Habilitar claves de cifrado gestionadas por el cliente en Looker (Google Cloud Core)

De forma predeterminada, Google Cloud cifra automáticamentelos datos cuando están en reposo mediante claves de cifrado gestionadas por Google. Si tienes requisitos de cumplimiento o normativos específicos relacionados con las claves que protegen tus datos, puedes usar claves de cifrado gestionadas por el cliente (CMEK) para cifrar Looker (Google Cloud core) a nivel de aplicación.

Para obtener más información sobre las CMEK en general, incluido cuándo y por qué habilitarlas, consulta la documentación de Cloud Key Management Service.

En esta página se explica cómo configurar una instancia de Looker (Google Cloud core) para usar CMEK.

¿Cómo interactúa Looker (Google Cloud core) con CMEK?

Looker (Google Cloud core) usa una sola clave CMEK (a través de una jerarquía de claves secundarias) para proteger los datos sensibles que gestiona la instancia de Looker (Google Cloud core). Durante el inicio, cada proceso de la instancia de Looker hace una llamada inicial a Cloud Key Management Service (KMS) para descifrar la clave. Durante el funcionamiento normal (después del inicio), toda la instancia de Looker hace una sola llamada a KMS aproximadamente cada cinco minutos para verificar que la clave sigue siendo válida.

¿Qué tipos de instancias de Looker (Google Cloud core) admiten CMEK?

Las instancias de Looker (Google Cloud core) admiten CMEK si se cumplen dos criterios:

• Los pasos de configuración de CMEK que se describen en esta página se completan antes de que se cree la instancia de Looker (Google Cloud core). No puedes habilitar claves de cifrado gestionadas por el cliente en instancias ya creadas.
• Las ediciones de instancia deben ser Enterprise o Embed.

Flujo de trabajo para crear una instancia de Looker (Google Cloud Core) con CMEK

En esta página se explican los pasos que debes seguir para configurar las claves de cifrado gestionadas por el cliente en una instancia de Looker (Google Cloud Core).

1. Configura tu entorno.
2. Solo para usuarios de la CLI de Google Cloud, Terraform y la API: crea una cuenta de servicio para cada proyecto que requiera claves de cifrado gestionadas por el cliente, si aún no se ha configurado una cuenta de servicio de Looker para el proyecto.
3. Crea un conjunto de claves y una clave, y define la ubicación de la clave. La ubicación es la región de Google Cloud en la que quieres crear la instancia de Looker (Google Cloud Core).
4. Solo para usuarios de la CLI de Google Cloud, Terraform y la API: copia o anota el ID de la clave (KMS_KEY_ID) y la ubicación de la clave, junto con el ID (KMS_KEYRING_ID) del llavero de claves. Necesitarás esta información para conceder acceso a la clave a la cuenta de servicio.
5. Solo para usuarios de la CLI de Google Cloud, Terraform y la API: concede acceso a la clave a la cuenta de servicio.
6. Ve a tu proyecto y crea una instancia de Looker (Google Cloud Core) con las siguientes opciones:
   1. Selecciona la misma ubicación que la clave de cifrado gestionada por el cliente.
   2. Define la edición como Enterprise o Insertar.
   3. Habilita la configuración de clave gestionada por el cliente.
   4. Añade la clave de cifrado gestionada por el cliente por nombre o por ID.

Una vez que hayas completado todos estos pasos, la CMEK se habilitará en tu instancia de Looker (Google Cloud core).

Antes de empezar

Si aún no lo has hecho, asegúrate de que tu entorno esté configurado para que puedas seguir las instrucciones de esta página. Sigue los pasos de esta sección para asegurarte de que la configuración es correcta.

1. En la Google Cloud consola, en la página del selector de proyectos, selecciona o crea un Google Cloud proyecto. Nota: Si no tienes la intención de guardar los recursos que obtendrás a lo largo de este procedimiento, crea un proyecto en lugar de seleccionar uno disponible. Después de completar estos pasos, podrás eliminar el proyecto y, con él, todos los recursos asociados.

   Ir al selector de proyectos

2. Comprueba que la facturación esté habilitada en tu Google Cloud proyecto. Consulta cómo comprobar si la facturación está habilitada en un proyecto.
3. Instala Google Cloud CLI.

4. Para inicializar gcloud CLI, ejecuta el siguiente comando:

   gcloud init
   

5. Habilita la API Cloud Key Management Service.

   Habilitar la API

6. Habilita la API Looker (servicio principal de Google Cloud).

   Habilitar la API

Roles obligatorios

Para saber qué roles se necesitan para configurar CMEK, consulta la página Control de acceso con gestión de identidades y accesos de la documentación de Cloud Key Management Service.

Para crear una instancia de Looker (Google Cloud core), asegúrate de tener el rol de gestión de identidades y accesos Administrador de Looker en el proyecto en el que se crea la instancia de Looker (Google Cloud core). Para habilitar las CMEK en la instancia desde la Google Cloud consola, asegúrate de tener el rol de gestión de identidades y accesos Encargado del encriptado y desencriptado de la clave criptográfica Cloud KMS en la clave que se va a usar para las CMEK.

Si necesitas dar acceso a la cuenta de servicio de Looker a una clave de Cloud KMS, debes tener el rol de gestión de identidades y accesos Administrador de Cloud KMS en la clave que se esté usando.

Crear una cuenta de servicio

Si usas la CLI de Google Cloud, Terraform o la API para crear tu instancia de Looker (Google Cloud core) y aún no se ha creado una cuenta de servicio de Looker para el Google Cloud proyecto en el que se alojará, debes crear una cuenta de servicio para ese proyecto. Si vas a crear más de una instancia de Looker (Google Cloud core) en el proyecto, la misma cuenta de servicio se aplicará a todas las instancias de Looker (Google Cloud core) de ese proyecto, por lo que solo tendrás que crearla una vez. Si usas la consola para crear una instancia, Looker (Google Cloud core) creará automáticamente la cuenta de servicio y le concederá acceso a la clave CMEK cuando configures la opción Usar una clave de cifrado gestionada por el cliente.

Para permitir que un usuario gestione cuentas de servicio, concédele uno de los siguientes roles:

• Usuario de cuenta de servicio (roles/iam.serviceAccountUser): incluye permisos para enumerar cuentas de servicio, obtener detalles sobre una cuenta de servicio y suplantar la identidad de una cuenta de servicio.
• Administrador de cuentas de servicio (roles/iam.serviceAccountAdmin): incluye permisos para enumerar cuentas de servicio y obtener detalles sobre una cuenta de servicio. También incluye permisos para crear, actualizar y eliminar cuentas de servicio.

Actualmente, solo puedes usar comandos de CLI de Google Cloud para crear el tipo de cuenta de servicio que necesitas para las claves de cifrado gestionadas por el cliente. Si usas la Google Cloud consola, Looker (en la infraestructura de Google Cloud) crea automáticamente esta cuenta de servicio.

gcloud beta services identity create \
--service=looker.googleapis.com \
--project=PROJECT_ID

Este comando crea la cuenta de servicio y devuelve su nombre. Usarás este nombre de cuenta de servicio durante el procedimiento descrito en la sección Conceder acceso a la clave a la cuenta de servicio.

Después de crear la cuenta de servicio, espera unos minutos a que se propague.

Crear un conjunto de claves y una clave

Puedes crear la clave en el mismo Google Cloud proyecto que la instancia de Looker (Google Cloud Core) o en un proyecto de usuario independiente. La ubicación del conjunto de claves de Cloud KMS debe coincidir con la región en la que quieras crear la instancia de Looker (Google Cloud core). Una clave de región multirregional o global no funcionará. La solicitud de creación de la instancia de Looker (Google Cloud Core) falla si las regiones no coinciden.

Sigue las instrucciones de las páginas de documentación Crear un conjunto de claves y Crear una clave para crear un conjunto de claves y una clave que cumplan los dos criterios siguientes:

• El campo Ubicación del conjunto de claves debe coincidir con la región que definas para la instancia de Looker (Google Cloud Core).
• El campo Propósito de la clave debe ser Encriptado y desencriptado simétrico.

Consulta la sección Rota tu clave para obtener información sobre cómo rotar la clave y crear nuevas versiones de la clave.

Copia o anota el KMS_KEY_ID y el KMS_KEYRING_ID.

Si usas la CLI de Google Cloud, Terraform o la API para configurar tu instancia de Looker (Google Cloud core), sigue las instrucciones de la página de documentación Obtener un ID de recurso de Cloud KMS para localizar los IDs de recurso del conjunto de claves y de la clave que acabas de crear. Copia o anota el ID de la clave (KMS_KEY_ID) y la ubicación de la clave, así como el ID (KMS_KEYRING_ID) del conjunto de claves. Necesitarás esta información para conceder acceso a la clave a la cuenta de servicio.

Concede acceso a la clave a la cuenta de servicio

Solo tienes que seguir este procedimiento si se cumplen estas dos condiciones:

• Estás usando la CLI de Google Cloud, Terraform o la API.
• La cuenta de servicio aún no tiene acceso a la clave. Por ejemplo, si ya hay una instancia de Looker (en la infraestructura de Google Cloud) en el mismo proyecto que usa la misma clave, no es necesario que concedas acceso. Si otra persona ya ha concedido acceso a la llave, no es necesario que lo hagas tú.

Debes tener el rol de gestión de identidades y accesos Administrador de Cloud KMS en la clave que se está usando para conceder acceso a la cuenta de servicio.

Para conceder acceso a la cuenta de servicio, sigue estos pasos:

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--location=REGION \
--keyring=KMS_KEYRING_ID \
--member=serviceAccount:SERVICE_ACCOUNT_NAME \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Después de conceder el rol de gestión de identidades y accesos a la cuenta de servicio, espera unos minutos a que el permiso se propague.

Crear una instancia de Looker (Google Cloud Core) con CMEK

Para crear una instancia con claves de cifrado gestionadas por el cliente en la consola de Google Cloud , primero sigue los pasos de la sección Crear un conjunto de claves y una clave, que se muestra más arriba, para crear un conjunto de claves y una clave en la misma región que usarás para tu instancia de Looker (Google Cloud core). A continuación, sigue las instrucciones para crear una instancia de Looker (Google Cloud core) con los siguientes ajustes.

