externo de administración de claves (EKM) compatible y que usas en losTrusted Cloud servicios y las APIs y bibliotecas cliente de Cloud KMS. Las claves de Cloud EKM pueden estar respaldadas por software o hardware, según tu proveedor de EKM. Puedes usar tus claves de Cloud EKM en servicios integrados en CMEK o con las APIs y bibliotecas cliente de Cloud KMS. Cloud KMS se conecta a tu EKM externo a través de una red de VPC.

Cuando usas claves de Cloud EKM, puedes tener la certeza de que Trusted Cloud no puede acceder a tu material de clave.

Para ver qué servicios integrados en CMEK admiten claves de Cloud EKM, consulta Integraciones de CMEK y aplica el filtro Mostrar solo los servicios compatibles con EKM.

Puedes usar claves de Cloud EKM en una red de VPC en la mayoría de las ubicaciones regionales compatibles con Cloud KMS.

¿Qué sigue?

Obtén información sobre los servicios compatibles que te permiten usar tus llaves en Trusted Cloud.
Aprende a crear llaveros de claves y crear claves de encriptación.
Obtén más información para importar claves.
Obtén más información sobre las claves externas.
Obtén más información sobre otras consideraciones para usar Cloud EKM.