Habilitar claves de encriptación administradas por el cliente

Las claves de encriptación administradas por el cliente (CMEK) te permiten controlar las claves de encriptación que se usan para proteger tus datos en reposo de Google Cloud. En este artículo, se explica cómo configurar y administrar CMEK en el Centro de Datos de Anuncios.

El Centro de Datos de Anuncios encripta los datos en reposo mediante claves administradas por Google. A menos que tengas requisitos específicos que requieran el uso de CMEK, la encriptación predeterminada de Google es tu mejor opción.

Para usar CMEK, debes hacer lo siguiente:

  • Usar Cloud Key Management Service (KMS)
  • Haber configurado previamente un proyecto de administrador y actualizado a la cuenta de servicio nueva

Más información sobre las CMEK

Habilitar CMEK

  1. En la página de Cloud KMS, crea una clave simétrica.
    1. Puedes crear la clave en cualquier proyecto de Google Cloud.
    2. Asegúrate de crear tu clave en una ubicación de Cloud KMS compatible. Según los lineamientos de Cloud KMS, no se recomienda usar la región “global” debido a posibles limitaciones de rendimiento. Si no recuerdas tu región, comunícate con el equipo de asistencia del Centro de Datos de Anuncios.
      Región del CDAUbicaciones de Cloud KMS
      EE.UU.EE.UU.
      UEeurope
      asia-northeast1asia, asia-northeast1
      australia-southeast1australia-southeast1
  2. En la página de Cloud Identity and Access Management (IAM), otorga a la cuenta de servicio del Centro de Datos de Anuncios el rol de encriptador o desencriptador de CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypter). También puedes otorgar permisos a la cuenta de servicio del Centro de Datos de Anuncios directamente en la clave de la página de Cloud KMS.
  3. En la IU del Centro de Datos de Anuncios:
    1. Ve a la pestaña Configuración.
    2. En “Encriptación administrada por el cliente”, haz clic en Editar.
    3. Activa “Encriptación administrada por el cliente” (Customer-managed encryption).
    4. Pega el ID de recurso de la clave. Nota: Este debe ser el ID del recurso completo de la clave, no una versión específica. Aprende a obtener un ID de recurso de Cloud KMS.
    5. Haz clic en Guardar.

Administrar claves

Rota una clave

La rotación de claves es una práctica de seguridad común. Encuentra instrucciones para rotar claves en la página de Cloud KMS aquí.

El Centro de Datos de Anuncios no rota automáticamente la clave de encriptación cuando se rota la clave de Cloud KMS asociada a la cuenta. Las tablas existentes continúan usando la versión de clave con la que se crearon. Las tablas nuevas usan la versión actual de la clave.

Cambia las teclas

Puedes cambiar a una clave nueva en lugar de rotar una clave existente. Esto es útil cuando necesitas destruir una clave o realizar cambios significativos en tu administración de claves, como cambiar a un nivel de protección diferente.

Para cambiar a una clave nueva, sigue las instrucciones que aparecen en Habilita CMEK. Precaución: Si modificas o destruyes la clave anterior antes de que se complete la actualización, es posible que se pierdan datos de forma permanente.

Revocar permisos, inhabilitar o destruir una clave

Sigue las instrucciones de la documentación de Google Cloud para realizar las siguientes acciones:

  • Revoque los permisos de la cuenta de servicio del Centro de Datos de Anuncios.
    • Esta acción se aplica de inmediato. No podrás ejecutar consultas en el Centro de Datos de Anuncios hasta que se resuelva el problema. Además, tus tablas y modelos temporales pueden sufrir una pérdida de datos irrecuperable.
  • Inhabilita una clave.
    • Esta acción puede demorar hasta 3 horas en aparecer en el Centro de Datos de Anuncios. Hasta entonces, puedes seguir ejecutando consultas con la clave inhabilitada en el Centro de Datos de Anuncios.
  • Destruye una clave.
    • Importante: Inhabilita las CMEK antes de destruir tu clave. Si no lo haces, no podrás ejecutar consultas en el Centro de Datos de Anuncios hasta que se resuelva el problema, y tus tablas y modelos temporales podrían sufrir una pérdida de datos irrecuperable.

Inhabilitar CMEK

Es importante que inhabilites las CMEK antes de borrar las claves activas. De lo contrario, perderás el acceso a los datos que se encriptaron con tus claves borradas.

Para inhabilitar CMEK, sigue estos pasos:

  1. Navega a la pestaña Configuración en el Centro de Datos de Anuncios.
  2. En “Encriptación administrada por el cliente”, haz clic en Editar.
  3. Desactiva “Encriptación administrada por el cliente” (Customer-managed encryption).
  4. Haz clic en Guardar.