Cloud KMS Autokey simplifica la creación y el uso de claves de encriptación administradas por el cliente (CMEK) a través de la automatización del aprovisionamiento y la asignación. Con Autokey, los llaveros de claves y las claves se generan a pedido. Las cuentas de servicio que usan las claves para encriptar y desencriptar recursos se crean y se les otorgan roles de Identity and Access Management (IAM) cuando es necesario. Los administradores de Cloud KMS conservan el control y la visibilidad completos de las claves creadas por Autokey, sin necesidad de planificar y crear cada recurso por adelantado.
El uso de claves generadas por Autokey puede ayudarte a alinearte de manera coherente con los estándares de la industria y las prácticas recomendadas para la seguridad de los datos, incluido el nivel de protección de HSM, la separación de obligaciones, la rotación de claves, la ubicación y la especificidad de las claves. Autokey crea claves que siguen los lineamientos generales y los lineamientos específicos del tipo de recurso para los servicios de Google Cloud que se integran con Cloud KMS Autokey. Después de crearse, las claves solicitadas con la función Autokey funcionan de forma idéntica a otras claves de Cloud HSM con la misma configuración.
Autokey también puede simplificar el uso de Terraform para la administración de claves, ya que elimina la necesidad de ejecutar infraestructura como código con privilegios elevados de creación de claves.
Para usar Autokey, debes tener un recurso de organización que contenga un recurso de carpeta. Para obtener más información sobre los recursos de organización y carpeta, consulta Jerarquía de recursos.
La función Autokey de Cloud KMS está disponible en todas las ubicaciones de Google Cloud donde está disponible Cloud HSM. Para obtener más información sobre las ubicaciones de Cloud KMS, consulta Ubicaciones de Cloud KMS. No hay costos adicionales por usar Cloud KMS Autokey. Las claves creadas con Autokey tienen el mismo precio que cualquier otra clave de Cloud HSM. Para obtener más información sobre los precios, consulta los precios de Cloud Key Management Service.
Cómo funciona Autokey
En esta sección, se explica cómo funciona Cloud KMS Autokey. En este proceso, participan los siguientes roles de usuario:
- Administrador de seguridad
- El administrador de seguridad es un usuario responsable de administrar la seguridad a nivel de la carpeta o la organización.
- Desarrollador de Autokey
- El desarrollador de Autokey es un usuario responsable de crear recursos con la clave automática de Cloud KMS.
- Administrador de Cloud KMS
- El administrador de Cloud KMS es un usuario responsable de administrar los recursos de Cloud KMS. Este rol tiene menos responsabilidades cuando se usa Autokey que cuando se usan claves creadas manualmente.
Los siguientes agentes de servicio también participan en este proceso:
- Agente de servicio de Cloud KMS
- Es el agente de servicio de Cloud KMS en un proyecto de claves determinado. Autokey depende de que este agente de servicio tenga privilegios elevados para crear claves y llaveros de claves de Cloud KMS, y para establecer la política de IAM en las claves, lo que otorga permisos de encriptación y desencriptación para cada agente de servicio de recursos.
- Agente de servicio de recursos
- Es el agente de servicio de un servicio determinado en un proyecto de recursos determinado. Este agente de servicio debe tener permisos de encriptación y desencriptación en cualquier clave de Cloud KMS antes de poder usarla para la protección con CMEK en un recurso. Autokey crea el agente de servicio de recursos cuando es necesario y le otorga los permisos necesarios para usar la clave de Cloud KMS.
El administrador de seguridad habilita Autokey de Cloud KMS
Antes de que puedas usar Autokey, el administrador de seguridad debe completar las siguientes tareas de configuración únicas:
Habilita Autokey de Cloud KMS en una carpeta de recursos y, luego, identifica el proyecto de Cloud KMS que contendrá los recursos de Autokey para esa carpeta.
Crea el agente de servicio de Cloud KMS y, luego, otórgale privilegios de creación y asignación de claves.
Otorga roles de usuario de Autokey a los usuarios desarrolladores de Autokey.
Una vez completada esta configuración, los desarrolladores de Autokey ahora pueden activar la creación de claves de Cloud HSM a pedido. Para ver las instrucciones de configuración completas de Cloud KMS Autokey, consulta Habilita Cloud KMS Autokey.
Los desarrolladores de Autokey usan Autokey de Cloud KMS
Una vez que se configura correctamente la Autokey, los desarrolladores autorizados pueden crear recursos protegidos con las claves que se crearon para ellos a pedido. Los detalles del proceso de creación de recursos dependen del recurso que crees, pero el proceso sigue este flujo:
El desarrollador de Autokey comienza a crear un recurso en un servicio deGoogle Cloud compatible. Durante la creación de recursos, el desarrollador solicita una clave nueva al agente de servicio de Autokey.
El agente de servicio de Autokey recibe la solicitud del desarrollador y completa los siguientes pasos:
- Crea un llavero de claves en el proyecto de clave en la ubicación seleccionada, a menos que ese llavero de claves ya exista.
- Crea una clave en el llavero de claves con la granularidad adecuada para el tipo de recurso, a menos que ya exista una clave de ese tipo.
- Crea la cuenta de servicio por proyecto y por servicio, a menos que ya exista.
- Otorga permisos de encriptación y desencriptación a la cuenta de servicio por proyecto y por servicio en la clave.
- Proporciona los detalles clave al desarrollador para que pueda terminar de crear el recurso.
Con los detalles de la clave que devolvió correctamente el agente del servicio de Autokey, el desarrollador puede terminar de inmediato la creación del recurso protegido.
Cloud KMS Autokey crea claves que tienen los atributos que se describen en la siguiente sección. Este flujo de creación de claves preserva la separación de obligaciones. El administrador de Cloud KMS sigue teniendo visibilidad y control totales sobre las claves creadas por Autokey.
Para comenzar a usar Autokey después de habilitarla en una carpeta, consulta Crea recursos protegidos con la clave automática de Cloud KMS.
Acerca de las claves creadas por Autokey
Las claves creadas por Autokey de Cloud KMS tienen los siguientes atributos:
- Nivel de protección: HSM.
- Algoritmo: AES-256 GCM.
Período de rotación: Un año
Después de que Autokey crea una clave, un administrador de Cloud KMS puede editar el período de rotación predeterminado.
- Separación de obligaciones:
- A la cuenta de servicio del servicio se le otorgan automáticamente permisos de encriptación y desencriptación en la clave.
- Los permisos de administrador de Cloud KMS se aplican como de costumbre a las claves creadas por Autokey. Los administradores de Cloud KMS pueden ver, actualizar, habilitar o inhabilitar, y destruir las claves creadas por Autokey. Los administradores de Cloud KMS no reciben permisos de encriptación y desencriptación.
- Los desarrolladores de Autokey solo pueden solicitar la creación y la asignación de claves. No pueden ver ni administrar llaves.
- Especificidad o granularidad de la clave: Las claves creadas por Autokey tienen una granularidad que varía según el tipo de recurso. Para obtener detalles específicos del servicio sobre la granularidad de las claves, consulta Servicios compatibles en esta página.
Ubicación: Autokey crea claves en la misma ubicación que el recurso que se protegerá.
Si necesitas crear recursos protegidos por CMEK en ubicaciones donde Cloud HSM no está disponible, debes crear tu CMEK de forma manual.
- Estado de la versión de clave: Las claves creadas recientemente que se solicitan con Autokey se crean como la versión de clave primaria en el estado habilitado.
- Nombres de llaveros de claves: Todas las claves creadas por Autokey se crean en un llavero de claves llamado
autokeyen el proyecto de Autokey en la ubicación seleccionada. Los llaveros de claves en tu proyecto de Autokey se crean cuando un desarrollador de Autokey solicita la primera clave en una ubicación determinada. - Nombres de las claves: Las claves creadas por Autokey siguen esta convención de nomenclatura:
PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX - Exportación de claves: Al igual que todas las claves de Cloud KMS, las claves creadas por Autokey no se pueden exportar.
- Seguimiento de claves: Al igual que todas las claves de Cloud KMS que se usan en los servicios integrados en CMEK que son compatibles con el seguimiento de claves, las claves creadas por Autokey se rastrean en el panel de Cloud KMS.
Aplicación de Autokey
Si deseas aplicar el uso de Autokey dentro de una carpeta, puedes hacerlo combinando los controles de acceso de IAM con las políticas de la organización de CMEK. Esto funciona quitando los permisos de creación de claves de las entidades principales que no sean el agente de servicio de Autokey y, luego, exigiendo que todos los recursos estén protegidos por la CMEK con el proyecto de claves de Autokey. Para obtener instrucciones detalladas para aplicar el uso de la clave automática, consulta Cómo aplicar el uso de la clave automática.
Servicios compatibles
En la siguiente tabla, se enumeran los servicios que son compatibles con la función Autokey de Cloud KMS:
| Servicio | Recursos protegidos | Nivel de detalle de la clave |
|---|---|---|
| Artifact Registry |
Autokey crea claves durante la creación del repositorio, que se usan para todos los artefactos almacenados. |
Una clave por recurso |
| BigQuery |
Autokey crea claves predeterminadas para los conjuntos de datos. Las tablas, los modelos, las consultas y las tablas temporales dentro de un conjunto de datos usan la clave predeterminada del conjunto de datos. Autokey no crea claves para los recursos de BigQuery, excepto para los conjuntos de datos. Para proteger los recursos que no forman parte de un conjunto de datos, debes crear tus propias claves predeterminadas a nivel del proyecto o de la organización. |
Una clave por recurso |
| Bigtable |
Autokey crea claves para clústeres. Autokey no crea claves para los recursos de Bigtable, excepto para los clústeres. Bigtable solo es compatible con la clave automática de Cloud KMS cuando se crean recursos con Terraform o el SDK de Google Cloud. |
Una clave por clúster |
| AlloyDB para PostgreSQL |
AlloyDB para PostgreSQL solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API de REST. |
Una clave por recurso |
| Cloud Run |
|
Una clave por recurso |
| Cloud SQL |
Autokey no crea claves para los recursos de Cloud SQL Cloud SQL solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API de REST. |
Una clave por recurso |
| Cloud Storage |
Los objetos dentro de un
bucket de almacenamiento usan la clave predeterminada del bucket. Autokey no crea claves para los recursos |
Una clave por bucket |
| Compute Engine |
Las instantáneas usan la clave del disco del que creas una instantánea.
Autokey no crea claves para los recursos de |
Una clave por recurso |
| Pub/Sub |
|
Una clave por recurso |
| Secret Manager |
Secret Manager solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API de REST. |
Una clave por ubicación dentro de un proyecto |
| Spanner |
Spanner solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API de REST. |
Una clave por recurso |
| Dataflow |
|
Una clave por recurso |
Limitaciones
- Gcloud CLI no está disponible para los recursos de Autokey.
- Los identificadores de claves no se encuentran en Cloud Asset Inventory.
¿Qué sigue?
- Para comenzar a usar Cloud KMS Autokey, un administrador de seguridad debe habilitar Cloud KMS Autokey.
- Para usar la clave automática de Cloud KMS después de que se haya habilitado, un desarrollador puede crear recursos protegidos con CMEK usando la clave automática.
- Obtén más información sobre las prácticas recomendadas para usar CMEK.