Cloud External Key Manager

En esta página se ofrece una descripción general de Cloud External Key Manager (Cloud EKM).

Terminología

• Gestor de claves externas (EKM)

  El gestor de claves que se usa fuera de Google Cloud para gestionar tus claves.

• Cloud External Key Manager (Cloud EKM)

  Un Google Cloud servicio para usar tus claves externas que se gestionan en un EKM compatible.

• Cloud EKM a través de Internet

  Una versión de Cloud EKM en la que Google Cloud se comunica con tu gestor de claves externo a través de Internet.

• Cloud EKM a través de una VPC

  Una versión de Cloud EKM en la que Google Cloud se comunica con tu gestor de claves externo a través de una nube privada virtual (VPC). Para obtener más información, consulta la descripción general de las redes de VPC.

• Gestión de claves de EKM desde Cloud KMS

  Cuando usas Cloud EKM a través de una VPC con un partner de gestión de claves externo que admite el plano de control de Cloud EKM, puedes usar el modo de gestión de EKM de Cloud KMS para simplificar el proceso de mantenimiento de claves externas en tu partner de gestión de claves externo y en Cloud EKM. Para obtener más información, consulta las secciones Claves externas coordinadas y Gestión de claves de EKM desde Cloud KMS de esta página.

• Espacio criptográfico

  Un contenedor de tus recursos en tu partner de gestión de claves externo. Tu espacio de criptomonedas se identifica con una ruta única. El formato de la ruta del espacio criptográfico varía según el partner de gestión de claves externas. Por ejemplo, v0/cryptospaces/YOUR_UNIQUE_PATH.

• Gestión de claves externa por parte del partner

  Acuerdo en el que un partner de confianza gestiona tu EKM. Para obtener más información, consulte la sección Gestión de claves externas por parte del partner de esta página.

• Justificaciones de Acceso a Claves

  Cuando usas Cloud EKM con Justificaciones de Acceso a Claves, cada solicitud a tu partner de gestión de claves externo incluye un campo que identifica el motivo de cada solicitud. Puedes configurar tu partner de gestión de claves externo para que permita o rechace solicitudes en función del código de Key Access Justifications proporcionado. Para obtener más información sobre las justificaciones de acceso a claves, consulta Descripción general de las justificaciones de acceso a claves.

Información general

Con Cloud EKM, puedes usar las claves que gestionas en un partner de gestión de claves externo admitido para proteger los datos enGoogle Cloud. Puedes proteger los datos en reposo en los servicios de integración de CMEK compatibles o llamando directamente a la API de Cloud Key Management Service.

Cloud EKM ofrece varias ventajas:

• Procedencia de las claves: tú controlas la ubicación y la distribución de tus claves gestionadas externamente. Las claves gestionadas de forma externa nunca se almacenan en caché ni se guardan en Google Cloud. En su lugar, Cloud EKM se comunica directamente con el partner de gestión de claves externo para cada solicitud.

• Control de acceso: gestionas el acceso a tus claves gestionadas de forma externa en tu gestor de claves externo. No puedes usar una clave gestionada de forma externa en Google Cloud sin haber concedido primero al proyecto Google Cloud acceso a la clave en tu gestor de claves externo. Puedes revocar este acceso en cualquier momento.

• Gestión de claves centralizada: puedes gestionar tus claves y políticas de acceso desde una única interfaz de usuario, independientemente de si los datos que protegen residen en la nube o en tus instalaciones.

En todos los casos, la clave se encuentra en el sistema externo y nunca se envía a Google.

Puedes comunicarte con tu gestor de claves externo a través de Internet o a través de una nube privada virtual (VPC).

Cómo funciona Cloud EKM

Las versiones de claves de Cloud EKM constan de las siguientes partes:

• Material de clave externa: el material de clave externa de una clave de Cloud EKM es material criptográfico creado y almacenado en tu EKM. Este material no sale de tu EKM y nunca se comparte con Google.
• Referencia de clave: cada versión de clave de Cloud EKM contiene un URI de clave o una ruta de clave. Es un identificador único del material de clave externa que usa Cloud EKM al solicitar operaciones criptográficas con la clave.
• Material de claves interno: cuando se crea una clave de Cloud EKM simétrica, Cloud KMS crea material de claves adicional en Cloud KMS, que nunca sale de Cloud KMS. Este material de clave se usa como una capa adicional de cifrado al comunicarse con tu EKM. Este material de clave interno no se aplica a las claves de firma asimétricas.

