En esta página se proporciona una lista de servicios de Google Cloud que ofrecen integraciones con Cloud KMS. Estos servicios suelen clasificarse en una de las siguientes categorías:
Una integración de claves de cifrado gestionadas por el cliente (CMEK) te permite cifrar los datos en reposo de ese servicio con una clave de Cloud KMS que te pertenece y que gestionas. Los datos protegidos con una clave CMEK no se pueden descifrar sin acceso a esa clave.
Un servicio compatible con CMEK no almacena datos o solo los almacena durante un breve periodo, como durante el procesamiento por lotes. Estos datos se cifran con una clave efímera que solo existe en la memoria y nunca se escribe en el disco. Cuando ya no se necesitan los datos, la clave efímera se elimina de la memoria y no se puede volver a acceder a los datos. La salida de un servicio compatible con CMEK se puede almacenar en un servicio integrado con CMEK, como Cloud Storage.
Tus aplicaciones pueden usar Cloud KMS de otras formas. Por ejemplo, puedes cifrar directamente los datos de la aplicación antes de transmitirlos o almacenarlos.
Para obtener más información sobre cómo se protegen los datos en reposo y cómo funcionan las claves de cifrado gestionadas por el cliente (CMEK), consulta el artículo Claves de cifrado gestionadas por el cliente (CMEK). Google Cloud
Integraciones de CMEK
En la siguiente tabla se enumeran los servicios que se integran con Cloud KMS. Todos los servicios de esta lista admiten claves de software y hardware (HSM). Los productos que se integran con Cloud KMS cuando se usan claves de Cloud EKM externas se indican en EKM admitido.
| Servicio | Protegido con CMEK | Compatible con EKM | Tema |
|---|---|---|---|
| Agent Assist | Datos en reposo | Sí | Claves de encriptado gestionadas por el cliente (CMEK) |
| Aplicaciones de IA | Datos en reposo | No | Claves de cifrado gestionadas por el cliente |
| AlloyDB for PostgreSQL | Datos escritos en bases de datos | Sí | Usar claves de cifrado gestionadas por el cliente |
| Anti Money Laundering AI | Datos de los recursos de instancias de AML AI | No | Encriptar datos con claves de encriptado gestionadas por el cliente (CMEK) |
| Apigee | Datos en reposo | No | Introducción a las CMEK |
| Hub de APIs de Apigee | Datos en reposo | Sí | Cifrado |
| Application Integration | Datos en reposo | Sí | Usar claves de cifrado gestionadas por el cliente |
| Artifact Registry | Datos de los repositorios | Sí | Habilitar claves de cifrado gestionadas por el cliente |
| Copia de seguridad de GKE | Datos de Copia de seguridad de GKE | Sí | Acerca del cifrado con CMEK de Backup for GKE |
| BigQuery | Datos de BigQuery | Sí | Proteger datos con claves de Cloud KMS |
| Bigtable | Datos en reposo | Sí | Claves de encriptado gestionadas por el cliente (CMEK) |
| Cloud Composer | Datos del entorno | Sí | Usar claves de cifrado gestionadas por el cliente |
| Cloud Data Fusion | Datos del entorno | Sí | Usar claves de cifrado gestionadas por el cliente |
| API de Cloud Healthcare | Conjuntos de datos de la API Cloud Healthcare | Sí | Usar claves de encriptado gestionadas por el cliente (CMEK) |
| Cloud Logging | Datos del router de registros | Sí | Gestionar las claves que protegen los datos de Log Router |
| Cloud Logging | Datos del almacenamiento de Logging | Sí | Gestionar las claves que protegen los datos de almacenamiento de Logging |
| Cloud Run | Imagen de contenedor | Sí | Usar claves de cifrado gestionadas por el cliente con Cloud Run |
| Cloud Run Functions | Datos en Cloud Run Functions | Sí | Usar claves de cifrado gestionadas por el cliente |
| Cloud SQL | Datos escritos en bases de datos | Sí | Usar claves de cifrado gestionadas por el cliente |
| Cloud Storage | Datos de segmentos de almacenamiento | Sí | Usar claves de cifrado gestionadas por el cliente |
| Cloud Tasks | Cuerpo y encabezado de la tarea en reposo | Sí | Usar claves de cifrado gestionadas por el cliente |
| Cloud Workstations | Datos de discos de máquinas virtuales | Sí | Cifrar recursos de estaciones de trabajo |
| Colab Enterprise | Tiempos de ejecución y archivos de cuaderno | No | Usar claves de cifrado gestionadas por el cliente |
| Compute Engine | Discos persistentes | Sí | Proteger recursos con claves de Cloud KMS |
| Compute Engine | Capturas | Sí | Proteger recursos con claves de Cloud KMS |
| Compute Engine | Imágenes personalizadas | Sí | Proteger recursos con claves de Cloud KMS |
| Compute Engine | Imágenes de máquina | Sí | Proteger recursos con claves de Cloud KMS |
| Conversational Insights | Datos en reposo | Sí | Claves de encriptado gestionadas por el cliente (CMEK) |
| Migraciones homogéneas de Database Migration Service | Migraciones de MySQL: datos escritos en bases de datos | Sí | Usar claves de cifrado gestionadas por el cliente (CMEK) |
| Migraciones homogéneas de Database Migration Service | Migraciones de PostgreSQL: datos escritos en bases de datos | Sí | Usar claves de cifrado gestionadas por el cliente (CMEK) |
| Migraciones homogéneas de Database Migration Service | Migraciones de PostgreSQL a AlloyDB: datos escritos en bases de datos | Sí | Información sobre las CMEK |
| Migraciones homogéneas de Database Migration Service | Migraciones de SQL Server: datos escritos en bases de datos | Sí | Información sobre las CMEK |
| Migraciones heterogéneas de Database Migration Service | Datos en reposo de Oracle a PostgreSQL | Sí | Usar claves de cifrado gestionadas por el cliente (CMEK) para migraciones continuas |
| Dataflow | Datos de estado del flujo de procesamiento | Sí | Usar claves de cifrado gestionadas por el cliente |
| Dataform | Datos de los repositorios | Sí | Usar claves de cifrado gestionadas por el cliente |
| Dataplex Universal Catalog | Datos en reposo | Sí | Claves de cifrado gestionadas por el cliente |
| Dataproc | Datos de clústeres de Dataproc en discos de VM | Sí | Claves de cifrado gestionadas por el cliente |
| Dataproc | Datos de Dataproc sin servidor en discos de VM | Sí | Claves de cifrado gestionadas por el cliente |
| Dataproc Metastore | Datos en reposo | Sí | Usar claves de cifrado gestionadas por el cliente |
| Datastream | Datos en tránsito | No | Usar claves de cifrado gestionadas por el cliente (CMEK) |
| Dialogflow CX | Datos en reposo | Sí | Claves de encriptado gestionadas por el cliente (CMEK) |
| Document AI | Datos en reposo y datos en uso | Sí | Claves de encriptado gestionadas por el cliente (CMEK) |
| Eventarc Advanced (vista previa) | Datos en reposo | No | Usar claves de encriptado gestionadas por el cliente (CMEK) |
| Eventarc Standard | Datos en reposo | Sí | Usar claves de encriptado gestionadas por el cliente (CMEK) |
| Filestore | Datos en reposo | Sí | Encriptar datos con claves de encriptado gestionadas por el cliente |
| Firestore | Datos en reposo | Sí | Usar claves de encriptado gestionadas por el cliente (CMEK) |
| Gemini Code Assist | Datos en reposo | No | Encriptar datos con claves de encriptado gestionadas por el cliente |
| Google Agentspace - NotebookLM Enterprise | Datos en reposo | No | Claves de cifrado gestionadas por el cliente |
| Google Agentspace Enterprise | Datos en reposo | No | Claves de cifrado gestionadas por el cliente |
| Google Cloud Managed Service para Apache Kafka | Datos asociados a temas | Sí | Configurar el cifrado de mensajes |
| Google Cloud NetApp Volumes | Datos en reposo | Sí | Crear una política de CMEK |
| Google Distributed Cloud | Datos en nodos perimetrales | Sí | Seguridad del almacenamiento local |
| Google Kubernetes Engine | Datos de discos de máquinas virtuales | Sí | Usar claves de cifrado gestionadas por el cliente (CMEK) |
| Google Kubernetes Engine | Secretos de la capa de aplicación | Sí | Encriptado de secretos de la capa de aplicación |
| Integration Connectors | Datos en reposo | Sí | Métodos de cifrado |
| Looker (servicio principal de Google Cloud) | Datos en reposo | Sí | Habilitar CMEK en Looker (servicio principal de Google Cloud) |
| Memorystore para Redis | Datos en reposo | Sí | Claves de encriptado gestionadas por el cliente (CMEK) |
| Migrate to Virtual Machines | Datos migrados desde fuentes de VMs de VMware, AWS y Azure | Sí | Usar CMEK para cifrar los datos almacenados durante una migración |
| Migrate to Virtual Machines | Datos migrados de fuentes de discos e imágenes de máquina | Sí | Usar CMEK para cifrar datos en discos de destino e imágenes de máquina |
| Gestor de parámetros | Cargas útiles de la versión del parámetro | Sí | Habilitar claves de cifrado gestionadas por el cliente en Gestor de parámetros |
| Pub/Sub | Datos asociados a temas | Sí | Configurar el cifrado de mensajes |
| Secret Manager | Cargas útiles secretas | Sí | Habilitar claves de cifrado gestionadas por el cliente para Secret Manager |
| Secure Source Manager | Instancias | Sí | Encriptar datos con claves de encriptado gestionadas por el cliente |
| Security Command Center | Datos en reposo | No | Habilitar las claves de cifrado gestionadas por el cliente en Security Command Center |
| Spanner | Datos en reposo | Sí | Claves de encriptado gestionadas por el cliente (CMEK) |
| Speaker ID (GA restringido) | Datos en reposo | Sí | Usar claves de encriptado gestionadas por el cliente |
| Speech‑to‑Text | Datos en reposo | Sí | Usar claves de cifrado gestionadas por el cliente |
| Vertex AI | Datos asociados a recursos | Sí | Usar claves de cifrado gestionadas por el cliente |
| Cuadernos gestionados de Vertex AI Workbench (obsoleto) | Datos de usuario en reposo | No | Claves de cifrado gestionadas por el cliente |
| Cuadernos gestionados por el usuario de Vertex AI Workbench (obsoleto) | Datos de discos de máquinas virtuales | No | Claves de cifrado gestionadas por el cliente |
| Instancias de Vertex AI Workbench | Datos de discos de máquinas virtuales | Sí | Claves de cifrado gestionadas por el cliente |
| Flujos de trabajo | Datos en reposo | Sí | Usar claves de encriptado gestionadas por el cliente (CMEK) |
| Workload Manager | Datos de evaluación de tipo de regla personalizada | Sí | Habilitar claves de cifrado gestionadas por el cliente para las evaluaciones |
Servicios compatibles con CMEK
En la siguiente tabla se enumeran los servicios que no usan claves de cifrado gestionadas por el cliente (CMEKs) porque no almacenan datos a largo plazo. Para obtener más información sobre por qué se considera que estos servicios cumplen los requisitos de CMEK, consulta Cumplimiento de CMEK.
| Servicio | Tema |
|---|---|
| API Gateway | Cumplimiento de CMEK en API Gateway |
| Cloud Build | Cumplimiento de CMEK en Cloud Build |
| Container Registry | Usar un segmento de almacenamiento protegido con CMEK |
| Cloud Vision | Cumplimiento de CMEK en la API de Vision |
| Servicio de transferencia de Storage | Claves de cifrado gestionadas por el cliente |
Otras integraciones con Cloud KMS
En estas páginas se explica cómo usar Cloud KMS con otros servicios deGoogle Cloud .
| Producto | Tema |
|---|---|
| Cualquier servicio | Encriptar los datos de la aplicación antes de transmitirlos o almacenarlos |
| Cloud Build | Cifrar recursos antes de añadirlos a una compilación |
| Protección de datos sensibles | Crear una clave encapsulada |