Habilitar claves de cifrado gestionadas por el cliente para las evaluaciones

En este documento se describe cómo cifrar datos de evaluación de Workload Manager con claves de cifrado gestionadas por el cliente (CMEK).

Información general

De forma predeterminada, Workload Manager cifra el contenido del cliente en reposo. Workload Manager se encarga del cifrado sin que tengas que hacer nada más. Esta opción se llama Cifrado predeterminado de Google.

Si quieres controlar tus claves de cifrado, puedes usar claves de cifrado gestionadas por el cliente (CMEKs) en Cloud KMS con servicios integrados con CMEKs, como Workload Manager. Si usas claves de Cloud KMS, tendrás control sobre su nivel de protección, ubicación, calendario de rotación, permisos de uso y acceso, y límites criptográficos. Además, Cloud KMS te permite ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google sea el propietario y gestione las claves de cifrado de claves (KEKs) simétricas que protegen tus datos, tú controlas y gestionas estas claves en Cloud KMS.

Una vez que hayas configurado tus recursos con CMEKs, la experiencia de acceso a tus recursos de Workload Manager será similar a la de usar el cifrado predeterminado de Google. Para obtener más información sobre las opciones de encriptado, consulta Claves de encriptado gestionadas por el cliente (CMEK).

Limitaciones

Se aplican las siguientes limitaciones a los cifrados con CMEK en Workload Manager:

• CMEK solo está disponible para las evaluaciones de tipos de reglas personalizadas de Workload Manager. Otras funciones de Workload Manager, como las evaluaciones o las implementaciones de SAP, usan el cifrado predeterminado de Google porque no se trata de contenido de clientes en reposo.

• Workload Manager aplica las claves CMEK solo al almacenamiento que le pertenece.

Antes de empezar

Antes de poder usar CMEK, debes crear una clave de Cloud Key Management Service y conceder los permisos necesarios.

1. Crea un conjunto de claves y una clave.

   Selecciona un proyecto y sigue la guía de Cloud KMS para crear claves simétricas para crear un conjunto de claves y una clave. La ubicación del conjunto de claves debe coincidir con la de la evaluación.

   Tenga en cuenta que Workload Manager admite claves gestionadas externas. Para obtener más información, consulta Cloud External Key Manager.

2. Concede permisos.

   Para proporcionar acceso a la clave de Cloud KMS, asigna el rol roles/cloudkms.cryptoKeyEncrypterDecrypter al agente de servicio de Workload Manager. El agente de servicio es service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com, donde PROJECT_ID es el ID del proyecto en el que se crea la evaluación.

Cómo funciona CMEK en las evaluaciones de tipos de reglas personalizadas

En esta sección se describe cómo funciona CMEK en las evaluaciones de tipos de reglas personalizadas.

Aprovisionamiento de claves de KMS

Puedes proporcionar una clave de Cloud KMS durante el proceso de creación o actualización de una evaluación de tipo de regla personalizada. Esta disposición es opcional. Si no se especifica ninguna clave de Cloud KMS, Workload Manager usa el cifrado predeterminado de Google. La clave de Cloud KMS proporcionada debe existir y la cuenta de servicio de Workload Manager debe tener asignado el rol de encargado de encriptar o desencriptar (roles/cloudkms.cryptoKeyEncrypterDecrypter) para usar la clave de Cloud KMS. Workload Manager valida la clave de Cloud KMS durante la creación o la actualización de la evaluación y devuelve errores.

Encriptado de datos

Cuando ejecutas una evaluación con una clave de Cloud KMS aprovisionada, Workload Manager usa la clave de Cloud KMS proporcionada para cifrar el almacenamiento propiedad de Workload Manager:

• Segmento de Cloud Storage temporal que usa la operación de evaluación. El bucket temporal de Cloud Storage se crea al inicio de una evaluación y se elimina al final de la evaluación.

• Conjuntos de datos de BigQuery en los que se almacenan los resultados de la evaluación.

Workload Manager no usa estas claves para cifrar los datos de los segmentos de Cloud Storage en los que almacenas reglas personalizadas ni los conjuntos de datos externos de BigQuery que usas para guardar los resultados de la evaluación.

Acceso a los datos

Workload Manager cifra los resultados de la evaluación con la versión principal de la clave de Cloud KMS proporcionada en el momento de ejecutar la evaluación. Puedes acceder a los resultados de una evaluación y verlos si esa versión de la clave de Cloud KMS específica sigue habilitada.

El acceso a los resultados de la evaluación no se ve afectado por la rotación de claves de KMS. La rotación de claves crea una nueva versión, pero las versiones anteriores se conservan.

Los resultados de la evaluación no se vuelven a cifrar cuando se rota la clave.

Configurar CMEK para evaluaciones de tipos de reglas personalizadas

Para usar CMEK en las evaluaciones de tipos de reglas personalizadas, primero cree una clave en Cloud KMS y, a continuación, conceda a la clave los permisos necesarios, tal como se describe en la sección Antes de empezar. Después, podrás usar la clave para crear o actualizar evaluaciones, llevarlas a cabo y ver sus resultados.

Crear una evaluación con CMEK

Puedes crear evaluaciones de tipo de regla personalizadas con CMEK de la misma forma que se describe en la página de creación de evaluaciones. Puedes habilitar CMEK después de seleccionar las regiones.

1. Selecciona Clave de cifrado gestionada por el cliente (CMEK) en la lista Cifrado (opcional).

   

2. Selecciona una clave de Cloud KMS.

Actualizar una evaluación con CMEK

Puedes actualizar una evaluación para que use claves CMEK.

1. En la página de edición de la evaluación, selecciona Clave de cifrado gestionada por el cliente (CMEK) en la lista Cifrado (opcional).

   

2. Selecciona una clave de Cloud KMS.

Ver los resultados de la evaluación con CMEK

Puedes ver los resultados de la evaluación de la misma forma que se describe en la página Ver resultados de la evaluación. No es necesario hacer nada más.

Cuotas de Cloud KMS y Workload Manager

Cuando usas CMEK en Workload Manager, tus proyectos pueden consumir cuotas de solicitudes criptográficas de Cloud KMS. Por ejemplo, las evaluaciones de Workload Manager cifradas con CMEK pueden consumir estas cuotas. Las operaciones de cifrado y descifrado con claves CMEK solo afectan a las cuotas de Cloud KMS si usas claves de hardware (Cloud HSM) o externas (Cloud EKM). Para obtener más información, consulta las cuotas de Cloud KMS.

En el caso de las claves externas, la cuota predeterminada es de 100 CPS por proyecto de clave para las operaciones criptográficas. Si es necesario, puedes solicitar una cuota de EKM más alta.

Siguientes pasos

• Más información sobre las claves de cifrado gestionadas por el cliente Google Cloud
• Consulta cómo usar CMEK con otros productos Google Cloud.