Cloud KMS Autokey simplifica la creación y el uso de claves de encriptación administradas por el cliente (CMEK) a través de la automatización del aprovisionamiento y la asignación. Con Autokey, los llaveros de claves y las claves se generan a pedido. Las cuentas de servicio que usan las claves para encriptar y desencriptar recursos se crean y se les otorgan roles de Identity and Access Management (IAM) cuando es necesario. Los administradores de Cloud KMS conservan el control y la visibilidad completos de las claves creadas por Autokey, sin necesidad de planificar y crear cada recurso por adelantado.
El uso de claves generadas por Autokey puede ayudarte a alinearte de manera coherente con los estándares de la industria y las prácticas recomendadas para la seguridad de los datos, incluido el nivel de protección de HSM, la separación de obligaciones, la rotación de claves, la ubicación y la especificidad de las claves. Autokey crea claves que siguen los lineamientos generales y los lineamientos específicos del tipo de recurso para los servicios de Google Cloud que se integran con Cloud KMS Autokey. Después de crearse, las claves solicitadas con la función Autokey funcionan de forma idéntica a otras claves de Cloud HSM con la misma configuración.
Autokey también puede simplificar el uso de Terraform para la administración de claves, ya que elimina la necesidad de ejecutar infraestructura como código con privilegios elevados de creación de claves.
Para usar Autokey, debes tener un recurso de organización que contenga un recurso de carpeta. Para obtener más información sobre los recursos de organización y carpeta, consulta Jerarquía de recursos.
La función Autokey de Cloud KMS está disponible en todas las ubicaciones de Google Cloud donde está disponible Cloud HSM. Para obtener más información sobre las ubicaciones de Cloud KMS, consulta Ubicaciones de Cloud KMS. No hay costos adicionales por usar Cloud KMS Autokey. Las claves creadas con Autokey tienen el mismo precio que cualquier otra clave de Cloud HSM. Para obtener más información sobre los precios, consulta los precios de Cloud Key Management Service.
Para obtener más información sobre Autokey, consulta Descripción general de las claves automáticas.
Elige entre Autokey y otras opciones de encriptación
Cloud KMS con Autokey es como un piloto automático para las claves de encriptación administradas por el cliente: hace el trabajo por ti, a pedido. No es necesario planificar las claves con anticipación ni crear claves que tal vez nunca se necesiten. Las claves y su uso son coherentes. Puedes definir las carpetas en las que deseas que se use Autokey y controlar quién puede usarlo. Conservas el control total de las claves creadas por Autokey. Puedes usar claves de Cloud KMS creadas manualmente junto con las claves creadas con Autokey. Puedes inhabilitar Autokey y seguir usando las claves que creó de la misma manera en que usarías cualquier otra clave de Cloud KMS.
Cloud KMS Autokey es una buena opción si deseas un uso coherente de las claves en todos los proyectos, con una baja sobrecarga operativa y si deseas seguir las recomendaciones de Google para las claves.
| Función o capacidad | Encriptación predeterminada de Google | Cloud KMS | Autokey de Cloud KMS |
|---|---|---|---|
| Aislamiento criptográfico: Las claves son exclusivas de la cuenta de un cliente. | No | Sí | Sí |
| El cliente posee y controla las claves | No | Sí | Sí |
| El desarrollador activa el aprovisionamiento y la asignación de claves | Sí | No | Sí |
| Especificidad: Las claves se crean automáticamente con la granularidad de clave recomendada. | No | No | Sí |
| Te permite destruir criptográficamente tus datos | No | Sí | Sí |
| Se alinea automáticamente con las prácticas recomendadas de administración de claves | No | No | Sí |
| Usa claves respaldadas por HSM que cumplen con el nivel 3 del estándar FIPS 140-2. | No | Opcional | Sí |
Si necesitas usar un nivel de protección que no sea HSM o un período de rotación personalizado, puedes usar CMEK sin clave automática.
Servicios compatibles
En la siguiente tabla, se enumeran los servicios que son compatibles con la función Autokey de Cloud KMS:
| Servicio | Recursos protegidos | Nivel de detalle de la clave |
|---|---|---|
| Artifact Registry |
Autokey crea claves durante la creación del repositorio, que se usan para todos los artefactos almacenados. |
Una clave por recurso |
| BigQuery |
Autokey crea claves predeterminadas para los conjuntos de datos. Las tablas, los modelos, las consultas y las tablas temporales dentro de un conjunto de datos usan la clave predeterminada del conjunto de datos. Autokey no crea claves para los recursos de BigQuery, excepto para los conjuntos de datos. Para proteger los recursos que no forman parte de un conjunto de datos, debes crear tus propias claves predeterminadas a nivel del proyecto o de la organización. |
Una clave por recurso |
| Bigtable |
Autokey crea claves para clústeres. Autokey no crea claves para los recursos de Bigtable, excepto para los clústeres. Bigtable solo es compatible con la clave automática de Cloud KMS cuando se crean recursos con Terraform o el SDK de Google Cloud. |
Una clave por clúster |
| AlloyDB para PostgreSQL |
AlloyDB para PostgreSQL solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API de REST. |
Una clave por recurso |
| Cloud Run |
|
Una clave por recurso |
| Cloud SQL |
Autokey no crea claves para los recursos de Cloud SQL Cloud SQL solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API de REST. |
Una clave por recurso |
| Cloud Storage |
Los objetos dentro de un
bucket de almacenamiento usan la clave predeterminada del bucket. Autokey no crea claves para los recursos |
Una clave por bucket |
| Compute Engine |
Las instantáneas usan la clave del disco del que creas una instantánea.
Autokey no crea claves para los recursos de |
Una clave por recurso |
| Pub/Sub |
|
Una clave por recurso |
| Secret Manager |
Secret Manager solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API de REST. |
Una clave por ubicación dentro de un proyecto |
| Spanner |
Spanner solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API de REST. |
Una clave por recurso |
| Dataflow |
|
Una clave por recurso |
¿Qué sigue?
- Para obtener más información sobre cómo funciona Cloud KMS Autokey, consulta la descripción general de Autokey.