En esta página se describe el uso de claves de cifrado gestionadas por el cliente (CMEK) para gestionar Google Cloud NetApp Volumes.
Acerca de CMEK
NetApp Volumes siempre cifra tus datos con claves específicas de cada volumen. NetApp Volumes siempre encripta tus datos en reposo.
Con CMEK, Cloud Key Management Service envolverá las claves de volumen almacenadas. Esta función te ofrece más control sobre las claves de cifrado que usas y la seguridad adicional de almacenar las claves en un sistema o en una ubicación diferente a la de los datos. NetApp Volumes admite funciones de Cloud Key Management Service, como módulos de seguridad de hardware y el ciclo de vida completo de la gestión de claves (generación, uso, rotación y destrucción).
NetApp Volumes admite una política de CMEK por región. Una política de CMEK se asocia a un grupo de almacenamiento y todos los volúmenes creados en ese grupo la utilizan. Puedes tener una combinación de grupos de almacenamiento con y sin políticas de CMEK en una región. Si tienes grupos sin CMEK en una región específica, puedes convertirlos a CMEK usando la acción de migración de la política de CMEK de una región.
El uso de CMEK es opcional. Si se usan, las políticas de CMEK son específicas de cada región. Solo puedes configurar una política por región.
Cuestiones importantes
En las siguientes secciones se incluyen las limitaciones de CMEK que debes tener en cuenta.
Gestión de claves
Si usas CMEK, serás el único responsable de tus claves y tus datos.
Configuraciones de Cloud KMS
Las CMEK usan claves simétricas para cifrar y descifrar.
Una vez que se hayan eliminado todos los volúmenes de una región de un proyecto, la configuración de Cloud KMS volverá al estado Ready creado. Se vuelve a usar cuando creas el siguiente volumen en esa región.
Conjuntos de claves regionales
NetApp Volumes solo admite llaveros de claves de KMS regionales y deben estar en la misma región que la política de CMEK.
Nivel de servicio
La CMEK es compatible con los niveles de servicio Flex, Standard, Premium y Extreme de los grupos de almacenamiento.
Controles de Servicio de VPC
Cuando uses Controles de Servicio de VPC, ten en cuenta las limitaciones de Controles de Servicio de VPC para volúmenes de NetApp.
Política de organización de CMEK
La política de organización de CMEK para volúmenes de NetApp permite a las organizaciones controlar las claves de cifrado de datos y restringe las claves que se pueden usar para CMEK. Para ello, se exige el uso de CMEK para cifrar los datos en reposo en los nuevos grupos de almacenamiento y se permite a las organizaciones gestionar las claves de cifrado con Cloud KMS. La política de organización se aplica al crear el pool de almacenamiento y no afecta a los pools de almacenamiento que ya existan.
Las políticas de organización permiten a los administradores aplicar y cumplir restricciones coherentes en todos los proyectos y recursos. Esto es importante para las organizaciones que gestionan varios proyectos y recursos para aplicar políticas estandarizadas.
Hay dos tipos de restricciones de políticas de organización que se pueden aplicar a CMEK:
Restringir servicios que no sean de CMEK: le permite especificar qué servicios de una organización, un proyecto o una carpeta se pueden configurar sin CMEK. Si añades un servicio a la lista de denegación o lo excluyes de la lista de permitidos, los recursos de ese servicio requerirán CMEK. De forma predeterminada, esta restricción permite la creación de recursos que no sean CMEK.
Restringir proyectos de CryptoKey de CMEK: te permite definir qué proyectos pueden proporcionar claves de KMS para CMEK al configurar recursos en la organización, el proyecto o la carpeta. Si se define esta restricción, solo se podrán usar las claves de KMS de los proyectos especificados para los recursos protegidos con CMEK. Si no se define la restricción, se pueden usar CryptoKeys de cualquier proyecto.
Para obtener más información sobre cómo aplicar una política de organización, consulta Aplicar una política de organización de CMEK.
Opciones de CMEK
NetApp Volumes ofrece compatibilidad con CMEK, que se pueden almacenar como claves de software, claves de hardware en un clúster de HSM o como claves externas almacenadas en Cloud External Key Manager (Cloud EKM).
Para obtener más información, consulta Cloud Key Management Service.
Impacto operativo de los errores clave
Los recursos y las operaciones de volúmenes de NetApp pueden verse afectados si se inhabilita una clave de Cloud KMS utilizada en una política de CMEK o si se pierde el acceso a una clave externa.
Las claves externas las gestiona un tercero y Google Cloud no es responsable de su disponibilidad.
Si External Key Manager (EKM) notifica a Cloud Key Management Service que no se puede acceder a una clave externa, los volúmenes que usen esa clave se desconectarán, lo que impedirá que se realicen operaciones de lectura y escritura. Ocurre lo mismo si se inhabilita una clave de Cloud KMS.
Los usuarios también reciben un error con detalles sobre el estado actual de la clave si se intenta realizar alguna de las siguientes operaciones mientras no se puede acceder a EKM o la clave de Cloud KMS está inhabilitada en las regiones de origen o de destino de la replicación: