Esta página se ha traducido con Cloud Translation API.

Usar claves de encriptado gestionadas por el cliente

En esta página se describe cómo usar una clave de encriptado de Cloud Key Management Service creada manualmente con Cloud Storage, lo que incluye definir claves predeterminadas en los segmentos y añadir claves a objetos concretos. Una clave de cifrado de Cloud KMS es una clave de cifrado gestionada por el cliente (CMEK). Estas claves se crean y gestionan a través de Cloud KMS, y se almacenan como claves de software en un clúster de HSM o externamente.

Si prefieres usar la función Autokey de Cloud KMS para generar conjuntos de claves y claves bajo demanda que protejan tus segmentos de Cloud Storage y los objetos que contienen, consulta el artículo Usar Autokey con recursos de Cloud Storage. Para decidir qué tipo de clave es el más adecuado para ti al comparar CMEK con Cloud KMS con Autokey y el cifrado predeterminado de Google, consulta la comparación entre CMEK y Google-owned and Google-managed encryption keys.

Antes de empezar

Antes de usar esta función en Cloud Storage, debes hacer lo siguiente:

Habilita la API Cloud KMS en el proyecto que almacenará tus claves de cifrado.

Activar la API
Tener permisos suficientes para el proyecto que almacenará tus claves de cifrado:
- Si eres el propietario del proyecto en el que se almacenarán tus claves, lo más probable es que tengas el permiso necesario.
- Si tienes previsto crear conjuntos de claves y claves de cifrado, debes tener los permisos cloudkms.keyRings.create y cloudkms.cryptoKeys.create.
- Tanto si tienes pensado usar llaveros y claves nuevos como si ya tienes, debes tener permiso cloudkms.cryptoKeys.setIamPolicy para las claves que vayas a usar para el cifrado.
  
  Este permiso te permite dar acceso a las claves de Cloud KMS a los agentes de servicio de Cloud Storage.
- Los permisos anteriores se incluyen en el rol Administrador de Cloud KMS.
  
  Consulta Usar IAM con Cloud KMS para obtener instrucciones sobre cómo obtener este u otros roles de Cloud KMS.
Tener un llavero de claves de Cloud KMS y tener al menos una clave en el llavero.

El conjunto de claves debe estar en la misma ubicación que los datos que quieras cifrar, pero puede estar en otro proyecto. Para ver las ubicaciones de Cloud KMS disponibles, consulta Ubicaciones de Cloud KMS.

Nota: En el caso de los birregionales, la ubicación de Cloud KMS debe coincidir con el código de ubicación asociado a la birregión. Esto significa que, en el caso de las regiones duales configurables, debes crear el conjunto de claves en la multirregión asociada, mientras que, en el caso de las regiones duales predefinidas, debes crear el conjunto de claves en la misma región dual predefinida.
Tener permisos suficientes para trabajar con objetos de tu segmento de Cloud Storage:
- Si eres el propietario del proyecto que contiene el cubo, lo más probable es que tengas el permiso necesario.
- Si usas IAM, debes tener el storage.objects.create permiso para escribir objetos en el segmento y el permiso storage.objects.get para leer objetos del segmento. Consulta Usar permisos de gestión de identidades y accesos para obtener instrucciones sobre cómo conseguir un rol, como Administrador de objetos de Storage, que tenga estos permisos.
- Si usas LCAs, debes tener el permiso WRITER a nivel de segmento para escribir objetos en el segmento y el permiso READER a nivel de objeto para leer objetos del segmento. Consulta Configurar ACLs para obtener instrucciones sobre cómo hacerlo.
Nota: El siguiente paso no es necesario si usas la CLI de Google Cloud.

Obtén la dirección de correo del agente de servicio asociado al proyecto que contiene tu segmento de Cloud Storage. Al realizar este paso, se crea automáticamente el agente de servicio si aún no existe.

Asignar una clave de Cloud KMS a un agente de servicio

Para usar las CMEKs, concede al agente de servicio de Cloud Storage asociado a tu cubo el permiso para usar tu clave de Cloud KMS para cifrar y descifrar:

Consola

En la Google Cloud consola, ve a la página Gestión de claves.
Ir a Gestión de claves
Haga clic en el nombre del conjunto de claves que contiene la clave que quiere usar.
Selecciona la casilla de la clave que quieras.

