Se usó la API de Cloud Translation para traducir esta página.

Recursos de Cloud KMS

En esta página, se describe cada tipo de recurso en Cloud KMS. Puedes obtener más información sobre la jerarquía de recursos.

Claves

Una clave de Cloud KMS es un objeto con nombre que contiene una o más versiones de clave, junto con los metadatos de la clave. Existe una clave en exactamente un llavero de claves vinculado a una ubicación específica.

Puedes permitir y denegar el acceso a las claves mediante los permisos y funciones de administración de identidades y accesos (IAM). No puedes administrar el acceso a una versión de clave.

Inhabilitar o destruir una clave también inhabilita o destruye cada versión de clave.

En las siguientes secciones, se analizan las propiedades de una clave.

Según el contexto, las propiedades de una clave se muestran en un formato diferente.

Cuando se usa Google Cloud CLI o la API de Cloud Key Management Service, la propiedad se muestra como una cadena de mayúsculas, por ejemplo, SOFTWARE.
Cuando se usa la consola de Google Cloud, la propiedad se muestra como una cadena con mayúsculas iniciales, como Software.

En las siguientes secciones, se muestra cada formato cuando es apropiado.

Tipo

El tipo de clave determina si la clave se usa para las operaciones criptográficas simétricas o asimétricas.

En la encriptación o firma simétricas, se usa la misma clave para encriptar y desencriptar datos o para firmar y verificar una firma.

En la criptografía o la firma asimétricas, la clave consta de una clave pública y una privada. Una clave privada con su clave pública correspondiente se denomina par de claves.

La clave privada son datos sensibles y se requiere para desencriptarlos o firmarlos, según el propósito configurado de la clave.
La clave pública no se considera sensible y es necesaria para encriptar datos o verificar una firma, según el propósito configurado de la clave.

El tipo de clave es un componente del propósito de la clave y no se puede cambiar después de crearla.

Objetivo

El propósito de la clave indica para qué tipo de operaciones criptográficas se puede usar la clave, por ejemplo, encriptación/desencriptación simétrica o firma asimétrica. Tú eliges el propósito cuando creas la clave, y todas las versiones de una clave tendrán el mismo propósito. El propósito de una clave no se puede cambiar después de crearla. Para obtener más información sobre los propósitos de clave, consulta Propósitos de clave.

Nivel de protección

El nivel de protección de una clave determina el entorno de almacenamiento en reposo de la clave. El nivel de protección es uno de los siguientes:

Software (SOFTWARE en Google Cloud CLI y la API de Cloud Key Management Service)
HSM
Externo (EXTERNAL en Google Cloud CLI y la API de Cloud Key Management Service)
VPC_externa (EXTERNAL_VPC en Google Cloud CLI y la API de Cloud Key Management Service)

El nivel de protección de una clave no se puede cambiar después de crearla.

Versión principal

Las claves pueden tener varias versiones de claves activas y habilitadas a la vez. Las claves de encriptación simétricas tienen una versión de clave primaria, que es la versión de clave que se usa de forma predeterminada para encriptar datos si no especificas una versión de clave.

Las claves asimétricas no tienen versiones principales; debes especificar la versión cuando uses la clave.

Tanto para las claves simétricas como las asimétricas, puedes usar cualquier versión de clave habilitada para encriptar y desencriptar datos o firmar y validar firmas.

Versiones de claves

Cada versión de una clave contiene material de clave usado para la encriptación o la firma. A cada versión se le asigna un número de versión que comienza en 1. La rotación de una clave crea una versión de clave nueva. Obtén más información sobre la rotación de claves.

Para desencriptar datos o verificar una firma, debes usar la misma versión de clave que usaste para encriptar o firmar los datos. Para encontrar el ID de recurso de una versión de clave, consulta Recupera el ID de recurso de una clave.

Puedes inhabilitar o destruir versiones de claves individuales sin afectar otras versiones. También puedes inhabilitar o destruir todas las versiones de claves de una clave determinada.

No puedes controlar el acceso a las versiones de clave independientemente de los permisos vigentes en la clave. Otorgar acceso a una clave otorga acceso a todas las versiones habilitadas de esa clave.

Por motivos de seguridad, ningún principal de Google Cloud puede ver o exportar el material de clave criptográfica sin procesar representado por una versión de clave. En cambio, Cloud KMS accede al material de clave en tu nombre.

En las siguientes secciones, se analizan las propiedades de una versión de clave.

Estado

Cada versión de clave tiene un state que indica su estado. Por lo general, el estado de una clave será uno de los siguientes:

Habilitado
Inhabilitado
Programado para su destrucción
Destruido

Una versión de clave solo se puede usar cuando está habilitada. Las versiones de clave en cualquier estado que no sean destruidas generan costos. Para obtener más información sobre los estados de versión de la clave y cómo las versiones pueden hacer la transición entre ellos, consulta Estados de las versiones de claves.

