En esta página, se explica cómo usar las claves de encriptación administradas por el cliente de Cloud KMS en otros servicios de Cloud de Confiance para proteger tus recursos. Para obtener más información, consulta Claves de encriptación administradas por el cliente (CMEK).
Cuando un servicio admite CMEK, se dice que tiene una integración con CMEK. Algunos servicios, como GKE, tienen varias integraciones con CMEK para proteger diferentes tipos de datos relacionados con el servicio. Para obtener una lista de los servicios con integraciones de CMEK, consulta Habilita la CMEK para los servicios compatibles en esta página.
Antes de comenzar
Antes de que puedas usar las claves de Cloud KMS en otros servicios de Cloud de Confiance , debes tener un recurso de proyecto para contener tus claves de Cloud KMS. Te recomendamos que uses un proyecto independiente para tus recursos de Cloud KMS que no contenga ningún otro recurso de Cloud de Confiance .
Integraciones de CMEK
Preparación para habilitar la integración de CMEK
Para conocer los pasos exactos a fin de habilitar CMEK, consulta la documentación del servicio deCloud de Confiance correspondiente. En Habilita la CMEK para los servicios admitidos de esta página, puedes encontrar un vínculo a la documentación de CMEK para cada servicio. Para cada servicio, es posible que sigas pasos similares a los siguientes:
Crea un llavero de claves o selecciona uno existente. El llavero de claves debe estar ubicado lo más cerca posible geográficamente de los recursos que deseas proteger.
En el llavero de claves seleccionado, crea una clave o selecciona una existente. Asegúrate de que el nivel de protección, el propósito y el algoritmo de la clave sean adecuados para los recursos que deseas proteger. Esta es la clave CMEK.
Obtén el ID de recurso de la clave de CMEK. Necesitarás este ID de recurso más adelante.
Otorga la función de IAM de encriptador/desencriptador de CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) en la clave CMEK a la cuenta de servicio para el servicio.
Después de crear la clave y asignar los permisos requeridos, puedes crear o configurar un servicio para que use tu clave de CMEK.
Usa claves de Cloud KMS con servicios integrados en CMEK
En los siguientes pasos, se usa Secret Manager como ejemplo. Para conocer los pasos exactos para usar una clave de CMEK de Cloud KMS en un servicio determinado, busca ese servicio en la lista de servicios integrados en CMEK.
En Secret Manager, puedes usar una CMEK para proteger los datos en reposo.
En la consola de Cloud de Confiance , ve a la página Secret Manager.
Para crear un secreto, haz clic en Create Secret.
En la sección Encriptación, selecciona Usar una clave de encriptación administrada por el cliente (CMEK).
En el cuadro Clave de encriptación, haz lo siguiente:
Opcional: Para usar una clave en otro proyecto, haz lo siguiente:
- Haz clic en Cambiar proyecto.
- Ingresa todo o parte del nombre del proyecto en la barra de búsqueda y, luego, selecciónalo.
- Para ver las claves disponibles para el proyecto seleccionado, haz clic en Seleccionar.
Opcional: Para filtrar las claves disponibles por ubicación, llavero de claves, nombre o nivel de protección, ingresa términos de búsqueda en la barra de filtros.
Selecciona una clave de la lista de claves disponibles en el proyecto seleccionado. Puedes usar los detalles de ubicación, llavero y nivel de protección que se muestran para asegurarte de elegir la clave correcta.
Si la clave que quieres usar no aparece en la lista, haz clic en Escribir la clave de forma manual y, luego, ingresa el ID de recurso de la clave.
Termina de configurar tu secreto y, luego, haz clic en Crear secreto. Secret Manager crea el secreto y lo encripta con la clave CMEK especificada.
Habilita CMEK para los servicios compatibles
Para habilitar la CMEK, primero ubica el servicio deseado en la siguiente tabla. Puedes ingresar términos de búsqueda en el campo para filtrar la tabla. Los productos que se integran con Cloud KMS cuando se usan claves externas de Cloud EKM se indican en la columna Compatible con EKM.
Sigue las instrucciones para cada servicio en el que quieras habilitar las claves de CMEK.
| Servicio | Protección con CMEK | Compatible con EKM | Tema |
|---|---|---|---|
| Artifact Registry | Datos en repositorios | Sí | Habilita claves de encriptación administradas por el cliente |
| BigQuery | Datos en BigQuery | Sí | Protege datos con claves de Cloud KMS |
| Cloud Logging | Datos en el almacenamiento de Logging | Sí | Administra las claves que protegen los datos de almacenamiento de Logging |
| Cloud SQL | Datos escritos en bases de datos | Sí | Usa claves de encriptación administradas por el cliente |
| Cloud Storage | Datos en depósitos de almacenamiento | Sí | Usa claves de encriptación administradas por el cliente |
| Compute Engine | Instantáneas | Sí | Protege recursos con las claves de Cloud KMS |
| Compute Engine | Imágenes personalizadas | Sí | Protege recursos con las claves de Cloud KMS |
| Compute Engine | Imágenes de máquina | Sí | Protege recursos con las claves de Cloud KMS |
| Pub/Sub | Datos asociados con temas | Sí | Configurar la encriptación de mensajes |