En esta página, se describe cómo incorporar Cloud HSM para Google Workspace (CHGWS), el servicio de claves de encriptación para Google Workspace que ofrece Cloud Key Management Service (Cloud KMS). Cloud HSM para Google Workspace proporciona controles de privacidad mejorados para Google Workspace, lo que te ayuda a cumplir con los estándares reglamentarios, como DISA IL5, y a mejorar la seguridad de los datos. Cloud HSM es un servicio de administración de claves totalmente administrado, altamente disponible y alineado con los estándares que se opera a escala de la nube con claves respaldadas por hardware almacenadas en HSM (módulos de seguridad de hardware) que cumplen con el nivel 3 de FIPS 140-2.
Antes de comenzar
Antes de incorporar Cloud HSM para Google Workspace, completa los siguientes requisitos previos:
- Configura un espacio de Google Workspace.
- Habilita la encriptación del cliente (CSE) de Google Workspace en tu entorno de Google Workspace.
- Configura tu proveedor de identidad (IdP) en la CSE de Google Workspace. Toma nota del ID de cliente de tu IdP. Si usas Google Identity Platform, busca el ID de cliente en tu proyecto de Google Cloud .
- Opcional: Si permites el acceso al contenido encriptado con CSE en aplicaciones de la plataforma que no sean web (como dispositivos móviles o computadoras), agrega los IDs de cliente para esas plataformas en la configuración de tu IdP en la Consola del administrador de Google Workspace. Anota todos los IDs de cliente de este IdP. Si usas Google Identity Platform, busca estos IDs de cliente en tu proyecto de Google Cloud . Para otros proveedores de identidad, crea estos IDs de cliente por separado.
Solicita la integración en Google Workspace
Para incorporar Cloud HSM a Google Workspace, envía una solicitud de incorporación. Proporciona la siguiente información:
ID de Google Workspace: Es tu ID de Google Workspace. Sigue las instrucciones que se indican en Cómo encontrar tu ID de cliente para encontrar tu ID de Google Workspace.
Direcciones de correo electrónico de administrador de Google Workspace: Proporciona una lista de direcciones de correo electrónico de administrador separadas por comas.
Detalles del proveedor de identidad (IdP) principal:
- URL del conjunto de claves web JSON (JWKS) del IdP: Para Google Identity Platform, usa
https://www.googleapis.com/oauth2/v3/certs. - Emisor del token de token web JSON (JWT): Para Google Identity Platform, usa
https://accounts.google.com. - Público del JWT: Es el ID de cliente de tu IdP para aplicaciones web.
- Públicos adicionales del JWT: Opcional. Proporciona IDs de cliente para aplicaciones de plataformas que no son web si están configurados. En el caso de Google Identity Platform, usa los IDs de cliente que se indican en Si usarás la identidad de Google para el CSE.
- URL del conjunto de claves web JSON (JWKS) del IdP: Para Google Identity Platform, usa
Detalles del IdP para invitados: Opcional. Completa esta sección si usas un IdP invitado.
- URL de JWKS del IdP para invitados: Es la URL de JWKS de tu IdP para invitados.
- Emisor del token de JWT de invitado: Es el emisor del token de JWT de tu IdP de invitado.
- Público del JWT de invitado: Es el ID de cliente de tu IdP de invitado para aplicaciones web, excepto Google Meet.
- Públicos adicionales de JWT para invitados: Opcional. Si configuras un ID de cliente web de Google Meet o cualquier otro ID de cliente de aplicación que no sea de plataforma web, proporciona los IDs de cliente para cada uno. En el caso de Google Identity Platform, usa los IDs de cliente que se indican en Si usarás la identidad de Google para el CSE.
Ubicación del extremo:
us-central1.Cantidad esperada de usuarios: Proporciona la cantidad esperada de usuarios en tu instancia de Google Workspace.
Verifica que la URL de JWKS de tu IdP sea de acceso público. Confirma los valores de emisor del token JWT y público del JWT con el administrador de tu IdP.
El equipo de CHGWS responde en un plazo de 24 a 48 horas con el estado de configuración de tu cuenta de Google Workspace. Después de completar la incorporación, configura tu proyecto Google Cloud para Cloud KMS.
Configura un Google Cloud proyecto para Cloud KMS
Los extremos de Cloud HSM para Google Workspace dependen de las claves de Cloud KMS para las operaciones criptográficas. Configura un proyecto Google Cloud nuevo para alojar las claves de Cloud KMS.
Crea un Google Cloud proyecto. Este es tu proyecto clave. Toma nota del ID y el número del proyecto, ya que los necesitarás para completar la configuración.
Habilita la API de Cloud KMS en tu Google Cloud proyecto clave.
En la Google Cloud consola, haz clic en terminal Activar Cloud Shell.
Compara tu ID del proyecto con el que aparece en el mensaje de Cloud Shell para verificar que estás en el proyecto correcto.
Con Cloud Shell, crea la cuenta de servicio de Cloud HSM para Google Workspace:
gcloud beta services identity create --service=cloudkmskacls-pa.googleapis.comToma nota de la identidad del servicio que creó este comando. Necesitarás el nombre de la identidad del servicio en el siguiente paso.
Otorga el rol de Agente de servicio de claves de CHGWS a la cuenta de servicio que creaste:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER>@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \ --role=roles/cloudkmskacls.serviceAgentReemplaza lo siguiente:
PROJECT_ID: Es el ID del proyecto de claves.PROJECT_NUMBER: Es el número de tu proyecto de claves.
Administra el extremo de servicio de CHGWS
En las siguientes secciones, se muestra cómo configurar y administrar tus extremos de CHGWS.
Configura las claves de Cloud KMS
Configura los recursos de Cloud KMS para el extremo de servicio de tu clave de CHGWS.
Crea un llavero de claves en la región
us-central1:gcloud kms keyrings create KEY_RING --location us-central1Reemplaza
KEY_RINGpor el nombre que deseas usar para tu llavero de claves de CHGWS, por ejemplo,CHGWS_KEY_RING.Crea una clave de Cloud HSM:
gcloud kms keys create KEY_NAME \ --protection-level "hsm" \ --keyring KEY_RING \ --location us-central1 \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIMEReemplaza lo siguiente:
KEY_NAME: Es el nombre que deseas usar para tu clave, por ejemplo,CHGWS_KEY_RING.KEY_RING: El nombre de tu llavero de claves, por ejemplo,CHGWS_KEY.ROTATION_PERIOD: Es la frecuencia con la que deseas rotar tus claves, por ejemplo,7d.NEXT_ROTATION_TIME: Es la fecha y hora en que se producirá la próxima rotación de claves, por ejemplo,2024-03-20T01:00:00.
Solicita la creación del extremo
Para solicitar la creación de un extremo, envía una solicitud de creación de extremo. Proporciona la siguiente información:
- ID del espacio de trabajo:
<var>GOOGLE_WORKSPACE_ID</var> - ID del proyecto de Google Cloud:
PROJECT_ID - Número de proyecto de Google Cloud:
PROJECT_NUMBER - Nombre del llavero de Cloud KMS:
KEY_RING - Ubicación del llavero de Cloud KMS:
us-central1 - Nombre de la clave de Cloud KMS:
KEY_NAME - URL base de CHGWS: Opcional. Es una lista de URLs para habilitar la migración de claves. Si es la primera vez que configuras CHGWS para este espacio de Google Workspace, deja este campo en blanco.
El equipo de CHGWS responde en un plazo de 24 a 48 horas con la URL del extremo de CHGWS después de que el extremo esté disponible.
Configura el extremo de CHGWS en el CSE de Google Workspace
Configura la CSE de Google Workspace para que use la URL de CHGWS que se generó cuando creaste el extremo de CHGWS. Sigue las instrucciones en Agrega y administra servicios de claves para la encriptación del cliente.
Migra Endpoints
CHGWS proporciona flexibilidad para trasladar tu servicio de claves a CHGWS o desde CHGWS. Para iniciar una migración de CHGWS, envía una solicitud de migración. En la solicitud, incluye la siguiente información:
- ID del extremo: Es el ID del extremo de CHGWS.
- CHGWS Base URL: Es una lista de URLs para habilitar la migración de claves de CHGWS.
- Si migras a Cloud HSM para Google Workspace, proporciona la URL base de cada extremo de CHGWS desde el que migras.
- Si migras desde Cloud HSM para Google Workspace, proporciona las URLs base de los extremos de CHGWS a los que deseas migrar.
Si migras entre dos extremos diferentes de Cloud HSM para Google Workspace, envía dos solicitudes separadas: una desde el extremo anterior y la otra hacia el extremo nuevo.
El equipo de CHGWS responde en un plazo de 24 a 48 horas para informarte que el extremo está listo para la migración.
Cómo borrar o inhabilitar extremos
Las operaciones de eliminación o inhabilitación en el extremo de Cloud HSM para Google Workspace no se admiten directamente. Sin embargo, puedes inhabilitar un extremo de Cloud HSM para Google Workspace si inhabilitas todas las versiones de claves de Cloud KMS de respaldo.
Para cada versión de clave de Cloud KMS que respalda el extremo, ejecuta el siguiente comando:
gcloud kms keys versions disable KEY_VERSION --keyring \ KEY_RING --location us-central1 --key KEY_NAMEReemplaza lo siguiente:
KEY_VERSION: Es la versión de la clave que deseas inhabilitar, por ejemplo,1.KEY_RING: Es el nombre del llavero de claves, por ejemplo,CHGWS_KEY_RING.KEY_NAME: Es el nombre de la clave, por ejemplo,CHGWS_KEY.
Habilita los extremos
Si inhabilitaste un extremo de CHGWS inhabilitando todas las versiones de clave de la clave de Cloud KMS de respaldo, puedes volver a habilitar el extremo de CHGWS. Para volver a habilitar el extremo, habilita todas las versiones activas de la clave de Cloud KMS de respaldo con el siguiente comando de gcloud CLI:
Para cada versión de clave de Cloud KMS que respalda el extremo, ejecuta el siguiente comando:
gcloud kms keys versions enable KEY_VERSION \ --keyring KEY_RING --location us-central1 --key KEY_NAMEReemplaza lo siguiente:
KEY_VERSION: Es la versión de la clave que deseas inhabilitar, por ejemplo,1.KEY_RING: Es el nombre del llavero de claves, por ejemplo,CHGWS_KEY_RING.KEY_NAME: Es el nombre de la clave, por ejemplo,CHGWS_KEY.
¿Qué sigue?
- Obtén más información sobre Cloud Key Management Service.
- Obtén más información para agregar y administrar servicios de claves para la encriptación del cliente.