Las claves de cifrado gestionadas por el cliente (CMEK) te permiten proteger tus datos del servicio Backup and DR con una clave criptográfica que controlas a través de Cloud Key Management Service (Cloud KMS). Cuando usas CMEK, gestionas la clave en Cloud Key Management Service y puedes controlar quién tiene acceso a ella gestionando los permisos de Identity and Access Management de la clave. Si inhabilitas temporalmente o destruyes de forma permanente la clave CMEK, no se podrá acceder a los datos protegidos con ella.
El servicio de copia de seguridad y recuperación tras desastres usa CMEK para proteger los datos de copia de seguridad almacenados en los almacenes de copias de seguridad.
Solo puedes configurar CMEK en un almacén de copias de seguridad cuando lo creas. No puedes habilitar ni inhabilitar CMEK en un almacén de copias de seguridad que ya está creado.
Para obtener más información sobre las CMEK en general, consulta el artículo Claves de cifrado gestionadas por el cliente (CMEK).
Permisos necesarios para usar CMEK
Antes de empezar a usar CMEK, debes hacer lo siguiente:
Habilita la API Cloud Key Management Service en el proyecto que almacenará tus claves de CMEK.
Crea un conjunto de claves y una clave de Cloud Key Management Service. