Se usó la API de Cloud Translation para traducir esta página.

Descripción general de Cloud Key Management Service

Cloud Key Management Service (Cloud KMS) te permite crear y administrar claves criptográficas para usarlas en servicios Google Cloud compatibles y en tus propias aplicaciones. Con Cloud KMS, puedes hacer lo siguiente:

Genera claves de software o hardware, importa claves existentes a Cloud KMS o vincula claves externas en tu sistema de administración de claves externas (EKM) compatible.
Genera claves de Cloud HSM y úsalas con Cloud HSM para Google Workspace para habilitar la encriptación del cliente (CSE) en Google Workspace.
Usar claves de encriptación administradas por el cliente (CMEK) en productos con integración de CMEK Google CloudLas integraciones de CMEK usan tus claves de Cloud KMS para encriptar o "unir" tus claves de encriptación de datos (DEK). El proceso de unir las DEK con claves de encriptación de claves (KEK) se denomina encriptación de sobre.
Usa Cloud KMS Autokey para automatizar el aprovisionamiento y la asignación. Con Autokey, no necesitas aprovisionar llaveros de claves, claves y cuentas de servicio con anticipación. En cambio, se generan a pedido como parte de la creación de recursos.
Usar claves de Cloud KMS para operaciones de encriptación y desencriptación Por ejemplo, puedes usar la API o las bibliotecas cliente de Cloud KMS para usar tus claves de Cloud KMS para la encriptación del cliente.
Usar claves de Cloud KMS para crear o verificar firmas digitales o firmas de código de autenticación de mensajes (MAC)

Elige la encriptación adecuada para tus necesidades

Puedes usar la siguiente tabla para identificar qué tipo de encriptación satisface tus necesidades para cada caso de uso. La mejor solución para tus necesidades podría incluir una combinación de enfoques de encriptación. Por ejemplo, puedes usar claves de software para tus datos menos sensibles y claves externas o de hardware para tus datos más sensibles. Para obtener más información sobre las opciones de encriptación que se describen en esta sección, consulta Protección de datos en Google Cloud en esta página.

Tipo de encriptación	Costo	Servicios compatibles	Funciones
Google-owned and Google-managed encryption keys (Google Cloud cifrado predeterminado)	Incluido	Todos los Google Cloud servicios que almacenan datos del cliente	No se requiere configuración. Encripta automáticamente los datos del cliente guardados en cualquier servicio de Google Cloud . La mayoría de los servicios rotan las claves automáticamente. Admite la encriptación con AES-256. Validación con FIPS 140-2 nivel 1.
Claves de encriptación administradas por el cliente: Software (claves de Cloud KMS)	USD 0.06 por versión de clave	Más de 40 servicios	Controlas el programa de rotación automática de claves, los roles y permisos de IAM, y puedes habilitar, inhabilitar o destruir versiones de claves. Admite claves simétricas y asimétricas para la encriptación y la desencriptación. Rota automáticamente las claves simétricas. Admite varios algoritmos comunes. Validación con FIPS 140-2 nivel 1. Las claves son exclusivas de un cliente.
Claves de encriptación administradas por el cliente: hardware (claves de Cloud HSM)	De USD 1.00 a USD 2.50 por versión de clave por mes	Más de 40 servicios	Se puede administrar de forma opcional a través de Cloud KMS Autokey. Controlas el programa de rotación automática de claves, los roles y permisos de IAM, y puedes habilitar, inhabilitar o destruir versiones de claves. Admite claves simétricas y asimétricas para la encriptación y la desencriptación. Rota automáticamente las claves simétricas. Admite varios algoritmos comunes. Validación con FIPS 140-2 nivel 3. Las claves son exclusivas de un cliente.
Claves de encriptación administradas por el cliente: externas (claves de Cloud EKM)	USD 3.00 por versión de clave al mes	Más de 30 servicios	Controlas los roles y permisos de IAM, y puedes habilitar, inhabilitar o destruir versiones de claves. Las claves nunca se envían a Google. El material de la clave reside en un proveedor externo de administración de claves (EKM) compatible. Los servicios Google Cloud compatibles se conectan a tu proveedor de EKM a través de Internet o una nube privada virtual (VPC). Admite claves simétricas para la encriptación y la desencriptación. Rota tus claves manualmente en coordinación con Cloud EKM y tu proveedor de EKM. Validado según el nivel 2 o el nivel 3 del estándar FIPS 140-2, según el EKM Las claves son exclusivas de un cliente.
Encriptación del cliente con claves de Cloud KMS	El costo de las versiones de claves activas depende del nivel de protección de la clave.	Usar bibliotecas cliente en tus aplicaciones	Controlas el programa de rotación automática de claves, los roles y permisos de IAM, y puedes habilitar, inhabilitar o destruir versiones de claves. Admite claves simétricas y asimétricas para la encriptación, la desencriptación, la firma y la validación de firmas. La funcionalidad varía según el nivel de protección de la llave.
Cloud HSM para Google Workspace	Tarifa mensual fija para cada instancia, más el costo de las versiones de claves activas y las operaciones criptográficas.	Usa claves de Cloud HSM para la encriptación del cliente en Google Workspace	Controlas el programa de rotación automática de claves, los roles y permisos de IAM, y puedes habilitar, inhabilitar o destruir versiones de claves. Usa claves simétricas para la encriptación y desencriptación.
Claves de encriptación proporcionadas por el cliente	Es posible que aumenten los costos asociados con Compute Engine o Cloud Storage.	Compute Engine Cloud Storage	Proporcionas materiales clave cuando es necesario. El material de la clave reside en la memoria. Google no almacena tus claves de forma permanente en nuestros servidores.
Confidential Computing	Costo adicional por cada VM confidencial; podría aumentar el uso de registros y los costos asociados	Compute Engine GKE Dataproc	Proporciona encriptación en uso para las VMs que controlan datos o cargas de trabajo sensibles. Google no puede acceder a las claves.

Protección de datos en Google Cloud

Google-owned and Google-managed encryption keys (Google Cloud encriptación predeterminada)

De forma predeterminada, los datos en reposo en Google Cloud están protegidos por claves en Keystore,el servicio interno de administración de claves de Google Cloud. Google Cloudadministra automáticamente las claves del almacén de claves, por lo que no es necesario que realices ninguna configuración. La mayoría de los servicios rotan las claves automáticamente por ti. Keystore admite una versión de clave primaria y una cantidad limitada de versiones de clave anteriores. La versión de clave primaria se usa para encriptar las claves de encriptación de datos nuevas. Las versiones de clave anteriores aún se pueden usar para desencriptar las claves de encriptación de datos existentes. No puedes ver ni administrar estas claves, ni revisar los registros de uso de las claves. Los datos de varios clientes pueden usar la misma clave de encriptación de claves.

Esta encriptación predeterminada usa módulos criptográficos que se validan para cumplir con el nivel 1 de FIPS 140-2.

Claves de encriptación administradas por el cliente (CMEK)

Las claves de Cloud KMS que se usan para proteger tus recursos en los servicios integrados en CMEK son claves de encriptación administradas por el cliente (CMEK). Puedes ser propietario de las CMEK y controlarlas, y delegar las tareas de creación y asignación de claves en Autokey de Cloud KMS. Para obtener más información sobre la automatización del aprovisionamiento de CMEK, consulta Cloud Key Management Service con Autokey.

Puedes usar tus claves de Cloud KMS en servicios compatibles para ayudarte a alcanzar los siguientes objetivos:

Tus claves de encriptación son tuyas.
Controla y administra tus claves de encriptación, lo que incluye la elección de la ubicación, el nivel de protección, la creación, el control de acceso, la rotación, el uso y la destrucción.
Borra de forma selectiva los datos protegidos por tus claves en caso de baja o para corregir eventos de seguridad (destrucción criptográfica).
Crea claves dedicadas de un solo arrendatario que establezcan un límite criptográfico alrededor de tus datos.
Registra el acceso administrativo y a los datos a las claves de encriptación.
Cumplir con las reglamentaciones actuales o futuras que requieran cualquiera de estos objetivos

Cuando usas claves de Cloud KMS con servicios integrados en CMEK, puedes usar políticas de la organización para garantizar que las CMEK se usen según lo especificado en las políticas. Por ejemplo, puedes establecer una política de la organización que garantice que tus recursos Google Cloud compatibles usen tus claves de Cloud KMS para la encriptación. Las políticas de la organización también pueden especificar en qué proyecto deben residir los recursos clave.

Las funciones y el nivel de protección que se proporcionan dependen del nivel de protección de la clave:

Claves de software: Puedes generar claves de software en Cloud KMS y usarlas en todas las ubicaciones de Google Cloud . Puedes crear claves simétricas con rotación automática o claves asimétricas con rotación manual. Las claves de software administradas por el cliente usan módulos de criptografía de software validados por el nivel 1 del estándar FIPS 140-2. También tienes control sobre el período de rotación, los roles y permisos de Identity and Access Management (IAM), y las políticas de la organización que rigen tus claves. Puedes usar tus claves de software con muchos recursos Google Cloud compatibles.
Claves de software importadas: Puedes importar claves de software que creaste en otro lugar para usarlas en Cloud KMS. Puedes importar versiones de clave nuevas para rotar manualmente las claves importadas. Puedes usar roles y permisos de IAM, y políticas de la organización para controlar el uso de las claves importadas.
Claves de hardware y Cloud HSM: Puedes generar claves de hardware en un clúster de módulos de seguridad de hardware (HSM) que cumplan con el nivel 3 del estándar FIPS 140-2. Tienes control sobre el período de rotación, los roles y permisos de IAM, y las políticas de la organización que rigen tus claves. Cuando creas claves de HSM con Cloud HSM, Google Cloudadministra los clústeres de HSM para que no tengas que hacerlo tú. Puedes usar tus claves de HSM con muchos recursos compatibles Google Cloud, los mismos servicios que admiten claves de software. Para obtener el nivel más alto de cumplimiento de seguridad, usa llaves de hardware.
Claves externas y Cloud EKM: Puedes usar claves que residen en un administrador de claves externo (EKM). Cloud EKM te permite usar claves almacenadas en un administrador de claves compatible para proteger tusGoogle Cloud recursos. Puedes conectarte a tu EKM a través de Internet o de una nube privada virtual (VPC). Algunos Google Cloud servicios que admiten claves de Cloud KMS no admiten claves de Cloud EKM.

Para obtener más información sobre qué ubicaciones de Cloud KMS admiten qué niveles de protección, consulta Ubicaciones de Cloud KMS.

Claves de Cloud KMS

Puedes usar tus claves de Cloud KMS en aplicaciones personalizadas con las bibliotecas cliente de Cloud KMS o la API de Cloud KMS. Las bibliotecas cliente y la API te permiten encriptar y desencriptar datos, firmar datos y validar firmas.

Claves de Cloud HSM

Puedes usar tus claves de Cloud HSM en Cloud HSM para Google Workspace para administrar las claves que se usan para la encriptación del cliente (CSE) en Google Workspace. Puedes incorporar Cloud HSM a Google Workspace.

Claves de encriptación proporcionadas por el cliente (CSEK)

Cloud Storage y Compute Engine pueden usar claves de encriptación proporcionadas por el cliente (CSEK). Con las claves de encriptación proporcionadas por el cliente, almacenas el material de clave y lo proporcionas a Cloud Storage o Compute Engine cuando sea necesario. Google Cloud no almacena tus CSEK de ninguna manera.

Confidential Computing

En Compute Engine, GKE y Dataproc, puedes usar la plataforma de Confidential Computing para encriptar tus datos en uso. Confidential Computing garantiza que tus datos permanezcan privados y encriptados incluso mientras se procesan.