En esta página, se proporciona una lista de los servicios de Google Cloud que ofrecen integraciones con Cloud KMS. Estos servicios generalmente se ubican en una de las siguientes categorías:
Una integración de clave de encriptación administrada por el cliente (CMEK) te permite encriptar los datos en reposo en ese servicio con una clave de Cloud KMS que posees y administras. Los datos protegidos con una clave CMEK no se pueden desencriptar sin acceso a esa clave.
Un servicio compatible con CMEK no almacena los datos o solo lo almacena durante un período corto, como durante el procesamiento por lotes. Esos datos se encriptan mediante una clave efímera que solo existe en la memoria y nunca se escribe en el disco. Cuando los datos ya no se necesitan, la clave efímera se limpia de la memoria y no se puede volver a acceder a los datos. El resultado de un servicio que cumple con CMEK se puede almacenar en un servicio que está integrado con CMEK, como Cloud Storage.
Tus aplicaciones pueden usar Cloud KMS de otras formas. Por ejemplo, puedes encriptar directamente los datos de la aplicación antes de transmitirlos o almacenarlos.
Para obtener más información sobre cómo se protegen los datos en reposo en Google Cloud y cómo funcionan las claves de encriptación administradas por el cliente (CMEK), consulta Claves de encriptación administradas por el cliente (CMEK).
Integraciones de CMEK
En la siguiente tabla, se enumeran los servicios que se integran con Cloud KMS. Todos los servicios de esta lista admiten claves de software y hardware (HSM). Los productos que se integran en Cloud KMS cuando se usan claves externas de Cloud EKM se indican en Compatible con EKM.
| Servicio | Protección con CMEK | Compatible con EKM | Tema |
|---|---|---|---|
| Agent Assist | Datos en reposo | Sí | Claves de encriptación administradas por el cliente (CMEK) |
| Aplicaciones de IA | Datos en reposo | No | Claves de encriptación administradas por el cliente |
| AlloyDB para PostgreSQL | Datos escritos en bases de datos | Sí | Usa claves de encriptación administradas por el cliente |
| IA para prevención del lavado de dinero | Datos en los recursos de instancias de la IA contra lavado de dinero | No | Encripta datos con claves de encriptación administradas por el cliente (CMEK) |
| Apigee | Datos en reposo | No | Introducción a CMEK |
| Concentrador de API de Apigee | Datos en reposo | Sí | Encriptación |
| Application Integration | Datos en reposo | Sí | Usa claves de encriptación administradas por el cliente |
| Artifact Registry | Datos en repositorios | Sí | Habilita claves de encriptación administradas por el cliente |
| Copia de seguridad para GKE | Datos en Copia de seguridad para GKE | Sí | Acerca de la encriptación de CMEK en Copia de seguridad para GKE |
| BigQuery | Datos en BigQuery | Sí | Protege datos con claves de Cloud KMS |
| Bigtable | Datos en reposo | Sí | Claves de encriptación administradas por el cliente (CMEK) |
| Cloud Composer | Datos del entorno | Sí | Usa claves de encriptación administradas por el cliente |
| Cloud Data Fusion | Datos del entorno | Sí | Usa claves de encriptación administradas por el cliente |
| API de Cloud Healthcare | Conjuntos de datos de la API de Cloud Healthcare | Sí | Usa claves de encriptación administradas por el cliente (CMEK) |
| Cloud Logging | Datos en el enrutador de registros | Sí | Administra las claves que protegen los datos del enrutador de registros |
| Cloud Logging | Datos en el almacenamiento de Logging | Sí | Administra las claves que protegen los datos de almacenamiento de Logging |
| Cloud Run | Imagen de contenedor | Sí | Usa claves de encriptación administradas por el cliente con Cloud Run |
| Funciones de Cloud Run | Datos en Cloud Run Functions | Sí | Usa claves de encriptación administradas por el cliente |
| Cloud SQL | Datos escritos en bases de datos | Sí | Usa claves de encriptación administradas por el cliente |
| Cloud Storage | Datos en depósitos de almacenamiento | Sí | Usa claves de encriptación administradas por el cliente |
| Cloud Tasks | Cuerpo y encabezado de la tarea en reposo | Sí | Usar claves de encriptación administradas por el cliente |
| Cloud Workstations | Datos en discos de VM | Sí | Encripta los recursos de la estación de trabajo |
| Colab Enterprise | Entornos de ejecución y archivos de notebook | No | Usar claves de encriptación administradas por el cliente |
| Compute Engine | Discos persistentes | Sí | Protege recursos con las claves de Cloud KMS |
| Compute Engine | Instantáneas | Sí | Protege recursos con las claves de Cloud KMS |
| Compute Engine | Imágenes personalizadas | Sí | Protege recursos con las claves de Cloud KMS |
| Compute Engine | Imágenes de máquina | Sí | Protege recursos con las claves de Cloud KMS |
| Estadísticas de conversación | Datos en reposo | Sí | Claves de encriptación administradas por el cliente (CMEK) |
| Migraciones homogéneas de Database Migration Service | Migraciones de MySQL: datos escritos en bases de datos | Sí | Usa claves de encriptación administradas por el cliente (CMEK) |
| Migraciones homogéneas de Database Migration Service | Migraciones de PostgreSQL: Datos escritos en bases de datos | Sí | Usa claves de encriptación administradas por el cliente (CMEK) |
| Migraciones homogéneas de Database Migration Service | Migraciones de PostgreSQL a AlloyDB: datos escritos en bases de datos | Sí | Acerca de CMEK |
| Migraciones homogéneas de Database Migration Service | Migraciones de SQL Server: Datos escritos en bases de datos | Sí | Acerca de CMEK |
| Migraciones heterogéneas de Database Migration Service | Datos en reposo de Oracle a PostgreSQL | Sí | Usa claves de encriptación administradas por el cliente (CMEK) para las migraciones continuas |
| Dataflow | Datos del estado de la canalización | Sí | Usa claves de encriptación administradas por el cliente |
| Dataform | Datos en repositorios | Sí | Usar claves de encriptación administradas por el cliente |
| Dataplex Universal Catalog | Datos en reposo | Sí | Claves de encriptación administradas por el cliente |
| Dataproc | Datos de clústeres de Dataproc en discos de VM | Sí | Claves de encriptación administradas por el cliente |
| Dataproc | Datos de Dataproc Serverless en discos de VM | Sí | Claves de encriptación administradas por el cliente |
| Dataproc Metastore | Datos en reposo | Sí | Usa claves de encriptación administradas por el cliente |
| Datastream | Datos en tránsito | No | Usa claves de encriptación administradas por el cliente (CMEK) |
| Dialogflow CX | Datos en reposo | Sí | Claves de encriptación administradas por el cliente (CMEK) |
| Document AI | Datos en reposo y datos en uso | Sí | Claves de encriptación administradas por el cliente (CMEK) |
| Eventarc Advanced (vista previa) | Datos en reposo | No | Usa claves de encriptación administradas por el cliente (CMEK) |
| Eventarc Standard | Datos en reposo | Sí | Usa claves de encriptación administradas por el cliente (CMEK) |
| Filestore | Datos en reposo | Sí | Encriptar datos con claves de encriptación administradas por el cliente |
| Firestore | Datos en reposo | Sí | Usa claves de encriptación administradas por el cliente (CMEK) |
| Gemini Code Assist | Datos en reposo | No | Encriptar datos con claves de encriptación administradas por el cliente |
| Google Agentspace: NotebookLM Enterprise | Datos en reposo | No | Claves de encriptación administradas por el cliente |
| Google Agentspace Enterprise | Datos en reposo | No | Claves de encriptación administradas por el cliente |
