Configurar CMEK para Cloud Logging

En este documento se describe cómo configurar y gestionar las claves de cifrado gestionadas por el cliente (CMEK) de Cloud Logging para cumplir los requisitos de cumplimiento de tu organización. Puedes configurar CMEK como ajuste de recurso predeterminado para una organización, una carpeta o ambas. Cuando se configura, Cloud Logging se asegura de que todos los nuevos cubos de registro de la organización o la carpeta se cifren con una clave gestionada por el cliente.

Puedes configurar ajustes predeterminados para una organización y para carpetas. Cuando creas recursos, estos heredan la configuración predeterminada de su elemento superior. Por ejemplo, si configuras CMEK como ajuste de recurso predeterminado de una organización, los segmentos de registro _Default y _Required que se creen en proyectos, carpetas o cuentas de facturación de esa organización se cifrarán con la clave predeterminada. Además, si creas un bucket de registro personalizado en un proyecto que sea secundario de esa organización, se usará automáticamente la clave predeterminada, a menos que proporciones otra clave al crear el bucket de registro.

En las instrucciones de esta guía se usa la CLI de Google Cloud.

Información general

De forma predeterminada, Cloud Logging encripta el contenido de los clientes en reposo. Logging se encarga del cifrado sin que tengas que hacer nada más. Esta opción se llama Cifrado predeterminado de Google.

Si quieres controlar tus claves de cifrado, puedes usar claves de cifrado gestionadas por el cliente (CMEKs) en Cloud KMS con servicios integrados con CMEKs, como Logging. Si usas claves de Cloud KMS, tendrás control sobre su nivel de protección, ubicación, calendario de rotación, permisos de uso y acceso, y límites criptográficos. Además, Cloud KMS te permite ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google sea el propietario y gestione las claves de cifrado de claves (KEKs) simétricas que protegen tus datos, tú controlas y gestionas estas claves en Cloud KMS.

Una vez que hayas configurado tus recursos con CMEKs, la experiencia de acceso a tus recursos de Logging será similar a la de usar el cifrado predeterminado de Google. Para obtener más información sobre las opciones de encriptado, consulta Claves de encriptado gestionadas por el cliente (CMEK).

Cuando configuras CMEK como ajuste de recurso predeterminado para Logging, ocurre lo siguiente:

  • Los nuevos contenedores de registro de la organización o la carpeta se cifran automáticamente con la clave configurada. Sin embargo, puedes cambiar esa clave o crear segmentos de registro y especificar otra clave. Para obtener más información, consulta el artículo sobre cómo configurar CMEK para segmentos de registro.
  • Si usas Analíticas de registros y consultas varios segmentos de registros, es posible que se use la clave predeterminada para cifrar los datos temporales. Para obtener más información, consulta las restricciones de Log Analytics.

Antes de empezar

Para empezar, sigue estos pasos:

  1. Antes de crear un contenedor de registro con la clave de cifrado gestionada por el cliente habilitada, consulta las limitaciones.

  2. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  3. Configura el Google Cloud proyecto en el que quieras crear las claves:

    1. Para obtener los permisos que necesitas para crear claves, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de Cloud KMS (roles/cloudkms.admin) en tu proyecto. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

      También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

    2. Habilita la API Cloud KMS.

    3. Crea un conjunto de claves y claves.

      Cloud Logging te permite usar una clave de cualquier región. Sin embargo, cuando creas un segmento de registro, la ubicación del segmento de registro debe coincidir con la ubicación de la clave. Para obtener información sobre las regiones admitidas, consulta lo siguiente:

      Si configuras CMEK como ajuste de recurso predeterminado para Logging siguiendo los pasos de este documento, los nuevos segmentos de registro que se creen en la organización o en la carpeta se configurarán automáticamente para usar CMEK. Además, como la ubicación de un segmento de registro debe coincidir con la de la clave, después de configurar CMEK como ajuste de recurso predeterminado, no podrás crear segmentos de registro en la región global.

