En esta página, se describe el uso de claves de encriptación administradas por el cliente (CMEK) para administrar Google Cloud NetApp Volumes.
Acerca de la CMEK
NetApp Volumes siempre encriptan tus datos con claves específicas del volumen. NetApp Volumes siempre encripta tus datos en reposo.
Con la CMEK, Cloud Key Management Service encapsula las claves de volumen almacenadas. Esta función te brinda mayor control sobre las claves de encriptación que usas y la seguridad adicional de almacenar las claves en un sistema o en una ubicación diferente de los datos. NetApp Volumes admite las capacidades de Cloud Key Management Service, como los módulos de seguridad de hardware y el ciclo de vida completo de administración de claves (generación, uso, rotación y destrucción).
NetApp Volumes admite una política de CMEK por región. Una política de CMEK se adjunta a un grupo de almacenamiento, y todos los volúmenes creados en ese grupo la usan. Puedes tener una combinación de grupos de almacenamiento con y sin políticas de CMEK en una región. Si tienes grupos sin CMEK en una región específica, puedes convertirlos a CMEK con la acción de migración de la política de CMEK de una región.
El uso de CMEK es opcional. Si se usan, las políticas de CMEK son específicas de la región. Solo puedes configurar una política por región.
Consideraciones
En las siguientes secciones, se incluyen las limitaciones de la CMEK que se deben tener en cuenta.
Administración de claves
El uso de CMEK te convierte en el único responsable de tus claves y tus datos.
Configuraciones de Cloud KMS
La CMEK usa claves simétricas para la encriptación y desencriptación.
Después de que se borran todos los volúmenes de una región para un proyecto, la configuración de Cloud KMS vuelve a un estado Ready creado. Se vuelve a usar cuando creas el siguiente volumen en esa región.
Llaveros de claves regionales
NetApp Volumes solo admiten llaveros de claves del KMS regionales y deben residir en la misma región que la política de CMEK.
Nivel de servicio
La CMEK admite los grupos de almacenamiento con niveles de servicio Flex, Estándar, Premium y Extremo.
Controles del servicio de VPC
Cuando uses los Controles del servicio de VPC, asegúrate de tener en cuenta las limitaciones de los Controles del servicio de VPC para los volúmenes de NetApp.
Política de la organización de CMEK
La política de la organización de CMEK para NetApp Volumes brinda a las organizaciones control sobre las claves de encriptación de datos y restringe las claves que se pueden usar para la CMEK. Esto se logra aplicando el uso de CMEK para encriptar datos en reposo en los nuevos grupos de almacenamiento y permitiendo que las organizaciones administren las claves de encriptación con Cloud KMS. La política de la organización se aplica cuando se crea el grupo de almacenamiento y no afecta a los grupos de almacenamiento existentes.
Las políticas de la organización permiten que los administradores apliquen y hagan cumplir restricciones coherentes en todos los proyectos y recursos. Esto es importante para las organizaciones que administran varios proyectos y recursos para aplicar políticas estandarizadas.
Existen dos tipos de restricciones de políticas de la organización que se pueden aplicar a la CMEK:
Restringe los servicios que no son de CMEK: Te permite especificar qué servicios dentro de una organización, un proyecto o una carpeta se pueden configurar sin CMEK. Si agregas un servicio a la lista de rechazo o lo excluyes de la lista de entidades permitidas, los recursos de ese servicio requerirán CMEK. De forma predeterminada, esta restricción permite la creación de recursos que no son de CMEK.
Restringe los proyectos de claves criptográficas CMEK: Te permite definir qué proyectos pueden proporcionar claves de KMS para CMEK cuando configuras recursos dentro de la organización, el proyecto o la carpeta. Si se establece esta restricción, solo se pueden usar las claves de KMS de los proyectos especificados para los recursos protegidos por CMEK. Si no se establece la restricción, se pueden usar CryptoKeys de cualquier proyecto.
Para obtener más información sobre cómo aplicar una política de la organización, consulta Aplica una política de la organización de CMEK.
Opciones de CMEK
NetApp Volumes ofrecen compatibilidad con las CMEK, que se pueden almacenar como claves de software, claves de hardware dentro de un clúster de HSM o como claves externas almacenadas en Cloud External Key Manager (Cloud EKM).
Para obtener más información, consulta Cloud Key Management Service.
Impacto operativo de los errores clave
Los recursos y las operaciones de NetApp Volumes pueden verse afectados si se inhabilita una clave de Cloud KMS que se usa en una política de CMEK o si se pierde el acceso a una clave externa.
Las claves externas son administradas por un tercero, y Google Cloud no es responsable de la disponibilidad de las claves.
Si el administrador de claves externo (EKM) notifica a Cloud Key Management Service que no se puede acceder a una clave externa, los volúmenes que usan esa clave se desconectan, lo que impide las operaciones de lectura y escritura. El mismo resultado se produce si se inhabilita una clave de Cloud KMS.
Los usuarios también reciben un error con detalles sobre el estado actual de la clave si se intenta realizar alguna de las siguientes operaciones mientras no se puede acceder al EKM o la clave de Cloud KMS está inhabilitada en las regiones de origen o destino para la replicación: