En T-Systems Sovereign Cloud, todos los datos deben cifrarse con claves de Cloud External Key Manager (Cloud EKM), que son claves de cifrado conectadas a un gestor de claves externo (también abreviado como EKM). Aunque los clientes pueden configurar y usar su propio EKM de Cloud, también se les proporciona un proyecto aprovisionado por Google Cloud y T-Systems Sovereign Cloud. En este proyecto, denominado proyecto de gestión de claves, las claves se pueden crear mediante un gestor de claves externo operado por T-Systems International (TSI) en nombre del cliente.
En este tema se describen los pasos para usar Cloud KMS cuando se basa en TSI.
Información general
Para crear y gestionar claves con Cloud EKM en T-Systems Sovereign Cloud, utilizarás un sistema de asistencia llamado Issue Tracker. Recibirás un enlace a la herramienta Issue Tracker y la información clave del grupo de acceso de administrador en el correo de bienvenida. Todos los administradores principales deben añadirse al grupo de acceso. Estos administradores tendrán acceso al componente Issue Tracker para registrar incidencias con TSI, que realizará operaciones de gestión de claves en tu nombre.
Todas las claves gestionadas por TSI deben crearse en el proyecto de gestión de claves aprovisionado previamente. Puedes alojar datos en un proyecto diferente al que incluye tus claves de Cloud KMS. De este modo, se fomenta la práctica recomendada de separación de obligaciones entre los administradores de claves y de datos.
Localizar información específica de un cliente
Antes de empezar a crear claves, busca la siguiente información en el correo de bienvenida inicial:
- Número de proyecto de Cloud KMS
- Grupo de acceso de administrador de claves
- Enlace de Issue Tracker
Configurar grupos de acceso
El grupo de acceso de administradores de claves es un grupo privado de Google para los administradores de claves de tu organización, es decir, aquellos a los que se les concederá el rol de administrador de Cloud KMS de Gestión de Identidades y Accesos (IAM). Tú eres quien mantiene el grupo de acceso de administrador de claves.
Recibirás tu grupo de acceso en el correo de bienvenida. El formato será el siguiente:
<customer-name>-<KMS-project-number>-key-admin@googlegroups.com
Añade al grupo de Google los usuarios a los que quieras conceder el rol Administrador de Cloud KMS en tu proyecto. Para obtener más información sobre cómo gestionar tu grupo, consulta el artículo Añadir personas a un grupo.
Crear una clave de Cloud EKM
Las claves de Cloud EKM se usan para cifrar tus datos en Google Cloud. Para usar claves del gestor de claves externo de TSI, primero debes crear una clave de Cloud EKM. Esta clave de Cloud EKM vinculada a TSI se usa para hacer referencia a una clave específica en el EKM de TSI y solo se puede crear en el proyecto de gestión de claves aprovisionado previamente.
.Crear un conjunto de claves
Crea un conjunto de claves para alojar tu clave de Cloud EKM. En T-Systems Sovereign Cloud, la ubicación del conjunto de claves siempre debe ser europe-west3. Sustituye el marcador de posición KEY_RING_NAME por el nombre que quieras darle al conjunto de claves:
gcloud
gcloud kms keyrings create KEY_RING_NAME \ --location europe-west3
Obtener el nombre del recurso de conexión de Cloud EKM
A continuación, deberá obtener el nombre del recurso de conexión de Cloud EKM de TSI en el proyecto de gestión de claves. Se llamará
default-ekm-connection.
gcloud
Ejecuta el siguiente comando y busca el nombre del recurso de conexión de Cloud EKM que contenga el nombre de conexión default-ekm-connection. El formato será el siguiente:
projects/[PROJECT-ID]/locations/europe-west3/ekmConnections/default-ekm-connection:
gcloud kms ekm-connections list \ --location europe-west3
Ejemplo de salida:
NAME: projects/test-project/locations/europe-west3/ekmConnections/default-ekm-connection SERVICE_DIRECTORY_SERVICE: projects/host-project/locations/europe-west3/namespaces/tsi-ekm-000000001/services/tsi-ekm-00000001 HOSTNAME: test_host.example.com
Copia el nombre completo del recurso, que es el texto resaltado de la sección NAME. Se usará como valor de --crypto-key-backend cuando cree su clave simétrica o asimétrica.
Crear una clave de cifrado simétrica
Para crear una clave de Cloud EKM simétrica, usa el siguiente comando en la CLI de Google Cloud:
gcloud
gcloud kms keys create KEY_NAME \ --keyring KEY_RING_NAME \ --location europe-west3 \ --purpose encryption \ --protection-level external-vpc \ --default-algorithm external-symmetric-encryption \ --skip-initial-version-creation \ --crypto-key-backend EKM_CONNECTION
La marca --skip-initial-version-creation se usa para evitar que se cree una versión de clave. Cuando se usa Cloud KMS con TSI Sovereign Cloud, TSI se encarga de crear versiones de claves.
El valor encryption del atributo "purpose" de la clave especifica que la clave es una clave de cifrado simétrica. Debes usar el nivel de protección external-vpc, ya que el EKM de TSI está conectado a Cloud KMS mediante un EKM a través de una conexión de VPC.
Sustituye EKM_CONNECTION por el nombre de la conexión EKM que has copiado en la sección Obtener el nombre del recurso de conexión EKM de Cloud de arriba. Usa el nombre completo del recurso.
En el paso anterior se crea una clave de cifrado simétrica vacía en el conjunto de claves. Para crear una versión de la clave, sigue las instrucciones de la sección Pasos finales que se indica más abajo.
Crear una clave de firma asimétrica
Crear una clave de firma asimétrica es similar a crear una clave de cifrado simétrica. Las principales diferencias son el propósito de la clave y el algoritmo predeterminado.
Cuando crees una clave, asegúrate de añadir el --skip-initial-version-creation para evitar que se cree una versión de la clave. Cuando se usa Cloud KMS con la nube soberana de T-Systems, TSI se encarga de crear versiones de claves.
gcloud
gcloud kms keys create KEY_NAME \ --keyring KEY_RING_NAME \ --location europe-west3 \ --purpose asymmetric-signing \ --protection-level external-vpc \ --skip-initial-version-creation \ --default-algorithm ec-sign-p256-sha256 \ --crypto-key-backend EKM_CONNECTION
Defina el propósito de la clave como asymmetric-signing para especificar que la clave es una clave de firma asimétrica. Debes usar el nivel de protección external-vpc, ya que el EKM de TSI está conectado a Cloud KMS mediante un EKM a través de una conexión de VPC.
Sustituye EKM_CONNECTION por el nombre de la conexión EKM que has copiado en la sección Obtener el nombre del recurso de conexión EKM de Cloud de arriba. Usa el nombre completo del recurso.
Con los pasos anteriores se crea una clave de cifrado asimétrica vacía en el conjunto de claves. Para crear una versión de la clave, sigue las instrucciones de la sección Pasos finales que se indica más abajo.
Pasos finales
Una vez que hayas creado una clave de Cloud EKM en Google Cloud, el último paso es enviar una incidencia a TSI mediante el formulario de solicitud de Issue Tracker. Hazlo para crear la primera versión de la clave. Tu solicitud se enviará a TSI para que complete su parte del aprovisionamiento de claves.
Consulta las operaciones de claves gestionadas por TSI para obtener información detallada sobre otras operaciones de gestión de claves, como la creación o la rotación de versiones de claves.