Autokey de Cloud KMS simplifica la creación y el uso de claves de encriptado gestionadas por el cliente (CMEKs) automatizando el aprovisionamiento y la asignación. Con Autokey, los conjuntos de claves y las claves se generan bajo demanda. Las cuentas de servicio que usan las claves para cifrar y descifrar recursos se crean y se les asignan roles de gestión de identidades y accesos (IAM) cuando es necesario. Los administradores de Cloud KMS conservan el control y la visibilidad totales de las claves creadas por Autokey, sin necesidad de planificar y crear cada recurso.
Usar claves generadas por Autokey puede ayudarte a cumplir de forma coherente los estándares del sector y las prácticas recomendadas para la seguridad de los datos, como el nivel de protección del HSM, la separación de tareas, la rotación de claves, la ubicación y la especificidad de las claves. Autokey crea claves que siguen tanto las directrices generales como las específicas del tipo de recurso de los Google Cloud servicios Google Cloud que se integran con Autokey de Cloud KMS. Una vez creadas, las claves solicitadas mediante la función Autokey funcionan de forma idéntica a otras claves de HSM en la nube con los mismos ajustes.
Autokey también puede simplificar el uso de Terraform para la gestión de claves, ya que elimina la necesidad de ejecutar la infraestructura como código con privilegios elevados de creación de claves.
Para usar Autokey, debes tener un recurso de organización que contenga un recurso de carpeta. Para obtener más información sobre los recursos de organización y de carpeta, consulta Jerarquía de recursos.
Autokey de Cloud KMS está disponible en todas las Google Cloud ubicaciones en las que se ofrece Cloud HSM. Para obtener más información sobre las ubicaciones de Cloud KMS, consulta Ubicaciones de Cloud KMS. No hay ningún coste adicional por usar Autokey de Cloud KMS. Las claves creadas con Autokey tienen el mismo precio que cualquier otra clave de Cloud HSM. Para obtener más información sobre los precios, consulta la página Precios de Cloud Key Management Service.
Para obtener más información sobre Autokey, consulta el resumen de Autokey.
Elegir entre Autokey y otras opciones de cifrado
Cloud KMS con Autokey es como un piloto automático para las claves de cifrado gestionadas por el cliente: hace el trabajo por ti, bajo demanda. No tienes que planificar las claves con antelación ni crear claves que quizá nunca necesites. Las claves y su uso son coherentes. Puedes definir las carpetas en las que quieres que se use Autokey y controlar quién puede usarlo. Tú tienes el control total de las claves creadas por Autokey. Puedes usar claves de Cloud KMS creadas manualmente junto con claves creadas con Autokey. Puedes inhabilitar Autokey y seguir usando las claves que ha creado de la misma forma que usarías cualquier otra clave de Cloud KMS.
Autokey de Cloud KMS es una buena opción si quieres que las claves se usen de forma coherente en todos los proyectos, con una sobrecarga operativa baja, y quieres seguir las recomendaciones de Google para las claves.
| Función o característica | Cifrado predeterminado de Google | Cloud KMS | Autokey de Cloud KMS |
|---|---|---|---|
| Aislamiento criptográfico: las claves son exclusivas de la cuenta de un cliente. | No | Sí | Sí |
| El cliente es el propietario de las claves y las controla | No | Sí | Sí |
| El desarrollador activa el aprovisionamiento y la asignación de claves | Sí | No | Sí |
| Especificidad: las claves se crean automáticamente con la granularidad de clave recomendada. | No | No | Sí |
| Te permite destruir criptográficamente tus datos | No | Sí | Sí |
| Se alinea automáticamente con las prácticas recomendadas de gestión de claves | No | No | Sí |
| Usa claves protegidas mediante HSM que cumplen el estándar FIPS 140-2 de nivel 3 | No | Opcional | Sí |
Si necesitas usar un nivel de protección distinto de HSM o un periodo de rotación personalizado, puedes usar CMEK sin Autokey.
Servicios compatibles
En la siguiente tabla se enumeran los servicios compatibles con Autokey de Cloud KMS:
| Servicio | Recursos protegidos | Granularidad de las claves |
|---|---|---|
| Artifact Registry |
Autokey crea claves durante la creación del repositorio, que se usan para todos los artefactos almacenados. |
Una clave por recurso |
| BigQuery |
Autokey crea claves predeterminadas para los conjuntos de datos. Las tablas, los modelos, las consultas y las tablas temporales de un conjunto de datos usan la clave predeterminada del conjunto de datos. Autokey no crea claves para recursos de BigQuery que no sean conjuntos de datos. Para proteger los recursos que no forman parte de un conjunto de datos, debes crear tus propias claves predeterminadas a nivel de proyecto o de organización. |
Una clave por recurso |
| Bigtable |
Autokey crea claves para los clústeres. Autokey no crea claves para recursos de Bigtable que no sean clústeres. Bigtable solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o el SDK de Google Cloud. |
Una clave por clúster |
| AlloyDB for PostgreSQL |
AlloyDB para PostgreSQL solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API REST. |
Una clave por recurso |
| Cloud Run |
|
Una clave por recurso |
| Cloud SQL |
Autokey no crea claves para los recursos de Cloud SQL
Cloud SQL solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API REST. |
Una clave por recurso |
| Cloud Storage |
Los objetos de un segmento de almacenamiento usan la clave predeterminada del segmento. Autokey no crea claves para recursos |
Una clave por segmento |
| Compute Engine |
Las copias de seguridad usan la clave del disco del que estás creando una copia de seguridad.
Autokey no crea claves para los recursos de |
Una clave por recurso |
| Pub/Sub |
|
Una clave por recurso |
| Secret Manager |
Secret Manager solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API REST. |
Una clave por ubicación en un proyecto |
| Spanner |
Spanner solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API REST. |
Una clave por recurso |
| Dataflow |
|
Una clave por recurso |
Siguientes pasos
- Para obtener más información sobre cómo funciona Autokey de Cloud KMS, consulta la descripción general de Autokey.