Claves de encriptación administradas por el cliente

De forma predeterminada, Application Integration encripta el contenido del cliente almacenado en reposo. Application Integration controla la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina Encriptación predeterminada de Google.

Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluida la Application Integration. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.

Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos de Application Integration es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).

Antes de comenzar

Asegúrate de completar las siguientes tareas antes de usar CMEK para la Application Integration:

Habilita la API de Cloud KMS del proyecto que almacenará tus claves de encriptación.
Habilitar la API de Cloud KMS
Sugerencia: Puedes ejecutar Application Integration y Cloud KMS en el mismo proyecto de Google Cloud o en proyectos diferentes.
Asigna el rol de IAM de Administrador de Cloud KMS o otorga los siguientes permisos de IAM al proyecto que almacenará tus claves de encriptación:
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
Para obtener información sobre cómo otorgar roles o permisos adicionales, consulta Cómo otorgar, cambiar y revocar el acceso.

Precaución: El rol de administrador de Cloud KMS contiene permisos para el mantenimiento de claves y la destrucción de versiones de claves. Para proteger tus recursos de Cloud KMS, este rol solo debe asignarse a las personas responsables de la administración de claves.
Crea un llavero de claves y una clave.
Nota: El llavero de claves se debe crear en la misma región en la que configuraste la integración de aplicaciones.

Agrega una cuenta de servicio a la clave de CMEK

Para usar una clave de CMEK en Application Integration, debes asegurarte de que tu cuenta de servicio predeterminada se haya agregado y se le haya asignado el rol de IAM de encriptador/desencriptador de CryptoKey para esa clave de CMEK.

En la consola de Google Cloud , ve a la página Key Inventory.
Ir a la página Key Inventory
Selecciona la casilla de verificación de la clave CMEK que deseas.
La pestaña Permisos en el panel de la ventana derecha estará disponible.
Haz clic en Agregar principal y, luego, ingresa la dirección de correo electrónico de la cuenta de servicio predeterminada.
Haz clic en Seleccionar un rol y selecciona el rol de Encriptador/desencriptador de CryptoKey de Cloud KMS en la lista desplegable disponible.
Haz clic en Guardar.

Habilita la encriptación de CMEK para una región de Application Integration

La CMEK se puede usar para encriptar y desencriptar los datos almacenados en los PD dentro del alcance de la región aprovisionada.

Para habilitar la encriptación de CMEK para una región de Application Integration en tu proyecto de Google Cloud, sigue estos pasos:

En la consola de Google Cloud , ve a la página Integración de aplicaciones.
Ve a Application Integration
En el menú de navegación, haz clic en Regiones.
Aparecerá la página Regiones, en la que se enumeran las regiones aprovisionadas para Application Integration.
En la integración existente en la que deseas usar CMEK, haz clic en Acciones y selecciona Editar encriptación.
En el panel Editar encriptación, expande la sección Configuración avanzada.
Selecciona Usar una clave de encriptación administrada por el cliente (CMEK) y haz lo siguiente:
1. Selecciona una clave de CMEK de la lista desplegable disponible. Las claves CMEK que se muestran en el menú desplegable se basan en la región aprovisionada. Para crear una clave nueva, consulta Crea una clave CMEK nueva.
2. Haz clic en Verificar para comprobar si tu cuenta de servicio predeterminada tiene acceso a la criptoclave de la clave CMEK seleccionada.
3. Si la verificación de la clave CMEK seleccionada falla, haz clic en Otorgar para asignar el rol de IAM de encriptador/desencriptador de CryptoKey a la cuenta de servicio predeterminada.
Haz clic en Listo.

Crea una CMEK nueva

Puedes crear una clave CMEK nueva si no quieres usar la existente o si no tienes una en la región especificada.

Para crear una nueva clave de encriptación simétrica, sigue estos pasos en el diálogo Create a new key:

Selecciona Llavero de claves:
1. Haz clic en Llavero de claves y elige un llavero de claves existente en la región especificada.
2. Si quieres crear un llavero de claves nuevo para tu clave, haz clic en el botón de activación Crear llavero de claves y sigue estos pasos:
  1. Haz clic en Nombre del llavero de claves y, luego, ingresa un nombre para tu llavero de claves.
  2. Haz clic en Ubicación del llavero de claves y elige la ubicación regional de tu llavero.
    Nota: Para la encriptación de CMEK, el llavero de claves debe crearse en la misma región que la integración de aplicaciones.
3. Haz clic en Continuar.
Crear clave:
1. Haz clic en Nombre de la clave (Key name) y, luego, ingresa un nombre para la clave nueva.
2. Haz clic en Nivel de protección y selecciona Software o HSM.
  Para obtener información sobre los niveles de protección, consulta Niveles de protección de Cloud KMS.
Revisa los detalles de la llave y el llavero, y haz clic en Continuar.
Haz clic en Crear.

Datos encriptados

En la siguiente tabla, se enumeran los datos encriptados en la Application Integration:

Recurso	Datos encriptados
Detalles de la integración	Parámetros de configuración de tareas Descripciones de la configuración de tareas
Información de ejecución de integración	parámetros de solicitud Parámetros de respuesta Detalles de la ejecución de la tarea
Credenciales del perfil de autenticación	Nombres de usuario y contraseñas Claves de API Código de autorización de OAuth 2.0 Credenciales de cliente de OAuth 2.0 Credenciales de la contraseña del propietario de recursos de OAuth 2.0 Tokens de autenticación Tokens JWT Cuentas de servicio Certificados de cliente SSL/TLS Tokens de ID de OIDC de Google
Detalles de las tareas de aprobación o suspensión	Parámetros de configuración de aprobación o suspensión

Cuotas de Cloud KMS y Application Integration

Cuando usas CMEK en Application Integration, tus proyectos pueden consumir cuotas de solicitudes criptográficas de Cloud KMS. Por ejemplo, las claves de CMEK pueden consumir estas cuotas para cada llamada de encriptación y desencriptación.

Las operaciones de encriptación y desencriptación con claves CMEK afectan las cuotas de Cloud KMS de las siguientes maneras:

En el caso de las claves CMEK de software generadas en Cloud KMS, no se consume cuota de Cloud KMS.
En el caso de las claves CMEK de hardware, a veces llamadas claves de Cloud HSM, las operaciones de encriptación y desencriptación se descuentan de las cuotas de Cloud HSM en el proyecto que contiene la clave.
Para las claves CMEK externas, a veces llamadas claves de Cloud EKM, las operaciones de encriptación y desencriptación se descuentan de las cuotas de Cloud EKM del proyecto que contiene la clave.

Para obtener más información, consulta Cuotas de Cloud KMS.