La pestaña Permisos del panel de la ventana de la derecha estará disponible.
En el cuadro de diálogo Añadir principales, especifica la dirección de correo del agente de servicio de Cloud Storage al que vas a conceder acceso.
En el menú desplegable Selecciona un rol, elige Encargado del encriptado y desencriptado de la clave criptográfica Cloud KMS.
Haz clic en Añadir.

Para saber cómo obtener información detallada sobre los errores de las operaciones de Cloud Storage en la consola, consulta la sección Solución de problemas. Google Cloud

Línea de comandos

Usa el comando gcloud storage service-agent con la marca --authorize-cmek para dar al agente de servicio asociado a tu segmento permiso para cifrar y descifrar objetos con tu clave de Cloud KMS:

gcloud storage service-agent --project=PROJECT_STORING_OBJECTS --authorize-cmek=KEY_RESOURCE

Donde:

PROJECT_STORING_OBJECTS es el ID o el número del proyecto que contiene los objetos que quieres cifrar o descifrar. Por ejemplo, my-pet-project.
KEY_RESOURCE es el recurso de clave de Cloud KMS.

Bibliotecas de cliente

C#

Para obtener más información, consulta la documentación de referencia de la API C# de Cloud Storage.

Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Para obtener más información, consulta el artículo Configurar la autenticación para bibliotecas de cliente.


using Google.Cloud.Iam.V1;
using Google.Cloud.Kms.V1;

public class IamAddMemberSample
{
    public Policy IamAddMember(
      string projectId = "my-project", string locationId = "us-east1", string keyRingId = "my-key-ring", string keyId = "my-key",
      string member = "user:foo@example.com")
    {
        // Create the client.
        KeyManagementServiceClient client = KeyManagementServiceClient.Create();

        // Build the resource name.
        CryptoKeyName resourceName = new CryptoKeyName(projectId, locationId, keyRingId, keyId);

        // The resource name could also be a key ring.
        // var resourceName = new KeyRingName(projectId, locationId, keyRingId);

        // Get the current IAM policy.
        Policy policy = client.IAMPolicyClient.GetIamPolicy(
            new GetIamPolicyRequest
            { 
                ResourceAsResourceName = resourceName
            });

        // Add the member to the policy.
        policy.AddRoleMember("roles/cloudkms.cryptoKeyEncrypterDecrypter", member);

        // Save the updated IAM policy.
        Policy result = client.IAMPolicyClient.SetIamPolicy(
            new SetIamPolicyRequest
            {
                ResourceAsResourceName = resourceName,
                Policy = policy
            });

        // Return the resulting policy.
        return result;
    }
}

Go

Para obtener más información, consulta la documentación de referencia de la API Go de Cloud Storage.

import (
	"context"
	"fmt"
	"io"

	kms "cloud.google.com/go/kms/apiv1"
)

// iamAddMember adds a new IAM member to the Cloud KMS key
func iamAddMember(w io.Writer, name, member string) error {
	// NOTE: The resource name can be either a key or a key ring. If IAM
	// permissions are granted on the key ring, the permissions apply to all keys
	// in the key ring.
	//
	// name := "projects/my-project/locations/us-east1/keyRings/my-key-ring/cryptoKeys/my-key"
	// member := "user:foo@example.com"

	// Create the client.
	ctx := context.Background()
	client, err := kms.NewKeyManagementClient(ctx)
	if err != nil {
		return fmt.Errorf("failed to create kms client: %w", err)
	}
	defer client.Close()

	// Get the current IAM policy.
	handle := client.ResourceIAM(name)
	policy, err := handle.Policy(ctx)
	if err != nil {
		return fmt.Errorf("failed to get IAM policy: %w", err)
	}

	// Grant the member permissions. This example grants permission to use the key
	// to encrypt data.
	policy.Add(member, "roles/cloudkms.cryptoKeyEncrypterDecrypter")
	if err := handle.SetPolicy(ctx, policy); err != nil {
		return fmt.Errorf("failed to save policy: %w", err)
	}

	fmt.Fprintf(w, "Updated IAM policy for %s\n", name)
	return nil
}

Java

Para obtener más información, consulta la documentación de referencia de la API Java de Cloud Storage.

import com.google.cloud.kms.v1.CryptoKeyName;
import com.google.cloud.kms.v1.KeyManagementServiceClient;
import com.google.iam.v1.Binding;
import com.google.iam.v1.Policy;
import java.io.IOException;

public class IamAddMember {

  public void iamAddMember() throws IOException {
    // TODO(developer): Replace these variables before running the sample.
    String projectId = "your-project-id";
    String locationId = "us-east1";
    String keyRingId = "my-key-ring";
    String keyId = "my-key";
    String member = "user:foo@example.com";
    iamAddMember(projectId, locationId, keyRingId, keyId, member);
  }

  // Add the given IAM member to the key.
  public void iamAddMember(
      String projectId, String locationId, String keyRingId, String keyId, String member)
      throws IOException {
    // Initialize client that will be used to send requests. This client only
    // needs to be created once, and can be reused for multiple requests. After
    // completing all of your requests, call the "close" method on the client to
    // safely clean up any remaining background resources.
    try (KeyManagementServiceClient client = KeyManagementServiceClient.create()) {
      // Build the key version name from the project, location, key ring, key,
      // and key version.
      CryptoKeyName resourceName = CryptoKeyName.of(projectId, locationId, keyRingId, keyId);

      // The resource name could also be a key ring.
      // KeyRingName resourceName = KeyRingName.of(projectId, locationId, keyRingId);

      // Get the current policy.
      Policy policy = client.getIamPolicy(resourceName);

      // Create a new IAM binding for the member and role.
      Binding binding =
          Binding.newBuilder()
              .setRole("roles/cloudkms.cryptoKeyEncrypterDecrypter")
              .addMembers(member)
              .build();

      // Add the binding to the policy.
      Policy newPolicy = policy.toBuilder().addBindings(binding).build();

      client.setIamPolicy(resourceName, newPolicy);
      System.out.printf("Updated IAM policy for %s%n", resourceName.toString());
    }
  }
}

Node.js

Para obtener más información, consulta la documentación de referencia de la API Node.js de Cloud Storage.

//
// TODO(developer): Uncomment these variables before running the sample.
//
// const projectId = 'my-project';
// const locationId = 'us-east1';
// const keyRingId = 'my-key-ring';
// const keyId = 'my-key';
// const member = 'user:foo@example.com';

// Imports the Cloud KMS library
const {KeyManagementServiceClient} = require('@google-cloud/kms');

// Instantiates a client
const client = new KeyManagementServiceClient();

// Build the resource name
const resourceName = client.cryptoKeyPath(
  projectId,
  locationId,
  keyRingId,
  keyId
);

// The resource name could also be a key ring.
// const resourceName = client.keyRingPath(projectId, locationId, keyRingId);

async function iamAddMember() {
  // Get the current IAM policy.
  const [policy] = await client.getIamPolicy({
    resource: resourceName,
  });

  // Add the member to the policy.
  policy.bindings.push({
    role: 'roles/cloudkms.cryptoKeyEncrypterDecrypter',
    members: [member],
  });

  // Save the updated policy.
  const [updatedPolicy] = await client.setIamPolicy({
    resource: resourceName,
    policy: policy,
  });

  console.log('Updated policy');
  return updatedPolicy;
}

return iamAddMember();

PHP

Para obtener más información, consulta la documentación de referencia de la API PHP de Cloud Storage.

use Google\Cloud\Iam\V1\Binding;
use Google\Cloud\Iam\V1\GetIamPolicyRequest;
use Google\Cloud\Iam\V1\SetIamPolicyRequest;
use Google\Cloud\Kms\V1\Client\KeyManagementServiceClient;

function iam_add_member(
    string $projectId = 'my-project',
    string $locationId = 'us-east1',
    string $keyRingId = 'my-key-ring',
    string $keyId = 'my-key',
    string $member = 'user:foo@example.com'
) {
    // Create the Cloud KMS client.
    $client = new KeyManagementServiceClient();

    // Build the resource name.
    $resourceName = $client->cryptoKeyName($projectId, $locationId, $keyRingId, $keyId);

    // The resource name could also be a key ring.
    // $resourceName = $client->keyRingName($projectId, $locationId, $keyRingId);

    // Get the current IAM policy.
    $getIamPolicyRequest = (new GetIamPolicyRequest())
        ->setResource($resourceName);
    $policy = $client->getIamPolicy($getIamPolicyRequest);

    // Add the member to the policy.
    $bindings = $policy->getBindings();
    $bindings[] = (new Binding())
        ->setRole('roles/cloudkms.cryptoKeyEncrypterDecrypter')
        ->setMembers([$member]);
    $policy->setBindings($bindings);

    // Save the updated IAM policy.
    $setIamPolicyRequest = (new SetIamPolicyRequest())
        ->setResource($resourceName)
        ->setPolicy($policy);
    $updatedPolicy = $client->setIamPolicy($setIamPolicyRequest);
    printf('Added %s' . PHP_EOL, $member);

    return $updatedPolicy;
}

Python

Para obtener más información, consulta la documentación de referencia de la API Python de Cloud Storage.

from google.cloud import kms
from google.iam.v1 import policy_pb2 as iam_policy


def iam_add_member(
    project_id: str, location_id: str, key_ring_id: str, key_id: str, member: str
) -> iam_policy.Policy:
    """
    Add an IAM member to a resource.

    Args:
        project_id (string): Google Cloud project ID (e.g. 'my-project').
        location_id (string): Cloud KMS location (e.g. 'us-east1').
        key_ring_id (string): ID of the Cloud KMS key ring (e.g. 'my-key-ring').
        key_id (string): ID of the key to use (e.g. 'my-key').
        member (string): Member to add (e.g. 'user:foo@example.com')

    Returns:
        Policy: Updated Cloud IAM policy.

    """

    # Create the client.
    client = kms.KeyManagementServiceClient()

    # Build the resource name.
    resource_name = client.crypto_key_path(project_id, location_id, key_ring_id, key_id)

    # The resource name could also be a key ring.
    # resource_name = client.key_ring_path(project_id, location_id, key_ring_id);

    # Get the current policy.
    policy = client.get_iam_policy(request={"resource": resource_name})

    # Add the member to the policy.
    policy.bindings.add(
        role="roles/cloudkms.cryptoKeyEncrypterDecrypter", members=[member]
    )

    # Save the updated IAM policy.
    request = {"resource": resource_name, "policy": policy}

    updated_policy = client.set_iam_policy(request=request)
    print(f"Added {member} to {resource_name}")
    return updated_policy

Ruby

Para obtener más información, consulta la documentación de referencia de la API Ruby de Cloud Storage.

# TODO(developer): uncomment these values before running the sample.
# project_id  = "my-project"
# location_id = "us-east1"
# key_ring_id = "my-key-ring"
# key_id      = "my-key"
# member      = "user:foo@example.com"

# Require the library.
require "google/cloud/kms"

# Create the client.
client = Google::Cloud::Kms.key_management_service

# Build the resource name.
resource_name = client.crypto_key_path project:    project_id,
                                       location:   location_id,
                                       key_ring:   key_ring_id,
                                       crypto_key: key_id

# The resource name could also be a key ring.
# resource_name = client.key_ring_path project: project_id, location: location_id, key_ring: key_ring_id

# Create the IAM client.
iam_client = Google::Cloud::Kms::V1::IAMPolicy::Client.new

# Get the current IAM policy.
policy = iam_client.get_iam_policy resource: resource_name

# Add the member to the policy.
policy.bindings << Google::Iam::V1::Binding.new(
  members: [member],
  role:    "roles/cloudkms.cryptoKeyEncrypterDecrypter"
)

# Save the updated policy.
updated_policy = iam_client.set_iam_policy resource: resource_name, policy: policy
puts "Added #{member}"

APIs REST

API JSON

Tener instalada e inicializada la CLI de gcloud, que te permite generar un token de acceso para el encabezado Authorization.

