Claves de encriptación administradas por el cliente
De forma predeterminada, Integration Connectors encripta el contenido del cliente en reposo. Integration Connectors controla la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina Encriptación predeterminada de Google.
Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluidos los Integration Connectors. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.
Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos de Integration Connectors es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).
Antes de comenzar
Antes de usar la CMEK para Integration Connectors, asegúrate de que se hayan completado las siguientes tareas:
- Habilita la API de Cloud KMS para el proyecto que almacenará tus claves de encriptación.
- Asigna el rol de IAM Administrador de Cloud KMS o otorga los siguientes permisos de IAM para el proyecto que almacenará tus claves de encriptación:
cloudkms.cryptoKeys.setIamPolicycloudkms.keyRings.createcloudkms.cryptoKeys.create
Para obtener información sobre cómo otorgar roles o permisos adicionales, consulta Cómo otorgar, cambiar y revocar el acceso a los recursos.
- Crea un llavero de claves y una clave.
Agrega una cuenta de servicio a la clave de CMEK
Para usar una clave de CMEK en Integration Connectors, debes asegurarte de que tu cuenta de servicio predeterminada (con el formato service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com) se haya agregado y se le haya asignado el rol de IAM Encriptador/Desencriptador de CryptoKey para esa clave de CMEK.
- En la consola de Google Cloud , ve a la página Inventario de claves.
- Selecciona la casilla de verificación de la clave CMEK deseada.
La pestaña Permisos en el panel de la ventana derecha estará disponible.
- Haz clic en Agregar principal y, luego, ingresa la dirección de correo electrónico de la cuenta de servicio predeterminada.
- Haz clic en Seleccionar un rol y selecciona el rol de Encriptador/desencriptador de CryptoKey de Cloud KMS en la lista desplegable disponible.
- Haz clic en Guardar.
Habilita la encriptación con CMEK para una región existente de Integration Connectors
Puedes usar CMEK para encriptar y desencriptar los datos admitidos almacenados en una región (también denominada ubicación). Para habilitar el encriptado con CMEK en una región existente de Integration Connectors, sigue estos pasos:
- En la consola de Google Cloud , ve a la página Integration Connectors > Connections.
Ve a la página Todas las conexiones.
- Filtra las conexiones para la ubicación requerida.
Obtendrás una lista de todas las conexiones para la ubicación (región) especificada.
- Suspende todas las conexiones en la región.
- Ve a la página Integration Connectors > Regions. En esta sección, se enumeran todas las regiones en las que está disponible Integration Connectors.
- En la región en la que deseas habilitar la CMEK, haz clic en Editar encriptación en el menú Acciones. Se mostrará el panel Editar encriptación.
- Selecciona Clave de encriptación administrada por el cliente (CMEK) y, luego, selecciona la clave requerida en la lista desplegable Clave administrada por el cliente.
Es posible que se te solicite que otorgues el rol
cloudkms.cryptoKeyEncrypterDecryptera la cuenta de servicio. Haz clic en Otorgar. - Haz clic en Listo.
Habilita la encriptación con CMEK para una nueva región de Integration Connectors
Puedes usar CMEK para encriptar y desencriptar los datos admitidos almacenados en una región (también conocida como ubicación). Para habilitar el encriptado con CMEK en una región nueva de Integration Connectors, sigue estos pasos:
- En la consola de Google Cloud , ve a la página Integration Connectors > Regions.
- Haz clic en Aprovisionar región nueva. Se mostrará la página de creación de regiones.
- Selecciona la región requerida en la lista desplegable Región.
- En la sección Configuración avanzada, selecciona Clave de encriptación administrada por el cliente (CMEK) y, luego, selecciona la clave requerida en la lista desplegable Clave administrada por el cliente.
Es posible que se te solicite que otorgues el rol
cloudkms.cryptoKeyEncrypterDecryptera la cuenta de servicio. Haz clic en Otorgar. - Haz clic en Listo.
Cuotas de Cloud KMS y Integration Connectors
Cuando usas CMEK en Integration Connectors, tus proyectos pueden consumir cuotas de solicitudes criptográficas de Cloud KMS. Por ejemplo, las claves de CMEK pueden consumir estas cuotas para cada llamada de encriptación y desencriptación.
Las operaciones de encriptación y desencriptación con claves CMEK afectan las cuotas de Cloud KMS de las siguientes maneras:
- En el caso de las claves CMEK de software generadas en Cloud KMS, no se consume cuota de Cloud KMS.
- En el caso de las claves CMEK de hardware, a veces llamadas claves de Cloud HSM, las operaciones de encriptación y desencriptación se descuentan de las cuotas de Cloud HSM en el proyecto que contiene la clave.
- Para las claves CMEK externas, a veces llamadas claves de Cloud EKM, las operaciones de encriptación y desencriptación se descuentan de las cuotas de Cloud EKM del proyecto que contiene la clave.
Para obtener más información, consulta Cuotas de Cloud KMS.