Acerca de Cloud KMS
¿Qué es Cloud KMS? ¿Qué hace?
Cloud Key Management Service (Cloud KMS) es un servicio de gestión de claves alojado en la nube que te permite gestionar el cifrado de tus servicios en la nube del mismo modo que lo harías on-premise. Puedes generar, usar, rotar y eliminar claves criptográficas. Cloud KMS está integrado con Gestión de Identidades y Accesos (IAM) y con los registros de auditoría de Cloud para que puedas gestionar los permisos de claves concretas y monitorizar cómo se utilizan.
¿Puedo almacenar secretos?
Cloud KMS almacena claves y metadatos sobre las claves, pero no tiene una API de almacenamiento de datos general. Secret Manager es la opción recomendada para almacenar y acceder a datos sensibles que se van a usar en Google Cloud.
¿Hay un SLA?
Sí, consulta el Acuerdo de Nivel de Servicio de Cloud KMS.
¿Cómo puedo enviar comentarios sobre el producto?
Ponte en contacto con el equipo de ingeniería a través de cloudkms-feedback@google.com.
¿Cómo puedo enviar comentarios sobre la documentación?
Mientras consultas la documentación de Cloud KMS, haz clic en Enviar comentarios, cerca de la parte superior derecha de la página. Se abrirá un formulario de comentarios.
Si necesito ayuda, ¿qué opciones tengo?
Invitamos a nuestros usuarios a publicar sus preguntas en Stack Overflow. Además de la activa comunidad de Stack Overflow, nuestro equipo monitoriza de forma activa las publicaciones de Stack Overflow y responde a las preguntas con la etiqueta google-cloud-kms.
También ofrecemos varios niveles de asistencia en función de tus necesidades. Para ver otras opciones de asistencia, consulta nuestros Google Cloud paquetes de asistencia.
¿Cloud KMS tiene alguna cuota?
Sí. Para obtener información sobre las cuotas, como ver o solicitar cuotas adicionales, consulta Cuotas de Cloud KMS.
No hay límite en el número de claves, conjuntos de claves o versiones de claves. Además, no hay límite en el número de claves por conjunto de claves ni en el número de versiones de claves por clave.
¿En qué países puedo usar Cloud KMS?
Puedes usar Cloud KMS en cualquier país en el que se admitan los Google Cloud servicios.
Claves
¿Qué tipos de claves genera Cloud KMS?
Consulta Propósitos y algoritmos de claves.
¿Las claves se almacenan en un HSM?
Las claves con nivel de protección HSM se almacenan en un módulo de seguridad de hardware (HSM).
Las claves con nivel de protección SOFTWARE se almacenan en software.
Una clave protegida mediante HSM nunca se conserva fuera de un HSM.
¿Qué estándares cumplen las llaves?
Las claves generadas en Cloud KMS y las operaciones criptográficas que se realizan con ellas cumplen la publicación Requisitos de seguridad de los módulos criptográficos 140-2 de los estándares federales de procesamiento de información (FIPS).
Las claves generadas con el nivel de protección
SOFTWAREy las operaciones criptográficas que se realizan con ellas cumplen el estándar FIPS 140-2 de nivel 1.Las claves generadas con el nivel de protección
HSMy las operaciones criptográficas que se realizan con ellas cumplen el estándar FIPS 140-2 de nivel 3.En el caso de las claves que se generan fuera de Cloud KMS y, a continuación, se importan, los clientes que tengan requisitos de FIPS son responsables de asegurarse de que sus claves se generen de forma que cumplan los requisitos de FIPS.
¿Cómo se genera el material de clave?
Las claves protegidas por software de Cloud KMS se generan mediante la biblioteca criptográfica común de Google, que usa un generador de números aleatorios (RNG) diseñado por Google. El HSM genera las claves protegidas por HSM de forma segura. Se ha validado que cumple el estándar FIPS 140-2 de nivel 3.
¿Qué biblioteca se usa para generar material de clave?
Las claves de Cloud KMS se generan mediante la biblioteca criptográfica común de Google, que implementa algoritmos criptográficos mediante BoringSSL. Para obtener más información, consulta la biblioteca criptográfica común de Google.
¿Las claves están restringidas a una ubicación geográfica?
Las claves pertenecen a una región, pero no están limitadas a ella. Para obtener más información, consulta las ubicaciones de Cloud KMS.
¿Puedo eliminar llaves automáticamente?
No.
¿Puedo rotar las claves automáticamente?
Sí, en el caso de las claves que se usan para el cifrado simétrico. Consulta Rotación automática: definir el periodo de rotación de una clave.
No, en el caso de las claves que se usan para el cifrado o la firma asimétricos. Para obtener más información, consulta Consideraciones sobre la rotación de claves asimétricas.
¿La rotación de claves vuelve a cifrar los datos? Si no es así, ¿por qué?
La rotación de claves no vuelve a encriptar los datos automáticamente. Cuando desencriptas datos, Cloud KMS sabe qué versión de la clave debe usar para el desencriptado. Mientras una versión de una clave no esté inhabilitada o destruida, Cloud KMS podrá descifrar los datos protegidos con esa clave.
¿Por qué no puedo eliminar llaves o llaveros?
Para evitar los conflictos entre nombres de recursos, los recursos de conjuntos de claves y claves NO se pueden eliminar. Las versiones de clave no se pueden eliminar, pero se puede destruir el material de la versión de la clave para que los recursos no se puedan utilizar más. Para obtener más información, consulta Tiempo de vida de los objetos. La facturación se basa en el número de versiones de claves activas. Si destruyes todo el material de las versiones de claves activas, no se te cobrará por los conjuntos de claves, las claves ni las versiones de claves que queden.
¿Puedo exportar claves?
No. Las claves no se pueden exportar desde Cloud KMS por diseño. Todo el encriptado y desencriptado con estas claves se debe realizar dentro de Cloud KMS. Esto ayuda a evitar que se produzcan filtraciones y que se haga un uso inadecuado de ellas, y permite que Cloud KMS proporcione un registro de auditoría cuando se utilizan claves.
¿Puedo importar claves?
Sí. Solo puedes importar claves con el nivel de protección HSM o SOFTWARE.
Para obtener más información, consulta Importar una clave.
Además de Cloud KMS, los siguientes productos admiten la función de claves de encriptado proporcionadas por el cliente (CSEK).
| Producto | Tema de CSEK |
|---|---|
| Compute Engine | Encriptar discos con claves de encriptado proporcionadas por el cliente |
| Cloud Storage | Usar claves de cifrado proporcionadas por el cliente |
¿Cuánto tiempo después de destruir una versión de una clave puedo recuperarla?
Después de programar la eliminación de una versión de clave, tienes un periodo predeterminado de 30 días antes de que se elimine. El periodo que transcurre antes de que se destruya una versión de clave se puede configurar. Durante ese tiempo, si es necesario, puedes restaurar la versión de la clave.
¿Puedo cambiar el periodo antes de que se destruya una clave programada?
Sí, puedes configurar el tiempo que debe transcurrir antes de que se destruya la clave. Ten en cuenta que solo puedes definir la duración cuando crees las claves.
Cuando hago cambios en una clave, ¿cuánto tardan en aplicarse?
Algunas operaciones en recursos de Cloud KMS tienen una coherencia fuerte, mientras que otras tienen una coherencia eventual y pueden tardar hasta 3 horas en propagarse. Para obtener más información, consulta Coherencia de los recursos de Cloud KMS.
¿Por qué mi clave tiene el estado PENDING_GENERATION?
Debido al coste de CPU que supone generar material de clave, la creación de una versión de clave de firma asimétrica o de cifrado asimétrico puede tardar unos minutos. Las versiones de claves protegidas por un módulo de seguridad de hardware (HSM) también tardan un tiempo. Cuando una versión de clave recién creada esté lista, su estado cambiará automáticamente a HABILITADA.
Autorización y autenticación
¿Cómo me autentico en la API de Cloud KMS?
La forma en que se autentican los clientes puede variar ligeramente en función de la plataforma en la que se ejecute el código. Para obtener más información, consulta Acceder a la API.
¿Qué roles de gestión de identidades y accesos debo usar?
Para aplicar el principio de mínimos accesos, asegúrate de que las cuentas de usuario y de servicio de tu organización solo tengan los permisos esenciales para llevar a cabo sus funciones. Para obtener más información, consulta el artículo sobre la separación de funciones.
¿Con qué rapidez se elimina un permiso de gestión de identidades y accesos?
La eliminación de un permiso debería aplicarse en menos de una hora.
Varios
¿Qué son los datos autenticados adicionales y cuándo los usaría?
Los datos autenticados adicionales (AAD) son cualquier cadena que envíes a Cloud KMS como parte de una solicitud de cifrado o descifrado. Se usa como comprobación de integridad y puede ayudar a proteger tus datos frente a un ataque de delegado confuso. Para obtener más información, consulta Datos autenticados adicionales.
¿Los registros de acceso a datos están habilitados de forma predeterminada? ¿Cómo habilito los registros de acceso a datos?
Los registros de acceso a datos no están habilitados de forma predeterminada. Para obtener más información, consulta el artículo sobre cómo habilitar registros de acceso a datos.
¿Qué relación hay entre las claves de Cloud KMS y las claves de cuentas de servicio?
Las claves de cuenta de servicio se usan para la autenticación de servicio a servicio enGoogle Cloud. Las claves de cuenta de servicio no están relacionadas con las claves de Cloud KMS.
¿Qué relación hay entre las claves de Cloud KMS y las claves de API?
Una clave de API es una cadena encriptada sencilla que puede utilizarse para llamar a determinadas APIs que no necesitan acceder a datos privados del usuario. Las claves de API registran las solicitudes de API asociadas a tu proyecto para la cuota y la facturación. Las claves de API no están relacionadas con las claves de Cloud KMS.
¿Tienes más información sobre los HSMs que usa Cloud HSM?
Todos los dispositivos HSM están fabricados por Marvell (antes Cavium). El certificado FIPS de los dispositivos está en el sitio web del NIST.