Autokey de Cloud KMS simplifica la creación y el uso de claves de encriptado gestionadas por el cliente (CMEKs) automatizando el aprovisionamiento y la asignación. Con Autokey, los conjuntos de claves y las claves se generan bajo demanda. Las cuentas de servicio que usan las claves para cifrar y descifrar recursos se crean y se les asignan roles de gestión de identidades y accesos (IAM) cuando es necesario. Los administradores de Cloud KMS conservan el control y la visibilidad totales de las claves creadas por Autokey, sin necesidad de planificar y crear cada recurso.
Usar claves generadas por Autokey puede ayudarte a cumplir de forma coherente los estándares del sector y las prácticas recomendadas para la seguridad de los datos, como el nivel de protección del HSM, la separación de tareas, la rotación de claves, la ubicación y la especificidad de las claves. Autokey crea claves que siguen tanto las directrices generales como las específicas del tipo de recurso de los Google Cloud servicios Google Cloud que se integran con Autokey de Cloud KMS. Una vez creadas, las claves solicitadas mediante la función Autokey funcionan de forma idéntica a otras claves de HSM en la nube con los mismos ajustes.
Autokey también puede simplificar el uso de Terraform para la gestión de claves, ya que elimina la necesidad de ejecutar la infraestructura como código con privilegios elevados de creación de claves.
Para usar Autokey, debes tener un recurso de organización que contenga un recurso de carpeta. Para obtener más información sobre los recursos de organización y de carpeta, consulta Jerarquía de recursos.
Autokey de Cloud KMS está disponible en todas las Google Cloud ubicaciones en las que se ofrece Cloud HSM. Para obtener más información sobre las ubicaciones de Cloud KMS, consulta Ubicaciones de Cloud KMS. No hay ningún coste adicional por usar Autokey de Cloud KMS. Las claves creadas con Autokey tienen el mismo precio que cualquier otra clave de Cloud HSM. Para obtener más información sobre los precios, consulta la página Precios de Cloud Key Management Service.
Cómo funciona Autokey
En esta sección se explica cómo funciona Autokey de Cloud KMS. En este proceso participan los siguientes roles de usuario:
- Administrador de seguridad
- El administrador de seguridad es un usuario responsable de gestionar la seguridad a nivel de carpeta o de organización.
- Desarrollador de Autokey
- El desarrollador de Autokey es un usuario que se encarga de crear recursos con Autokey de Cloud KMS.
- Administrador de Cloud KMS
- El administrador de Cloud KMS es un usuario responsable de gestionar los recursos de Cloud KMS. Este rol tiene menos responsabilidades cuando se usa Autokey que cuando se usan claves creadas manualmente.
Los siguientes agentes de servicio también participan en este proceso:
- Agente de servicio de Cloud KMS
- El agente de servicio de Cloud KMS en un proyecto de claves determinado. Autokey depende de que este agente de servicio tenga privilegios elevados para crear claves y conjuntos de claves de Cloud KMS, así como para definir la política de IAM en las claves, lo que concede permisos de cifrado y descifrado a cada agente de servicio de recursos.
- Agente de servicio de recursos
- El agente de servicio de un servicio concreto en un proyecto de recurso determinado. Este agente de servicio debe tener permisos de cifrado y descifrado en cualquier clave de Cloud KMS antes de poder usarla para la protección con CMEK de un recurso. Autokey crea el agente de servicio de recursos cuando es necesario y le concede los permisos necesarios para usar la clave de Cloud KMS.
El administrador de seguridad habilita Autokey de Cloud KMS
Para poder usar Autokey, el administrador de seguridad debe completar las siguientes tareas de configuración únicas:
Habilita Autokey de Cloud KMS en una carpeta de recursos e identifica el proyecto de Cloud KMS que contendrá los recursos de Autokey de esa carpeta.
Crea el agente de servicio de Cloud KMS y, a continuación, concédele privilegios de creación y asignación de claves.
Asigna roles de usuario de Autokey a usuarios desarrolladores de Autokey.
Una vez completada esta configuración, los desarrolladores de Autokey pueden activar la creación de claves de Cloud HSM bajo demanda. Para ver las instrucciones de configuración completas de Cloud KMS Autokey, consulta Habilitar Cloud KMS Autokey.
Los desarrolladores de Autokey usan Autokey de Cloud KMS
Una vez que Autokey se haya configurado correctamente, los desarrolladores autorizados podrán crear recursos protegidos mediante las claves que se hayan creado para ellos bajo demanda. Los detalles del proceso de creación de recursos dependen del recurso que estés creando, pero el proceso sigue este flujo:
El desarrollador de Autokey empieza a crear un recurso en unGoogle Cloud servicio compatible. Durante la creación de recursos, el desarrollador solicita una nueva clave al agente del servicio Autokey.
El agente de servicio de Autokey recibe la solicitud del desarrollador y sigue estos pasos:
- Crea un conjunto de claves en el proyecto de claves en la ubicación seleccionada, a menos que ya exista.
- Crea una clave en el conjunto de claves con la granularidad adecuada para el tipo de recurso, a menos que ya exista una.
- Crea la cuenta de servicio por proyecto y por servicio, a menos que ya exista.
- Asigna a la cuenta de servicio por proyecto y por servicio los permisos de cifrado y descifrado de la clave.
- Proporciona los detalles clave al desarrollador para que pueda terminar de crear el recurso.
Una vez que el agente del servicio Autokey haya devuelto los detalles clave correctamente, el desarrollador podrá terminar de crear el recurso protegido inmediatamente.
Cloud KMS Autokey crea claves que tienen los atributos descritos en la sección siguiente. Este flujo de creación de claves mantiene la separación de tareas. El administrador de Cloud KMS sigue teniendo visibilidad y control totales sobre las claves creadas por Autokey.
Para empezar a usar Autokey después de habilitarlo en una carpeta, consulta Crear recursos protegidos con Autokey de Cloud KMS.
Acerca de las claves creadas por Autokey
Las claves creadas por la función Autokey de Cloud KMS tienen los siguientes atributos:
- Nivel de protección: HSM.
- Algoritmo: AES-256 GCM.
Periodo de rotación: un año.
Una vez que Autokey crea una clave, un administrador de Cloud KMS puede editar el periodo de rotación predeterminado.
- Separación de funciones:
- La cuenta de servicio del servicio recibe automáticamente los permisos de cifrado y descifrado de la clave.
- Los permisos de administrador de Cloud KMS se aplican como de costumbre a las claves creadas por Autokey. Los administradores de Cloud KMS pueden ver, actualizar, habilitar o inhabilitar, y destruir las claves creadas por Autokey. Los administradores de Cloud KMS no tienen permisos de cifrado y descifrado.
- Los desarrolladores de Autokey solo pueden solicitar la creación y la asignación de claves. No pueden ver ni gestionar llaves.
- Especificidad o granularidad de la clave: las claves creadas por Autokey tienen una granularidad que varía según el tipo de recurso. Para obtener información específica sobre la granularidad de las claves de cada servicio, consulta la sección Servicios compatibles de esta página.
Ubicación: Autokey crea claves en la misma ubicación que el recurso que se va a proteger.
Si necesitas crear recursos protegidos con CMEK en ubicaciones en las que Cloud HSM no está disponible, debes crear la CMEK manualmente.
- Estado de la versión de la clave: las claves recién creadas que se solicitan mediante Autokey se crean como versión de clave principal en el estado habilitado.
- Nombre del conjunto de claves: todas las claves creadas por Autokey se crean en un conjunto de claves llamado
autokeyen el proyecto Autokey de la ubicación seleccionada. Los conjuntos de claves de tu proyecto Autokey se crean cuando un desarrollador de Autokey solicita la primera clave en una ubicación determinada. - Nombres de las claves: las claves creadas por Autokey siguen esta convención de nomenclatura:
PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX. - Exportación de claves: al igual que todas las claves de Cloud KMS, las claves creadas por Autokey no se pueden exportar.
- Monitorización de claves: al igual que todas las claves de Cloud KMS que se usan en servicios integrados con CMEK compatibles con la monitorización de claves, las claves creadas por Autokey se monitorizan en el panel de control de Cloud KMS.
Obligar a usar Autokey
Si quieres aplicar el uso de Autokey en una carpeta, puedes hacerlo combinando los controles de acceso de gestión de identidades y accesos con las políticas de la organización de CMEK. Para ello, se eliminan los permisos de creación de claves de las entidades que no sean el agente de servicio de Autokey y, a continuación, se requiere que todos los recursos estén protegidos por CMEK mediante el proyecto de claves de Autokey. Para obtener instrucciones detalladas sobre cómo aplicar el uso de Autokey, consulta Aplicar el uso de Autokey.
Servicios compatibles
En la siguiente tabla se enumeran los servicios compatibles con Autokey de Cloud KMS:
| Servicio | Recursos protegidos | Granularidad de las claves |
|---|---|---|
| Artifact Registry |
Autokey crea claves durante la creación del repositorio, que se usan para todos los artefactos almacenados. |
Una clave por recurso |
| BigQuery |
Autokey crea claves predeterminadas para los conjuntos de datos. Las tablas, los modelos, las consultas y las tablas temporales de un conjunto de datos usan la clave predeterminada del conjunto de datos. Autokey no crea claves para recursos de BigQuery que no sean conjuntos de datos. Para proteger los recursos que no forman parte de un conjunto de datos, debes crear tus propias claves predeterminadas a nivel de proyecto o de organización. |
Una clave por recurso |
| Bigtable |
Autokey crea claves para los clústeres. Autokey no crea claves para recursos de Bigtable que no sean clústeres. Bigtable solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o el SDK de Google Cloud. |
Una clave por clúster |
| AlloyDB for PostgreSQL |
AlloyDB para PostgreSQL solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API REST. |
Una clave por recurso |
| Cloud Run |
|
Una clave por recurso |
| Cloud SQL |
Autokey no crea claves para los recursos de Cloud SQL
Cloud SQL solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API REST. |
Una clave por recurso |
| Cloud Storage |
Los objetos de un segmento de almacenamiento usan la clave predeterminada del segmento. Autokey no crea claves para recursos |
Una clave por segmento |
| Compute Engine |
Las copias de seguridad usan la clave del disco del que estás creando una copia de seguridad.
Autokey no crea claves para los recursos de |
Una clave por recurso |
| Pub/Sub |
|
Una clave por recurso |
| Secret Manager |
Secret Manager solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API REST. |
Una clave por ubicación en un proyecto |
| Spanner |
Spanner solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API REST. |
Una clave por recurso |
| Dataflow |
|
Una clave por recurso |
Limitaciones
- La CLI de gcloud no está disponible para los recursos de Autokey.
- Los identificadores de claves no están en Inventario de Recursos de Cloud.
Siguientes pasos
- Para empezar a usar Autokey de Cloud KMS, un administrador de seguridad debe habilitar Autokey de Cloud KMS.
- Para usar Autokey de Cloud KMS después de habilitarlo, un desarrollador puede crear recursos protegidos con CMEK mediante Autokey.
- Consulta las prácticas recomendadas de CMEK.