En esta página se describe cómo incorporar Cloud HSM para Google Workspace (CHGWS), el servicio de claves de cifrado de Google Workspace que ofrece Cloud Key Management Service (Cloud KMS). Cloud HSM para Google Workspace ofrece controles de privacidad mejorados para Google Workspace, lo que te ayuda a cumplir estándares normativos como DISA IL5 y a mejorar la seguridad de los datos. Cloud HSM es un servicio de gestión de claves totalmente gestionado, de alta disponibilidad y conforme a los estándares que se opera a escala de nube con claves respaldadas por hardware almacenadas en HSMs (módulos de seguridad de hardware) que cumplen el estándar FIPS 140-2 de nivel 3.
Para obtener más información, consulta Cloud HSM para Google Workspace.
Antes de empezar
Antes de incorporar Cloud HSM para Google Workspace, completa los siguientes requisitos previos:
- Configura Google Workspace.
- Habilita el cifrado del lado del cliente (CLC) de Google Workspace en tu cuenta de Google Workspace.
- Configura tu proveedor de identidades en CLC de Google Workspace. Anota el ID de cliente de tu IdP. Si usas Google Identity Platform, busca el ID de cliente en tu Google Cloud proyecto.
- Opcional: Si permites el acceso a contenido cifrado con CLC en aplicaciones de la plataforma que no sean web (como aplicaciones móviles o de escritorio), añade los IDs de cliente de esas plataformas a la configuración de tu IdP en la consola de administración de Google Workspace. Anota todos los IDs de cliente de este IdP. Si usas Google Identity Platform, busca estos IDs de cliente en tu Google Cloud proyecto. En el caso de otros proveedores de identidades, crea estos IDs de cliente por separado.
Solicitar la incorporación a Google Workspace
Para incorporar Cloud HSM a Google Workspace, ponte en contacto con tu representante de cuenta para obtener ayuda con el envío de una solicitud de incorporación a Workspace. En la solicitud, incluya la siguiente información:
ID de Google Workspace: tu ID de Google Workspace. Para encontrar tu ID de Google Workspace, sigue las instrucciones que se indican en el artículo Buscar tu ID de cliente.
Direcciones de correo de administrador de Google Workspace: proporciona una lista de direcciones de correo de administrador separadas por comas.
Detalles del proveedor de identidades principal:
- URL del conjunto de claves web JSON (JWKS) del IdP: en Google Identity Platform, usa
https://www.googleapis.com/oauth2/v3/certs. - Emisor del token JSON Web Token (JWT): en Google Identity Platform, usa
https://accounts.google.com. - Audiencia de JWT: el ID de cliente de tu proveedor de identidades para aplicaciones web.
- Audiencias de JWT adicionales: opcional. Proporciona IDs de cliente para aplicaciones de plataformas que no sean web si están configuradas. En el caso de Google Identity Platform, usa los IDs de cliente que se indican en la sección Si vas a utilizar la identidad de Google para el CLC.
- URL del conjunto de claves web JSON (JWKS) del IdP: en Google Identity Platform, usa
Detalles del proveedor de identidades para invitados: opcional. Completa esta sección si utilizas un IdP invitado.
- URL de JWKS del IdP invitado: la URL de JWKS de tu IdP invitado.
- Emisor del token JWT de invitado: el emisor del token JWT de tu proveedor de identidades de invitado.
- Audiencia del JWT de invitado: el ID de cliente de tu proveedor de identidades para invitados para aplicaciones web, excepto Google Meet.
- Audiencias JWT adicionales de invitado: opcional. Si configuras un ID de cliente web de Google Meet u otros IDs de cliente de aplicaciones de plataformas que no sean web, proporciona un ID de cliente para cada uno. En el caso de Google Identity Platform, usa los IDs de cliente que se indican en la sección Si vas a utilizar la identidad de Google para el CLC.
Ubicación del endpoint:
us-central1.Número de usuarios previsto: indica el número de usuarios previsto en tu instancia de Google Workspace.
Verifica que la URL JWKS de tu IdP sea accesible públicamente. Confirma los valores de emisor del token JWT y de audiencia del token JWT con el administrador de tu IdP.
Configurar un proyecto de Google Cloud para Cloud KMS
Cloud HSM para los endpoints de Google Workspace se basa en las claves de Cloud KMS para las operaciones criptográficas. Configura un nuevo Google Cloud proyecto para alojar las claves de Cloud KMS.
Crea un Google Cloud proyecto. Este es tu proyecto clave. Anota el ID y el número del proyecto, ya que los necesitarás para completar la configuración.
Habilita la API Cloud KMS en tu Google Cloud proyecto de claves.
En la Google Cloud consola, haz clic en Terminal Activar Cloud Shell.
Comprueba que estás en el proyecto correcto comparando tu ID de proyecto con el ID de proyecto de la petición de Cloud Shell.
Con Cloud Shell, crea la cuenta de servicio de Cloud HSM para Google Workspace:
gcloud beta services identity create --service=cloudkmskacls-pa.googleapis.comAnota la identidad del servicio creada con este comando. Necesitarás el nombre de la identidad de servicio en el siguiente paso.
Asigna el rol Agente de servicio de claves de CHGWS a la cuenta de servicio que has creado:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \ --role=roles/cloudkmskacls.serviceAgentHaz los cambios siguientes:
PROJECT_ID: el ID del proyecto de tu clave.PROJECT_NUMBER: el número de proyecto de tu proyecto de clave.
Gestionar el endpoint de servicio de CHGWS
En las siguientes secciones se explica cómo configurar y gestionar los endpoints de CHGWS.
Configurar claves de Cloud KMS
Configura los recursos de Cloud KMS para el endpoint de servicio de tu clave de CHGWS.
Crea un conjunto de claves en la región
us-central1:gcloud kms keyrings create KEY_RING --location us-central1Sustituye
KEY_RINGpor el nombre que quieras usar para tu conjunto de claves de CHGWS. Por ejemplo,CHGWS_KEY_RING.Crea una clave de Cloud HSM:
gcloud kms keys create KEY_NAME \ --protection-level "hsm" \ --keyring KEY_RING \ --location us-central1 \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIMEHaz los cambios siguientes:
KEY_NAME: el nombre que quieras usar para tu clave (por ejemplo,CHGWS_KEY_RING).KEY_RING: el nombre de tu llavero (por ejemplo,CHGWS_KEY).ROTATION_PERIOD: la frecuencia con la que quieres rotar las claves (por ejemplo,7d).NEXT_ROTATION_TIME: fecha y hora en las que se producirá la próxima rotación de claves (por ejemplo,2024-03-20T01:00:00).
Solicitar la creación de un endpoint
Para solicitar la creación de un endpoint, ponte en contacto con tu representante de cuenta para obtener ayuda con el envío de una solicitud de incorporación de endpoint. En la solicitud, incluya la siguiente información:
- ID de Workspace:
GOOGLE_WORKSPACE_ID - ID de proyecto de Google Cloud:
PROJECT_ID - Número de proyecto de Google Cloud:
PROJECT_NUMBER - Nombre del conjunto de claves de Cloud KMS:
KEY_RING - Ubicación del conjunto de claves de Cloud KMS:
us-central1 - Nombre de clave de Cloud KMS:
KEY_NAME - URL base de CHGWS: opcional. Lista de URLs para habilitar la migración de claves. Si es la primera vez que configuras CHGWS para este Google Workspace, deja este campo en blanco.
Configurar el endpoint de CHGWS en el cifrado del lado del cliente de Google Workspace
Configura CLC de Google Workspace para que use la URL de CHGWS generada al crear el endpoint CHGWS. Sigue las instrucciones que se indican en el artículo Añadir y gestionar servicios de claves para el cifrado por parte del cliente.
Migrar endpoints
CHGWS te ofrece la flexibilidad de mover tu servicio de claves a CHGWS o desde CHGWS. Para iniciar una migración de CHGWS, ponte en contacto con tu representante de cuenta para que te ayude a enviar una solicitud de migración. En la solicitud, incluye la siguiente información:
- ID de endpoint: el ID de endpoint de CHGWS.
- URL base de CHGWS: lista de URLs para habilitar la migración de claves de CHGWS.
- Si migras a Cloud HSM para Google Workspace, proporciona la URL base de cada endpoint de CHGWS desde el que migres.
- Si migras desde Cloud HSM para Google Workspace, proporciona las URLs base de los endpoints de CHGWS a los que quieras migrar.
Si migras entre dos endpoints de Cloud HSM para Google Workspace diferentes, envía dos solicitudes independientes: una desde el endpoint anterior y otra al nuevo endpoint.
Eliminar o inhabilitar endpoints
No se admiten directamente las operaciones de eliminación o inhabilitación en el endpoint de Cloud HSM para Google Workspace. Sin embargo, puedes inhabilitar un endpoint de Cloud HSM para Google Workspace si inhabilitas todas las versiones de las claves de Cloud KMS subyacentes.
Por cada versión de la clave de Cloud KMS que respalde el endpoint, ejecuta el siguiente comando:
gcloud kms keys versions disable KEY_VERSION --keyring \ KEY_RING --location us-central1 --key KEY_NAMEHaz los cambios siguientes:
KEY_VERSION: la versión de la clave que quieres inhabilitar (por ejemplo,1).KEY_RING: el nombre del conjunto de claves. Por ejemplo,CHGWS_KEY_RING.KEY_NAME: nombre de la clave (por ejemplo,CHGWS_KEY).
Habilitar endpoints
Si has inhabilitado un endpoint de CHGWS inhabilitando todas las versiones de la clave de Cloud KMS subyacente, puedes volver a habilitarlo. Para volver a habilitar el endpoint, habilita todas las versiones activas de la clave de Cloud KMS de respaldo con el siguiente comando de la CLI de gcloud:
Por cada versión de la clave de Cloud KMS que respalde el endpoint, ejecuta el siguiente comando:
gcloud kms keys versions enable KEY_VERSION \ --keyring KEY_RING --location us-central1 --key KEY_NAMEHaz los cambios siguientes:
KEY_VERSION: la versión de la clave que quieres inhabilitar (por ejemplo,1).KEY_RING: el nombre del conjunto de claves. Por ejemplo,CHGWS_KEY_RING.KEY_NAME: nombre de la clave (por ejemplo,CHGWS_KEY).
Siguientes pasos
- Consulta más información sobre Cloud HSM para Google Workspace.
- Consulta más información sobre Cloud Key Management Service.
- Consulta cómo añadir y gestionar servicios de claves para el cifrado por parte del cliente.