Algoritmo

El algoritmo de la versión de clave determina cómo se crea el material de clave y los parámetros necesarios para las operaciones criptográficas. Las claves simétricas y asimétricas usan algoritmos diferentes. La encriptación y la firma usan algoritmos diferentes.

Si no especificas un algoritmo cuando creas una versión de clave nueva, se usa el algoritmo de la versión anterior.

Sin importar el algoritmo, Cloud KMS usa la encriptación probabilística, para que el mismo texto sin formato encriptado con la misma versión de clave dos veces no muestre el mismo texto cifrado.

Llaveros de claves

Los llaveros de claves organizan las claves en una ubicación específica de Google Cloud y te permiten administrar el control de acceso en grupos de claves. No es necesario que el nombre de un llavero de claves sea único en un proyecto de Google Cloud, sino que debe ser único en una ubicación determinada. Después de la creación, los llaveros de claves no se pueden borrar. Los llaveros de claves no generan ningún costo.

Controladores de llaves

Un controlador de clave es un recurso de Cloud KMS que te ayuda a abarcar de forma segura la separación de obligaciones a fin de crear nuevas claves de Cloud KMS para CMEK mediante Autokey. La creación de un controlador de clave en un proyecto de recursos activa la creación de una clave de Cloud KMS en el proyecto de claves para la configuración de CMEK a pedido.

Un controlador de clave contiene una referencia a la clave de Cloud KMS que se creó. Puedes recuperar el ID de recurso de Cloud KMS de una clave creada por Autokey desde el controlador de clave. Las herramientas de infraestructura como código, como Terraform, pueden funcionar con controladores de claves para administrar recursos protegidos por CMEK sin privilegios elevados.

Los controladores de claves no son visibles en la consola de Google Cloud, pero para usar la clave automática con la API de REST o Terraform, debes trabajar con controladores de claves. Para obtener más información sobre el uso de controladores de claves, consulta Crea recursos protegidos con la clave automática de Cloud KMS.

Configuración de la tecla automática

Una configuración de Autokey es un recurso a nivel de carpeta que define si Autokey está habilitado para la carpeta. La configuración de la clave automática también define qué proyecto de clave se usa para las claves creadas por la clave automática de Cloud KMS a fin de proteger los recursos de esa carpeta. Cuando habilitas Tecla automática, creas o actualizas una configuración de Clave automática en la carpeta de recursos. Para obtener más información sobre el uso de la configuración de la clave automática, consulta Habilita la clave automática de Cloud KMS.

Conexiones EKM

Una conexión de EKM es un recurso de Cloud KMS que organiza las conexiones de VPC a tus EKM locales en una ubicación específica de Google Cloud. Una conexión de EKM te permite conectarte a un administrador de claves externo y usar esas claves a través de una red de VPC. Después de su creación, las conexiones de EKM no se pueden borrar. Las conexiones de EKM no generan ningún costo.

Recupera el ID de un recurso

Algunas llamadas a la API y gcloud CLI pueden requerir que hagas referencia a un llavero de claves, una clave o una versión de clave por su ID de recurso, que es una string que representa el nombre de CryptoKeyVersion completamente calificado. Los IDs de recursos son jerárquicos, similares a una ruta de sistema de archivos. El ID del recurso de una clave también contiene información sobre el llavero de claves y la ubicación.

Objeto	Formato de ID del recurso
Llavero de claves	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING`
Clave	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME`
Versión de clave	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION`
Controlador de teclas	`projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE`
Conexión EKM	`projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION`
Configuración de la llave automática	`folders/FOLDER_NUMBER/autopilotConfig`

Para obtener más información, consulta Obtén un ID de recurso de Cloud KMS.

Organiza los recursos

Cuando planifiques cómo organizar los recursos en tu proyecto de Google Cloud, ten en cuenta las reglas de tu empresa y cómo planeas administrar el acceso. Puedes otorgar acceso a una sola clave, a todas las claves de un llavero de claves o a todas las claves de un proyecto. Los siguientes patrones de organización son comunes:

Por entorno, como prod, test y develop
Por área de trabajo, como payroll o insurance_claims
Por sensibilidad o características de datos, como unrestricted, restricted, confidential y top-secret

Ciclos de vida de los recursos

No se pueden borrar los llaveros de claves, las claves ni las versiones de claves. Esto garantiza que el identificador de recursos de una versión de clave sea único y siempre apunte al material de clave original de esa versión, a menos que se haya destruido. Puedes almacenar una cantidad ilimitada de llaveros de claves, claves habilitadas o inhabilitadas y versiones de claves habilitadas, inhabilitadas o destruidas. Para obtener más información, consulta Precios y Cuotas.

Para aprender a destruir o restablecer una versión de clave, consulta Destruye y restablece versiones de clave.

Después de programar la desactivación de un proyecto de Google Cloud, no podrás acceder a sus recursos, incluidos los de Cloud KMS, a menos que lo recuperes. Para ello, sigue los pasos para restablecer un proyecto.

¿Qué sigue?

Crea una clave.
Obtén más información sobre los permisos y las funciones en Cloud KMS.