Para usar tus claves de Cloud EKM, Cloud EKM envía solicitudes de operaciones criptográficas a tu EKM. Por ejemplo, para cifrar datos con una clave de cifrado simétrica, Cloud EKM primero cifra los datos con el material de clave interno. Los datos cifrados se incluyen en una solicitud al EKM. EKM envuelve los datos cifrados en otra capa de cifrado mediante el material de claves externo y, a continuación, devuelve el texto cifrado resultante. Los datos encriptados con una clave de Cloud EKM no se pueden desencriptar sin el material de la clave externa y el material de la clave interna.

Si tu organización ha habilitado Key Access Justifications, tu partner de gestión de claves externas registra la justificación de acceso proporcionada y completa la solicitud solo para los códigos de motivo de la justificación que permite tu política de Key Access Justifications en el partner de gestión de claves externas.

Para crear y gestionar claves de Cloud EKM, es necesario hacer los cambios correspondientes tanto en Cloud KMS como en el EKM. Estos cambios correspondientes se gestionan de forma diferente en las claves externas gestionadas manualmente y en las claves externas coordinadas. Todas las claves externas a las que se accede a través de Internet se gestionan manualmente. Las claves externas a las que se accede a través de una red de VPC se pueden gestionar o coordinar manualmente, en función del modo de gestión de EKM de la conexión de EKM. El modo de gestión de EKM Manual se usa para las claves gestionadas manualmente. El modo de gestión de EKM de Cloud KMS se usa para las claves externas coordinadas. Para obtener más información sobre los modos de gestión de EKM, consulta las secciones Claves externas gestionadas manualmente y Claves externas coordinadas de esta página.

En el siguiente diagrama se muestra cómo se integra Cloud KMS en el modelo de gestión de claves. En este diagrama se usan Compute Engine y BigQuery como ejemplos, pero también puedes consultar la lista completa de servicios que admiten claves de Cloud EKM.

Puedes consultar las consideraciones y las restricciones al usar Cloud EKM.

Claves externas gestionadas manualmente

En esta sección se ofrece una descripción general de cómo funciona Cloud EKM con una clave externa gestionada manualmente.

1. Crea una clave o usa una que ya tengas en un sistema de gestión de claves externo de un partner admitido. Esta clave tiene un URI o una ruta de clave únicos.
2. Concede a tu Google Cloud proyecto acceso para usar la clave en el sistema del partner de gestión de claves externo.
3. En tu Google Cloud proyecto, crea una versión de clave de Cloud EKM con el URI o la ruta de la clave gestionada de forma externa.
4. Las operaciones de mantenimiento, como la rotación de claves, deben gestionarse manualmente entre tu EKM y Cloud EKM. Por ejemplo, las operaciones de rotación o destrucción de versiones de claves deben completarse tanto directamente en tu EKM como en Cloud KMS.

En Google Cloud, la clave aparece junto a las demás claves de Cloud KMS y Cloud HSM, con el nivel de protección EXTERNAL o EXTERNAL_VPC. La clave de Cloud EKM y la clave del partner de gestión de claves externo trabajan conjuntamente para proteger tus datos. El material de la clave externa nunca se expone a Google.

Claves externas coordinadas

En esta sección se ofrece una descripción general de cómo funciona Cloud EKM con claves externas coordinadas.

1. Configura una conexión EKM y define el modo de gestión de EKM como Cloud KMS. Durante la configuración, debe autorizar a su EKM para que acceda a su red de VPC y a suGoogle Cloud cuenta de servicio del proyecto para que acceda a su espacio criptográfico en su EKM. Tu conexión EKM usa el nombre de host de tu EKM y una ruta de espacio criptográfico que identifica tus recursos en tu EKM.

2. Crea una clave externa en Cloud KMS. Cuando creas una clave de Cloud EKM mediante una conexión EKM a través de una VPC con el modo de gestión de EKM de Cloud KMS habilitado, se llevan a cabo los siguientes pasos automáticamente:

   1. Cloud EKM envía una solicitud de creación de claves a tu EKM.
   2. Tu EKM crea el material de la clave solicitada. Este material de clave externo permanece en el EKM y nunca se envía a Google.
   3. Tu EKM devuelve una ruta de clave a Cloud EKM.
   4. Cloud EKM crea tu versión de clave de Cloud EKM con la ruta de clave proporcionada por tu EKM.

3. Las operaciones de mantenimiento de claves externas coordinadas se pueden iniciar desde Cloud KMS. Por ejemplo, las claves externas coordinadas que se usan para el cifrado simétrico se pueden rotar automáticamente según una programación establecida. Cloud EKM coordina la creación de nuevas versiones de claves en tu EKM. También puedes activar la creación o la destrucción de versiones de claves en tu EKM desde Cloud KMS mediante laGoogle Cloud consola, la CLI de gcloud, la API de Cloud KMS o las bibliotecas de cliente de Cloud KMS.

En Google Cloud, la clave aparece junto a tus otras claves de Cloud KMS y Cloud HSM, con el nivel de protección EXTERNAL_VPC. La clave de Cloud EKM y la clave del partner de gestión de claves externo trabajan conjuntamente para proteger tus datos. El material de claves externo nunca se expone a Google.

Gestión de claves de EKM desde Cloud KMS

Las claves externas coordinadas son posibles gracias a las conexiones EKM que usan la gestión de claves EKM de Cloud KMS. Si tu EKM es compatible con el plano de control de Cloud EKM, puedes habilitar la gestión de claves de EKM desde Cloud KMS para tus conexiones de EKM y crear claves externas coordinadas. Si la gestión de claves de EKM de Cloud KMS está habilitada, Cloud EKM puede solicitar los siguientes cambios en tu EKM:

• Crear una clave: cuando creas una clave gestionada de forma externa en Cloud KMS mediante una conexión EKM compatible, Cloud EKM envía tu solicitud de creación de claves a tu EKM. Si la operación se realiza correctamente, tu EKM crea la clave y el material de clave nuevos, y devuelve la ruta de la clave para que Cloud EKM la use para acceder a la clave.

• Rotar una clave: cuando rotas una clave gestionada externamente en Cloud KMS mediante una conexión EKM compatible, Cloud EKM envía tu solicitud de rotación a tu EKM. Si la operación se realiza correctamente, tu EKM crea material de clave nuevo y devuelve la ruta de la clave para que Cloud EKM la use y acceda a la nueva versión de la clave.

• Destruir una clave: cuando destruyes una versión de una clave gestionada externamente en Cloud KMS mediante una conexión EKM compatible, Cloud KMS programa la destrucción de la versión de la clave en Cloud KMS. Si la versión de la clave no se restaura antes de que finalice el periodo programado para la destrucción, Cloud EKM destruye su parte del material criptográfico de la clave y envía una solicitud de destrucción a tu EKM.

  Los datos encriptados con esta versión de la clave no se pueden descifrar después de que se haya destruido en Cloud KMS, aunque el EKM aún no haya destruido la versión de la clave. Para comprobar si el EKM ha destruido correctamente la versión de la clave, consulta los detalles de la clave en Cloud KMS.

Cuando las claves de tu EKM se gestionan desde Cloud KMS, el material de claves sigue residiendo en tu EKM. Google no puede enviar ninguna solicitud de gestión de claves a tu EKM sin tu permiso explícito. Google no puede cambiar los permisos ni las políticas de Key Access Justifications en el sistema de tu partner de gestión de claves externo. Si revocas los permisos de Google en tu EKM, las operaciones de gestión de claves que se intenten realizar en Cloud KMS fallarán.

Compatibilidad

Gestores de claves admitidos

Puedes almacenar claves externas en los siguientes sistemas de partners de gestión de claves externos:

• Hoy se admiten los siguientes:
  • Fortanix
  • Futurex
  • Thales

Servicios que admiten CMEK con Cloud EKM

Los siguientes servicios admiten la integración con Cloud KMS para claves externas (Cloud EKM):

• Agent Assist
• AlloyDB for PostgreSQL
• Hub de APIs de Apigee
• Application Integration
• Artifact Registry
• Copia de seguridad de GKE
• BigQuery
• Bigtable
• Cloud Composer
• Cloud Data Fusion
• API de Cloud Healthcare
• Cloud Logging: Datos en el enrutador de registros y Datos en el almacenamiento de Logging
• Cloud Run
• Cloud Run Functions
• Cloud SQL
• Cloud Storage
• Cloud Tasks
• Cloud Workstations
• Compute Engine: Discos persistentes, Capturas, Imágenes personalizadas, e imágenes de máquina
• Conversational Insights
• Database Migration Service: Migraciones de MySQL: datos escritos en bases de datos, Migraciones de PostgreSQL: datos escritos en bases de datos, Migraciones de PostgreSQL a AlloyDB: datos escritos en bases de datos, Migraciones de SQL Server: datos escritos en bases de datos, y datos en reposo de Oracle a PostgreSQL
• Dataflow
• Dataform
• Dataplex Universal Catalog
• Dataproc: Datos de clústeres de Dataproc en discos de máquinas virtuales y datos de Dataproc sin servidor en discos de máquinas virtuales
• Dataproc Metastore
• Dialogflow CX
• Document AI
• Eventarc Standard
• Filestore
• Firestore
• Google Cloud Managed Service para Apache Kafka
• Google Cloud NetApp Volumes
• Google Distributed Cloud
• Google Kubernetes Engine: Datos en discos de máquinas virtuales y secretos de la capa de aplicación
• Integration Connectors
• Looker (servicio principal de Google Cloud)
• Memorystore para Redis
• Migrate to Virtual Machines: Datos migrados desde fuentes de VMs de VMware, AWS y Azure y datos migrados desde fuentes de imágenes de disco y de máquina
• Gestor de parámetros
• Pub/Sub
• Secret Manager
• Secure Source Manager
• Spanner
• Speaker ID (GA restringida)
• Speech-to-Text
• Vertex AI
• Instancias de Vertex AI Workbench
• Workflows
• Workload Manager

Cuestiones importantes

• Cuando usas una clave de Cloud EKM, Google no tiene control sobre la disponibilidad de tu clave gestionada de forma externa en el sistema del partner de gestión de claves externo. Si pierdes las claves que gestionas fuera de Google Cloud, Google no podrá recuperar tus datos.

• Consulta las directrices sobre partners y regiones de gestión de claves externas al elegir las ubicaciones de tus claves de Cloud EKM.

• Consulta el Acuerdo de Nivel de Servicio (SLA) de Cloud EKM.

• Comunicarse con un servicio externo a través de Internet puede provocar problemas de fiabilidad, disponibilidad y latencia. En el caso de las aplicaciones que no toleran este tipo de riesgos, puedes usar Cloud HSM o Cloud KMS para almacenar el material de claves.

  • Si una clave externa no está disponible, Cloud KMS devuelve un error FAILED_PRECONDITION y proporciona detalles en el error PreconditionFailure.

    Habilita el registro de auditoría de datos para mantener un registro de todos los errores relacionados con Cloud EKM. Los mensajes de error contienen información detallada para ayudar a identificar la fuente del error. Un ejemplo de error habitual es cuando un colaborador de gestión de claves externas no responde a una solicitud en un plazo razonable.

  • Debes tener un contrato de asistencia con el partner de gestión de claves externo. Google Cloud solo puede ayudarte con problemas en los Google Cloud servicios y no puede ofrecer asistencia directa con problemas en sistemas externos. En ocasiones, debe trabajar con el equipo de asistencia de ambas partes para solucionar problemas de interoperabilidad.

• Cloud EKM se puede usar con Bare Metal Rack HSM para crear una solución de HSM de un solo inquilino integrada con Cloud KMS. Para obtener más información, elige un partner de Cloud EKM que admita HSMs de un solo inquilino y consulta los requisitos de los HSMs de Bare Metal Rack.

• Habilita el registro de auditoría en tu gestor de claves externo para registrar el acceso y el uso de tus claves de EKM.

Restricciones

• Cuando creas una clave de EKM de Cloud con la API o la CLI de Google Cloud, no debe tener una versión de clave inicial. Esto no se aplica a las claves de Cloud EKM creadas con laGoogle Cloud consola.
• La rotación automática no se admite en las claves externas gestionadas manualmente.
• Las operaciones de Cloud EKM están sujetas a cuotas específicas, además de las cuotas de las operaciones de Cloud KMS.

Claves de cifrado simétrico

• Las claves de cifrado simétricas solo se admiten en los siguientes casos:
  • Claves de encriptado gestionadas por el cliente (CMEK) en servicios de integración compatibles.
  • Encriptado y desencriptado simétricos con Cloud KMS directamente.
• Los datos que Cloud EKM cifra con una clave gestionada externamente no se pueden descifrar sin usar Cloud EKM.

Claves de firma asimétricas

• Las claves de firma asimétricas se limitan a un subconjunto de algoritmos de Cloud KMS.
• Las claves de firma asimétricas solo se admiten en los siguientes casos prácticos:
  • Firma asimétrica con Cloud KMS directamente.
  • Clave de firma personalizada con Access Approval.
• Una vez que se ha definido un algoritmo de firma asimétrica en una clave de EKM de Cloud, no se puede modificar.
• La firma debe hacerse en el campo data.

Gestores de claves externos y regiones

Cloud EKM debe poder acceder a tus claves rápidamente para evitar errores. Al crear una clave de Cloud EKM, elige una Google Cloud ubicación que esté geográficamente cerca de la ubicación de la clave del partner de gestión de claves externo. Consulta la documentación de tu partner de gestión de claves externas para determinar qué ubicaciones admite.

• Cloud EKM a través de Internet: disponible en la mayoría de las Google Cloudubicaciones en las que está disponible Cloud KMS, incluidas las ubicaciones regionales y multirregionales.
• Cloud EKM a través de una VPC: disponible en la mayoría de las ubicaciones regionales donde está disponible Cloud KMS. Cloud EKM a través de una VPC no está disponible en ubicaciones multirregionales.

Algunas ubicaciones, como global y nam-eur-asia1, no están disponibles para Cloud EKM. Para saber qué ubicaciones admiten Cloud EKM, consulta las ubicaciones de Cloud KMS.

Uso multirregional

Cuando usas una clave gestionada de forma externa con una multirregión, los metadatos de la clave están disponibles en varios centros de datos de la multirregión. Estos metadatos incluyen la información necesaria para comunicarse con el partner externo de gestión de claves. Si tu aplicación pasa de un centro de datos a otro dentro de la multirregión, el nuevo centro de datos iniciará solicitudes de claves. El nuevo centro de datos puede tener características de red diferentes al anterior, como la distancia del partner externo de gestión de claves y la probabilidad de que se agote el tiempo de espera. Te recomendamos que solo uses una configuración multirregional con Cloud EKM si el gestor de claves externo que elijas proporciona una latencia baja en todas las zonas de esa configuración multirregional.

EKM gestionado por el partner

La gestión de claves externa (EKM) gestionada por partners te permite usar Cloud EKM a través de un partner soberano de confianza que gestiona tu sistema de EKM. Con EKM gestionado por partners, tu partner crea y gestiona las claves que usas en Cloud EKM. El partner se asegura de que tu EKM cumpla los requisitos de soberanía.

Cuando incorporas a tu partner soberano, este aprovisiona recursos en Google Cloud y en tu EKM. Estos recursos incluyen un proyecto de Cloud KMS para gestionar las claves de Cloud EKM y una conexión de EKM configurada para la gestión de claves de EKM desde Cloud KMS. Tu partner crea recursos en Google Cloud ubicaciones según tus requisitos de residencia de datos.

Cada clave de Cloud EKM incluye metadatos de Cloud KMS, que permiten a Cloud EKM enviar solicitudes a tu EKM para realizar operaciones criptográficas con el material de clave externa, que nunca sale de tu EKM. Las claves simétricas de Cloud EKM también incluyen material de claves interno de Cloud KMS que nunca sale de Google Cloud. Para obtener más información sobre los aspectos internos y externos de las claves de Cloud EKM, consulta la sección Cómo funciona Cloud EKM de esta página.

Para obtener más información sobre EKM gestionado por un partner, consulte Configurar Cloud KMS gestionado por un partner.

Monitorizar el uso de Cloud EKM

Puede usar Cloud Monitoring para monitorizar su conexión EKM. Las siguientes métricas pueden ayudarte a entender el uso que haces de la gestión de claves empresariales:

• cloudkms.googleapis.com/ekm/external/request_latencies
• cloudkms.googleapis.com/ekm/external/request_count

Para obtener más información sobre estas métricas, consulta las métricas de Cloud KMS. Puede crear un panel de control para monitorizar estas métricas. Para saber cómo configurar un panel de control para monitorizar tu conexión EKM, consulta Monitorizar el uso de EKM.

Obtener asistencia

Si tienes algún problema con Cloud EKM, ponte en contacto con el equipo de Asistencia.

Siguientes pasos

• Empieza a usar la API.

• Configura Cloud EKM a través de Internet.

• Crea una conexión EKM para usar EKM a través de una VPC.

• Consulta la referencia de la API de Cloud KMS.

• Consulta información sobre el registro en Cloud KMS. El registro se basa en las operaciones y se aplica a las claves con niveles de protección de HSM y de software.

• Consulta las arquitecturas de referencia para implementar de forma fiable los servicios de Cloud EKM para obtener recomendaciones sobre cómo configurar una implementación de servicio de External Key Manager (EKM) integrada con Cloud EKM.