Crea un archivo JSON que contenga la siguiente información:

{
  "policy": {
    "bindings": {
      "role": "roles/cloudkms.cryptoKeyEncrypterDecrypter",
      "members": "serviceAccount:SERVICE_AGENT_EMAIL_ADDRESS"
    },
  }
}

Donde SERVICE_AGENT_EMAIL_ADDRESS es la dirección de correo asociada a tu agente de servicios. Por ejemplo, service-7550275089395@gs-project-accounts.iam.gserviceaccount.com.

Usa cURL para llamar a la API de Cloud KMS con una solicitud POST setIamPolicy:

curl -X POST --data-binary @JSON_FILE_NAME \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
"https://cloudkms.googleapis.com/v1/KEY_RESOURCE:setIamPolicy"

Donde:

JSON_FILE_NAME es la ruta del archivo JSON que has creado en el paso 2.
KEY_RESOURCE es tu recurso de clave de Cloud KMS.

API XML

La API XML no se puede usar para asignar un Cloud KMS a un agente de servicio. Usa una de las otras herramientas de Cloud Storage, como la CLI de gcloud.

Usar claves de cifrado predeterminadas

Definir la clave predeterminada de un segmento

Para añadir, cambiar o quitar la clave de Cloud KMS que se usa de forma predeterminada cuando se escriben objetos en un segmento, sigue estos pasos:

Consola

En la Google Cloud consola, ve a la página Segmentos de Cloud Storage.

Ir a Contenedores
En la lista de segmentos, haz clic en el nombre del segmento que quieras.
En la página Detalles del segmento, haga clic en la pestaña Configuración.
Haga clic en el icono de lápiz asociado a la entrada Tipo de cifrado.
Define o elimina la clave de Cloud KMS predeterminada del segmento.
1. Si el contenedor no usa una clave de Cloud KMS, selecciona el botón de radio Clave gestionada por el cliente y, a continuación, elige una de las claves disponibles en el menú desplegable asociado.
2. Si el contenedor usa una clave de Cloud KMS, cámbiala en el menú desplegable o quítala seleccionando el botón de radio Google-managed encryption key.
Haz clic en Guardar.

Para saber cómo obtener información detallada sobre los errores de las operaciones de Cloud Storage en la consola, consulta la sección Solución de problemas. Google Cloud

Línea de comandos

Usa el comando gcloud storage buckets update con la marca adecuada:

gcloud storage buckets update gs://BUCKET_NAME FLAG

Donde:

BUCKET_NAME es el nombre del segmento correspondiente. Por ejemplo, my-bucket.
FLAG es el ajuste deseado para la clave predeterminada del segmento. Se debe utilizar uno de los formatos indicados a continuación.
- --default-encryption-key= y un recurso de clave de Cloud KMS, si quieres añadir o cambiar una clave predeterminada.
- --clear-default-encryption-key, si quieres quitar la clave predeterminada del segmento.

Si la acción se realiza correctamente, la respuesta tendrá este aspecto:

Updating gs://my-bucket/...
  Completed 1

Bibliotecas de cliente

C++

Para obtener más información, consulta la documentación de referencia de la API C++ de Cloud Storage.

En el siguiente ejemplo se define una clave de cifrado gestionada por el cliente predeterminada en un segmento:

namespace gcs = ::google::cloud::storage;
using ::google::cloud::StatusOr;
[](gcs::Client client, std::string const& bucket_name,
   std::string const& key_name) {
  StatusOr<gcs::BucketMetadata> updated = client.PatchBucket(
      bucket_name, gcs::BucketMetadataPatchBuilder().SetEncryption(
                       gcs::BucketEncryption{key_name}));
  if (!updated) throw std::move(updated).status();

  if (!updated->has_encryption()) {
    std::cerr << "The change to set the encryption attribute on bucket "
              << updated->name()
              << " was successful, but the encryption is not set."
              << "This is unexpected, maybe a concurrent change?\n";
    return;
  }

  std::cout << "Successfully set default KMS key on bucket "
            << updated->name() << " to "
            << updated->encryption().default_kms_key_name << "."
            << "\nFull metadata: " << *updated << "\n";
}