  4. Asegúrate de que tu rol de gestión de identidades y accesos en la organización o carpeta cuya configuración predeterminada quieras configurar incluya los siguientes permisos de Cloud Logging:

    • logging.settings.get
    • logging.settings.update

    5. Habilitar CMEK en una organización o una carpeta

    Sigue estas instrucciones para habilitar CMEK en tuGoogle Cloud carpeta u organización.

    Determinar el ID de la cuenta de servicio

    Para determinar el ID de la cuenta de servicio asociada a la organización o la carpeta a la que se aplicará CMEK, ejecuta el siguiente comando:gcloud logging settings describe

    FOLDER 

     gcloud logging settings describe --folder=FOLDER_ID

    Antes de ejecutar el comando anterior, haz la siguiente sustitución:

    • FOLDER_ID: identificador numérico único de la carpeta. Para obtener información sobre cómo usar carpetas, consulta el artículo Crear y gestionar carpetas.

    ORGANIZACIÓN 

    gcloud logging settings describe --organization=ORGANIZATION_ID

    Antes de ejecutar el comando anterior, haz la siguiente sustitución:

    • ORGANIZATION_ID: identificador numérico único de la organización. Para obtener información sobre cómo conseguir este identificador, consulta Obtener el ID de tu organización.

    El comando anterior genera cuentas de servicio para la organización o la carpeta cuando no existen. El comando también devuelve los IDs de dos cuentas de servicio, una en el campo kmsServiceAccountId y la otra en el campo loggingServiceAccountId. Para configurar las CMEK como ajuste predeterminado, usa el valor del campo kmsServiceAccountId.

    A continuación se muestra un ejemplo de respuesta al comando anterior cuando se especifica una organización:

    kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
name: organizations/ORGANIZATION_ID/settings

    Ejecuta el proceso de aprovisionamiento una vez por recurso. Si ejecutas el comando describe varias veces, se devuelve el mismo valor para el campo kmsServiceAccountId.

    Si no puedes usar la CLI de Google Cloud, ejecuta el método de la API Cloud Logging getSettings.

    Asignar el rol Encrypter/Decrypter

    Para usar CMEK, da permiso a la cuenta de servicio para usar tu Cloud KMS asignándole el rol Encargado del encriptado y desencriptado de la clave criptográfica Cloud KMS:

    gcloud

    gcloud kms keys add-iam-policy-binding \
--project=KMS_PROJECT_ID \
--member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter \
--location=KMS_KEY_LOCATION \
--keyring=KMS_KEY_RING \
KMS_KEY_NAME

    Antes de ejecutar el comando anterior, haz las siguientes sustituciones:

    • KMS_PROJECT_ID: identificador alfanumérico único, compuesto por el nombre de tu proyecto Google Cloud y un número asignado aleatoriamente, del Google Cloud proyecto que ejecuta Cloud KMS. Para obtener información sobre cómo conseguir este identificador, consulta el artículo sobre cómo identificar proyectos.
    • KMS_SERVICE_ACCT_NAME: el nombre de la cuenta de servicio que se muestra en el campo kmsServiceAccountId de la respuesta del comando gcloud logging settings describe.
    • KMS_KEY_LOCATION: la región de la clave de Cloud KMS.
    • KMS_KEY_RING: nombre del conjunto de claves de Cloud KMS.
    • KMS_KEY_NAME: Nombre de la clave de Cloud KMS. Tiene este formato: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

    Consola

    1. En la Google Cloud consola, ve a la página Gestión de claves.

      Ir a Gestión de claves

    2. Selecciona el nombre del conjunto de claves que contiene la clave.

    3. Selecciona la casilla de la clave.

      La pestaña Permisos estará disponible.

    4. En el cuadro de diálogo Añadir miembros, especifica la dirección de correo de la cuenta de servicio de Logging a la que vas a conceder acceso.

    5. En el menú desplegable Selecciona un rol, elige Encargado del encriptado y desencriptado de la clave criptográfica Cloud KMS.

    6. Haz clic en Añadir.

    Configurar las políticas de la organización

    .

    Logging admite políticas de organización que pueden requerir protección con CMEK y limitar las claves criptográficas de Cloud KMS que se pueden usar para la protección con CMEK:

    • Cuando logging.googleapis.com está en la lista de políticas de Deny de servicios de la restricción constraints/gcp.restrictNonCmekServices, Logging rechaza la creación de segmentos definidos por el usuario que no estén protegidos por CMEK. Sin embargo, esta restricción no impide que Cloud Logging cree los segmentos de registro _Required y _Default, que se crean cuando se crea unGoogle Cloud proyecto.

    • Cuando se aplica constraints/gcp.restrictCmekCryptoKeyProjects, Logging crea recursos protegidos con CMEK que están protegidos por una CryptoKey de un proyecto, una carpeta o una organización permitidos.

    Para obtener más información sobre CMEK y las políticas de la organización, consulta Políticas de la organización de CMEK.

    Cuando haya una política de organización que especifique una restricción de CMEK, asegúrate de que esas restricciones sean coherentes con la configuración predeterminada de Logging para una organización o una carpeta. Además, si tienes previsto modificar la configuración predeterminada, antes de hacerlo, revisa las políticas de la organización y, si es necesario, actualízalas.

    Para ver o configurar políticas de organización, haz lo siguiente:

    1. En la Google Cloud consola, ve a la página Políticas de la organización:

      Ve a Políticas de la organización.

      Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo sea IAM y administrador.

    2. Selecciona tu organización.

    3. Verifica y, si es necesario, actualiza las restricciones específicas de CMEK.

      Para obtener información sobre cómo modificar una política de la organización, consulta el artículo Crear y editar políticas.

    Configurar Cloud Logging con la clave de Cloud KMS

    Para configurar CMEK como ajuste de recurso predeterminado para Logging, ejecuta el siguiente comando:gcloud logging settings update

    FOLDER 

    gcloud logging settings update \
    --folder=FOLDER_ID \
    --kms-location=KMS_KEY_LOCATION \
    --kms-key-name=KMS_KEY_NAME \
    --kms-keyring=KMS_KEY_RING \
    --kms-project=KMS_PROJECT_ID

    Antes de ejecutar el comando anterior, haz las siguientes sustituciones:

    • FOLDER_ID: identificador numérico único de la carpeta. Para obtener información sobre cómo usar carpetas, consulta el artículo Crear y gestionar carpetas.
    • KMS_KEY_LOCATION: la región de la clave de Cloud KMS.
    • KMS_KEY_NAME: Nombre de la clave de Cloud KMS. Tiene este formato: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.
    • KMS_KEY_RING: nombre del conjunto de claves de Cloud KMS.
    • KMS_PROJECT_ID: identificador alfanumérico único, compuesto por el nombre de tu proyecto Google Cloud y un número asignado aleatoriamente, del Google Cloud proyecto que ejecuta Cloud KMS. Para obtener información sobre cómo conseguir este identificador, consulta el artículo sobre cómo identificar proyectos.

    El comando anterior actualiza la configuración predeterminada para almacenar información sobre la clave de Cloud KMS. Debes asegurarte de que la ubicación de almacenamiento predeterminada de la carpeta tenga el valor de KMS_KEY_LOCATION. Si no has definido la ubicación de almacenamiento predeterminada o si el valor de esa ubicación no coincide con el valor de KMS_KEY_LOCATION, añade lo siguiente al comando anterior:

    --storage-location = KMS_KEY_LOCATION

    La marca --storage-location te permite definir o actualizar la ubicación de almacenamiento predeterminada de la carpeta.

