Hemos actualizado la documentación para incluir las últimas funciones y novedades que ofrecemos con las dos nuevas experiencias del Centro de Datos de Anuncios. Los anunciantes, las agencias y los editores deben consultar el sitio para profesionales del marketing. Los proveedores y los partners deben consultar el sitio para partners de medición.

Habilitar claves de cifrado gestionadas por el cliente

Las claves de cifrado gestionadas por el cliente te permiten controlar las claves de cifrado que se utilizan para proteger tus datos en reposo de Google Cloud. En este artículo se explica cómo configurar y gestionar claves de cifrado gestionadas por el cliente en el Centro de Datos de Anuncios.

El Centro de Datos de Anuncios cifra los datos en reposo con claves gestionadas por Google. A menos que tengas requisitos específicos que requieran el uso de claves de cifrado gestionadas por el cliente, el cifrado predeterminado de Google es la mejor opción.

Para utilizar claves de cifrado gestionadas por el cliente, debes hacer lo siguiente:

Usar Cloud Key Management Service (KMS).
Haber configurado previamente un proyecto de administrador y haberlo actualizado a la nueva cuenta de servicio.

Más información sobre las claves de cifrado gestionadas por el cliente

Habilitar claves de cifrado gestionadas por el cliente

En la página de Cloud KMS, crea una clave simétrica.
1. Puedes crear la clave en cualquier proyecto de Google Cloud.
2. Es importante que la crees en una ubicación de Cloud KMS compatible. Según las directrices de Cloud KMS, no se recomienda usar la región "global" debido a posibles limitaciones de rendimiento. Si no recuerdas tu región, ponte en contacto con el equipo de Asistencia del Centro de Datos de Anuncios.
  Región del CDA Ubicaciones de Cloud KMS
  US US
  EU europe
  asia‑northeast1 asia y asia-northeast1
  australia‑southeast1 australia‑southeast1
En la página de Gestión de Identidades y Accesos (IAM) de Cloud, asigna a la cuenta de servicio del Centro de Datos de Anuncios el rol de encargado de cifrar o descifrar claves de CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypter). También puedes autorizar a la cuenta de servicio del Centro de Datos de Anuncios directamente en la clave, en la página de Cloud KMS.
En la UI del Centro de Datos de Anuncios:
1. Ve a la pestaña Configuración.
2. En "Cifrado gestionado por el cliente", haz clic en Editar.
3. Activa la opción "Cifrado gestionado por el cliente".
4. Pega el ID de recurso de la clave. Nota: Debe ser el ID de recurso completo de la clave, no una versión específica. Información sobre cómo obtener un ID de recurso de Cloud KMS
5. Haz clic en Guardar.

Región del CDA	Ubicaciones de Cloud KMS
US	US
EU	europe
asia‑northeast1	asia y asia-northeast1
australia‑southeast1	australia‑southeast1

Gestionar claves

Rotar claves

La rotación de claves es una práctica de seguridad habitual. Consulta las instrucciones sobre cómo rotar claves en la página de Cloud KMS aquí.

El Centro de Datos de Anuncios no rota automáticamente la clave de cifrado cuando se rota la clave de Cloud KMS asociada a la cuenta. Las tablas disponibles seguirán utilizando la versión de clave con la que se crearon. Las tablas nuevas usarán la versión de clave actual.

Cambiar claves

En lugar de rotar una clave que ya tengas, puedes cambiarla por una nueva. Esto es útil cuando necesitas destruir una clave o hacer modificaciones significativas en su gestión, como cambiar el nivel de protección.

Para pasar a utilizar una clave nueva, sigue las instrucciones que se indican en Habilitar claves de cifrado gestionadas por el cliente. Precaución: La modificación o destrucción de la clave anterior antes de que se complete la actualización puede provocar la pérdida permanente de los datos.

Revocar permisos e inhabilitar o destruir una clave

Sigue las instrucciones de la documentación de Google Cloud para llevar a cabo las siguientes acciones:

Revocar los permisos de la cuenta de servicio del Centro de Datos de Anuncios
- Esta acción se aplica de inmediato. No podrás ejecutar consultas en el Centro de Datos de Anuncios hasta que se solucione el problema, y tus tablas y modelos temporales pueden sufrir pérdidas irrecuperables de datos.
Inhabilitar una clave
- Esta acción puede tardar hasta tres horas en aparecer en el Centro de Datos de Anuncios. Hasta entonces, puedes seguir haciendo consultas con la clave inhabilitada en el Centro de Datos de Anuncios.
Destruir una clave
- Importante: Inhabilita la clave de cifrado gestionada por el cliente antes de destruir la clave. De lo contrario, no podrás ejecutar consultas en el Centro de Datos de Anuncios hasta que se solucione el problema, y tus tablas y modelos temporales pueden sufrir pérdidas irrecuperables de datos.

Inhabilitar claves de cifrado gestionadas por el cliente

Es importante que inhabilites las claves de cifrado gestionadas por el cliente antes de eliminar las claves activas. Si no lo haces, perderás el acceso a los datos que se hayan cifrado con las claves eliminadas.

Para inhabilitar las claves de cifrado gestionadas por el cliente:

En el Centro de Datos de Anuncios, ve a la pestaña Configuración.
En "Cifrado gestionado por el cliente", haz clic en Editar.
Desactiva la opción "Cifrado gestionado por el cliente".
Haz clic en Guardar.