| Google Cloud Managed Service para Apache Kafka | Datos asociados con temas | Sí | Configura la encriptación de mensajes |
| Google Cloud NetApp Volumes | Datos en reposo | No | Crea una política de CMEK |
| Google Distributed Cloud | Datos en los nodos de Edge | Sí | Seguridad del almacenamiento local |
| Google Kubernetes Engine | Datos en discos de VM | Sí | Usa claves de encriptación administradas por el cliente (CMEK) |
| Google Kubernetes Engine | Secretos de la capa de la aplicación | Sí | Encriptación de Secrets de la capa de la aplicación |
| Conectores de Integration | Datos en reposo | Sí | Métodos de encriptación |
| Looker (Google Cloud Core) | Datos en reposo | Sí | Habilita las CMEK para Looker (Google Cloud Core) |
| Memorystore for Redis | Datos en reposo | Sí | Claves de encriptación administradas por el cliente (CMEK) |
| Migrate to Virtual Machines | Datos migrados desde fuentes de VM de VMware, AWS y Azure | Sí | Usa CMEK para encriptar datos almacenados durante una migración |
| Migrate to Virtual Machines | Datos migrados desde fuentes de imágenes de disco y de máquina | Sí | Usa CMEK para encriptar datos en discos de destino e imágenes de máquina |
| Administrador de parámetros | Cargas útiles de la versión del parámetro | Sí | Habilita las claves de encriptación administradas por el cliente para Parameter Manager |
| Pub/Sub | Datos asociados con temas | Sí | Configurar la encriptación de mensajes |
| Secret Manager | Cargas útiles de Secret | Sí | Habilita las claves de encriptación administradas por el cliente para Secret Manager |
| Secure Source Manager | Instancias | Sí | Encriptar datos con claves de encriptación administradas por el cliente |
| Spanner | Datos en reposo | Sí | Claves de encriptación administradas por el cliente (CMEK) |
| Speaker ID (disponibilidad general restringida) | Datos en reposo | Sí | Usa claves de encriptación administradas por el cliente |
| Speech‑to‑Text | Datos en reposo | Sí | Usa claves de encriptación administradas por el cliente |
| Vertex AI | Datos asociados con los recursos | Sí | Usa claves de encriptación administradas por el cliente |
| Notebooks administrados de Vertex AI Workbench | Datos del usuario en reposo | No | Claves de encriptación administradas por el cliente |
| Notebooks administrados por el usuario de Vertex AI Workbench | Datos en discos de VM | No | Claves de encriptación administradas por el cliente |
| Instancias de Vertex AI Workbench | Datos en discos de VM | Sí | Claves de encriptación administradas por el cliente |
| Workflows | Datos en reposo | Sí | Usa claves de encriptación administradas por el cliente (CMEK) |
Servicios compatibles con CMEK
En la siguiente tabla, se enumeran los servicios que no usan claves de encriptación administradas por el cliente (CMEK) porque no almacenan datos a largo plazo. Para obtener más información sobre por qué estos servicios se consideran compatibles con CMEK, consulta Cumplimiento de CMEK.
| Servicio | Tema |
|---|---|
| API Gateway | Cumplimiento de CMEK en API Gateway |
| Cloud Build | Cumplimiento de CMEK en Cloud Build |
| Container Registry | Usa un depósito de almacenamiento protegido con CMEK |
| Cloud Vision | Cumplimiento de CMEK en la API de Vision |
| Servicio de transferencia de almacenamiento | Claves de encriptación administradas por el cliente |
Otras integraciones en Cloud KMS
En estas páginas, se analizan otras formas de usar Cloud KMS con otros servicios deGoogle Cloud .
| Producto | Tema |
|---|---|
| Cualquier servicio | Encripta datos de aplicación antes de transmitirlos o almacenarlos |
| Cloud Build | Encripta recursos antes de agregarlos a una compilación |
| Protección de datos sensibles | Crea una clave envuelta |