    ORGANIZACIÓN 

    gcloud logging settings update \
    --organization=ORGANIZATION_ID \
    --kms-location=KMS_KEY_LOCATION \
    --kms-key-name=KMS_KEY_NAME \
    --kms-keyring=KMS_KEY_RING \
    --kms-project=KMS_PROJECT_ID

    Antes de ejecutar el comando anterior, haz las siguientes sustituciones:

    • ORGANIZATION_ID: identificador numérico único de la organización. Para obtener información sobre cómo conseguir este identificador, consulta Obtener el ID de tu organización.
    • KMS_KEY_LOCATION: la región de la clave de Cloud KMS.
    • KMS_KEY_NAME: Nombre de la clave de Cloud KMS. Tiene este formato: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.
    • KMS_KEY_RING: nombre del conjunto de claves de Cloud KMS.
    • KMS_PROJECT_ID: identificador alfanumérico único, compuesto por el nombre de tu proyecto Google Cloud y un número asignado aleatoriamente, del Google Cloud proyecto que ejecuta Cloud KMS. Para obtener información sobre cómo conseguir este identificador, consulta el artículo sobre cómo identificar proyectos.

    El comando anterior actualiza la configuración predeterminada para almacenar información sobre la clave de Cloud KMS. Debes asegurarte de que la ubicación de almacenamiento predeterminada de la organización tenga el valor de KMS_KEY_LOCATION. Si no has definido la ubicación de almacenamiento predeterminada o si el valor de esa ubicación no coincide con el valor de KMS_KEY_LOCATION, añade lo siguiente al comando anterior:

    --storage-location = KMS_KEY_LOCATION

    La marca --storage-location te permite definir o actualizar la ubicación de almacenamiento predeterminada de la organización.

    Una vez que se aplica la clave, los nuevos contenedores de registro de la organización o la carpeta se configuran para cifrar sus datos en reposo con esta clave. También puedes cambiar las claves de los distintos contenedores de registro. No puedes crear segmentos de registro en la región global porque debes usar una clave cuya región coincida con el ámbito regional de tus datos.

    Si no puedes usar la CLI de Google Cloud, ejecuta el método de la API Cloud Logging updateSettings.

    Verificar la habilitación de la clave

    Para verificar que has habilitado correctamente CMEK en una organización o una carpeta, ejecuta el siguiente comando:gcloud logging settings describe

    FOLDER 

    gcloud logging settings describe --folder=FOLDER_ID

    Antes de ejecutar el comando anterior, haz la siguiente sustitución:

    • FOLDER_ID: identificador numérico único de la carpeta. Para obtener información sobre cómo usar carpetas, consulta el artículo Crear y gestionar carpetas.

    ORGANIZACIÓN 

    gcloud logging settings describe --organization=ORGANIZATION_ID

    Antes de ejecutar el comando anterior, haz la siguiente sustitución:

    • ORGANIZATION_ID: identificador numérico único de la organización. Para obtener información sobre cómo conseguir este identificador, consulta Obtener el ID de tu organización.

    Cuando el comando anterior devuelve el nombre de la clave de Cloud KMS, el campo kmsKeyName se rellena y CMEK se habilita en la organización o la carpeta:

    kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com

    Enrutar registros a destinos admitidos

    • Los segmentos de registro de Cloud Logging se pueden configurar para encriptar datos con CMEK. Cuando configuras CMEK como ajuste predeterminado de una organización o una carpeta, los nuevos segmentos de registro de la organización o la carpeta usan automáticamente CMEK. Puede cambiar la clave de estos contenedores de registro y crear contenedores de registro que usen una clave de KMS diferente a la especificada en la configuración predeterminada.

      Para obtener información sobre las CMEK aplicadas a los segmentos de registro, incluido cómo cambiar las claves y las limitaciones al habilitar las CMEK en un segmento de registro, consulta Configurar CMEK para segmentos de registro.

    • Cloud Storage admite las CMEK en los registros de enrutamiento. Para obtener instrucciones sobre cómo configurar CMEK en Cloud Storage, consulta Usar claves de cifrado gestionadas por el cliente.

      Si se pierden datos debido a que las claves no están disponibles al enrutar datos de registro a Cloud Storage, puedes copiar de forma retroactiva los registros en bloque a Cloud Storage cuando también estén almacenados en un segmento de registro. Para obtener más información, consulta Copiar entradas de registro.