Para crear una instancia de Looker (Google Cloud core) con ajustes de CMEK, selecciona una de las siguientes opciones:

gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID\
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--kms-key=KMS_KEY_ID
--region=REGION \
--edition=EDITION
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

Tu instancia de Looker (Google Cloud core) ahora tiene habilitada la función de claves de cifrado gestionadas por el cliente (CMEK).

Ver información de la clave de una instancia habilitada para CMEK

Una vez que hayas creado una instancia de Looker (Google Cloud Core), puedes comprobar si CMEK está habilitada.

Para comprobar si CMEK está habilitada, selecciona una de las siguientes opciones:

gcloud looker instances describe INSTANCE_NAME --region=REGION --format config

Usar Cloud External Key Manager (Cloud EKM)

Para proteger los datos de las instancias de Looker (Google Cloud core), puedes usar las claves que gestionas en un partner de gestión de claves externo admitido. Para obtener más información, consulta la página de documentación de Cloud External Key Manager, incluida la sección Consideraciones.

Cuando quieras crear una clave de Cloud EKM, consulta la sección Cómo funciona de la página de documentación Cloud External Key Manager. Una vez creada la clave, proporciona su nombre al crear una instancia de Looker (Google Cloud Core).

Google no controla la disponibilidad de las claves en el sistema de un partner de gestión de claves externo.

Rotar tu llave

Te recomendamos que rotes tu llave para mejorar la seguridad. Cada vez que se rota una clave, se crea una nueva versión. Para obtener más información sobre la rotación de claves, consulta la página de documentación Rotación de claves.

Si cambias la clave que se usa para proteger tu instancia de Looker (Google Cloud core), la versión anterior de la clave seguirá siendo necesaria para acceder a las copias de seguridad o las exportaciones que se hayan creado cuando se usaba esa versión de la clave. Por este motivo, Google recomienda mantener habilitada la versión anterior de la clave durante al menos 45 días después de la rotación para asegurarse de que se pueda seguir accediendo a esos elementos. Las versiones de claves se conservan de forma predeterminada hasta que se inhabilitan o se destruyen.

Inhabilitar y volver a habilitar versiones de clave

Consulta las siguientes páginas de documentación:

• Inhabilitar una versión de clave habilitada
• Habilitar una versión de clave inhabilitada

Si se inhabilita una versión de una clave que se usa para proteger una instancia de Looker (Google Cloud core), la instancia de Looker (Google Cloud core) debe dejar de funcionar, borrar los datos sensibles sin cifrar que pueda tener en la memoria y esperar hasta que la clave vuelva a estar disponible. El proceso es el siguiente:

1. La versión de clave que se usa para proteger una instancia de Looker (Google Cloud Core) está inhabilitada.
2. En un plazo de 15 minutos, aproximadamente, la instancia de Looker (Google Cloud core) detecta que la versión de la clave se ha revocado, deja de funcionar y borra todos los datos cifrados de la memoria.
3. Una vez que la instancia deje de funcionar, las llamadas a las APIs de Looker devolverán un mensaje de error.
4. Cuando la instancia deje de funcionar, la interfaz de usuario de Looker (principal de Google Cloud) devolverá un mensaje de error.
5. Si vuelves a habilitar la versión de la clave, debes activar manualmente el reinicio de la instancia.

Si inhabilitas una versión de una clave y no quieres esperar a que la instancia de Looker (Google Cloud Core) se detenga por sí sola, puedes activar manualmente el reinicio de la instancia para que detecte la versión de la clave revocada inmediatamente.

Eliminar versiones de clave

Consulta la siguiente página de documentación:

• Destruir y restaurar versiones de claves

Si se destruye una versión de clave que se usa para proteger una instancia de Looker (Core de Google Cloud), no se podrá acceder a la instancia de Looker. La instancia se eliminará y no podrás acceder a sus datos.

Solucionar problemas

En esta sección se describen algunas acciones que puedes probar cuando recibas un mensaje de error al configurar o usar instancias habilitadas para CMEK.

Es posible que las operaciones de administrador de Looker (Google Cloud core), como crear o actualizar, fallen debido a errores de Cloud KMS y a la falta de roles o permisos. Entre los motivos habituales de los errores se incluyen la falta de una versión de la clave de Cloud KMS, una versión de la clave de Cloud KMS inhabilitada o destruida, permisos de IAM insuficientes para acceder a la versión de la clave de Cloud KMS o que la versión de la clave de Cloud KMS esté en una región diferente a la de la instancia de Looker (Google Cloud Core). Usa la siguiente tabla para diagnosticar y resolver problemas habituales.

Tabla de solución de problemas de claves de cifrado gestionadas por el cliente

Siguientes pasos

• Administrar una instancia de Looker (Google Cloud Core) desde la Google Cloud consola
• Ajustes de administrador de Looker (servicio principal de Google Cloud)