    • De forma predeterminada, Pub/Sub cifra el contenido de los clientes almacenado en reposo. Para obtener más información, consulta Configurar el cifrado de mensajes.

    Gestionar tu clave de Cloud KMS

    En las siguientes secciones se explica cómo cambiar, revocar el acceso o inhabilitar tu clave de Cloud KMS.

    Cambiar la clave de Cloud KMS

    Para cambiar la clave de Cloud KMS asociada a una organización o una carpeta, crea una clave y, a continuación, ejecuta el comando gcloud logging settings update y proporciona información sobre la nueva clave de Cloud KMS:

    FOLDER 

    gcloud logging settings update \
    --folder=FOLDER_ID
    --kms-key-name=NEW_KMS_KEY_NAME
    --kms-location=NEW_KMS_KEY_LOCATION \
    --kms-keyring=NEW_KMS_KEY_RING \
    --kms-project=NEW_KMS_PROJECT_ID

    Debes asegurarte de que la ubicación de almacenamiento predeterminada de la carpeta tenga el valor de KMS_KEY_LOCATION. Si no has definido la ubicación de almacenamiento predeterminada o si el valor de esa ubicación no coincide con el valor de KMS_KEY_LOCATION, añade lo siguiente al comando anterior:

    --storage-location = NEW_KMS_KEY_LOCATION

    ORGANIZACIÓN 

    gcloud logging settings update \
    --organization=ORGANIZATION_ID
    --kms-key-name=NEW_KMS_KEY_NAME
    --kms-location=NEW_KMS_KEY_LOCATION \
    --kms-keyring=NEW_KMS_KEY_RING \
    --kms-project=NEW_KMS_PROJECT_ID

    Debes asegurarte de que la ubicación de almacenamiento predeterminada de la organización tenga el valor de KMS_KEY_LOCATION. Si no has definido la ubicación de almacenamiento predeterminada o si el valor de esa ubicación no coincide con el valor de KMS_KEY_LOCATION, añade lo siguiente al comando anterior:

    --storage-location = NEW_KMS_KEY_LOCATION

    Revocar el acceso a la clave de Cloud KMS

    Puedes revocar el acceso de Logging a la clave de Cloud KMS quitando el permiso de IAM de la cuenta de servicio configurada para esa clave.

    Si quitas el acceso de Logging a una clave, el cambio puede tardar hasta una hora en aplicarse.

    Para revocar el acceso de Logging a la clave de Cloud KMS, ejecuta el siguiente comando de la CLI de Google Cloud:

    gcloud kms keys remove-iam-policy-binding \
    --project=KMS_PROJECT_ID \
    --member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --location=KMS_KEY_LOCATION \
    --keyring=KMS_KEY_RING \
    KMS_KEY_NAME

    Antes de ejecutar el comando anterior, haz las siguientes sustituciones:

    • KMS_PROJECT_ID: identificador alfanumérico único, compuesto por el nombre de tu proyecto Google Cloud y un número asignado aleatoriamente, del Google Cloud proyecto que ejecuta Cloud KMS. Para obtener información sobre cómo conseguir este identificador, consulta el artículo sobre cómo identificar proyectos.
    • KMS_SERVICE_ACCT_NAME: el nombre de la cuenta de servicio que se muestra en el campo kmsServiceAccountId de la respuesta del comando gcloud logging settings describe.
    • KMS_KEY_LOCATION: la región de la clave de Cloud KMS.
    • KMS_KEY_RING: nombre del conjunto de claves de Cloud KMS.
    • KMS_KEY_NAME: Nombre de la clave de Cloud KMS. Tiene este formato: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

    Inhabilitar CMEK

    Si inhabilitas las claves de cifrado gestionadas por el cliente en una organización o una carpeta, solo se dejará de aplicar la política de claves de cifrado gestionadas por el cliente en las operaciones futuras. Las configuraciones aplicadas anteriormente no se verán afectadas.

    Para inhabilitar la CMEK en un recurso que la tenga configurada como ajuste predeterminado, ejecuta el siguiente comando de la CLI de Google Cloud:

    FOLDER 

    gcloud logging settings update --folder=FOLDER_ID --clear-kms-key

    Antes de ejecutar el comando anterior, haz la siguiente sustitución:

    • FOLDER_ID: identificador numérico único de la carpeta. Para obtener información sobre cómo usar carpetas, consulta el artículo Crear y gestionar carpetas.

    ORGANIZACIÓN 

    gcloud logging settings update --organization=ORGANIZATION_ID --clear-kms-key

    Antes de ejecutar el comando anterior, haz la siguiente sustitución:

    • ORGANIZATION_ID: identificador numérico único de la organización. Para obtener información sobre cómo conseguir este identificador, consulta Obtener el ID de tu organización.

    Si quieres destruir tu clave, consulta Destruir y restaurar versiones de clave.

    Consideraciones sobre la rotación de claves de Cloud KMS

    Cloud Logging no rota automáticamente la clave de cifrado de los archivos temporales de recuperación ante desastres cuando se rota la clave de Cloud KMS asociada a la Google Cloud organización o carpeta. Los archivos de recuperación disponibles seguirán utilizando la versión de clave con la que se crearon. Los nuevos archivos de recuperación usarán la versión de clave principal actual.

    Limitaciones

    A continuación, se indican las limitaciones conocidas al configurar CMEK como ajuste de recurso predeterminado para Logging.

    No se puede acceder a los archivos de recuperación tras fallos

    Logging considera que una clave de Cloud KMS está disponible y es accesible cuando se cumplen las dos condiciones siguientes:

    • La clave está habilitada.
    • La cuenta de servicio que aparece en el campo kmsServiceAccountId de la respuesta del comando gcloud logging settings describe tiene permisos de cifrado y descifrado en la clave.

    Si Logging pierde el acceso a la clave de Cloud KMS, no podrá escribir archivos temporales de recuperación ante desastres y, para los usuarios, las consultas dejarán de funcionar. El rendimiento de las consultas puede seguir siendo bajo incluso después de que se restaure el acceso a la clave.

    El envío de registros a Cloud Storage también puede verse afectado porque Logging no puede escribir los archivos temporales necesarios para facilitar el envío. Si se produce un error al cifrar o descifrar datos, se envía una notificación al proyecto que contiene la clave de Cloud KMS. Google Cloud

    Disponibilidad de la biblioteca de cliente

    Las bibliotecas de cliente de registro no proporcionan métodos para configurar CMEK.

    Degradación debido a que las claves de Cloud EKM no están disponibles

    Cuando usas una clave de Cloud EKM, Google no tiene control sobre la disponibilidad de tu clave gestionada de forma externa en el sistema del partner de gestión de claves externo.

    Si CMEK se configura como ajuste de recurso predeterminado de una organización o una carpeta, y una clave gestionada de forma externa no está disponible, Cloud Logging intentará acceder a la clave continuamente. Cloud Logging también almacena en búfer los datos de registro entrantes durante un máximo de una hora. Si, al cabo de una hora, Cloud Logging sigue sin poder acceder a la clave gestionada externamente, empezará a descartar los datos.

    Si se aplica una CMEK a un segmento de registro y no hay disponible una clave gestionada externamente, Cloud Logging seguirá almacenando registros en segmentos de registro, pero los usuarios no podrán acceder a esos datos.

    Consulta la documentación de Cloud External Key Manager para obtener más información sobre las consideraciones y las posibles alternativas al usar claves externas.

    Limitaciones de los segmentos de registros

    Para conocer las limitaciones que se aplican al usar claves de cifrado gestionadas por el cliente con los contenedores de registro, consulta Limitaciones.

    Cuotas

    Para obtener información sobre los límites de uso de Logging, consulta Cuotas y límites.

    Solucionar errores de configuración

    Para obtener información sobre cómo solucionar errores de configuración de CMEK, consulta el artículo Solucionar errores de CMEK y de configuración predeterminada.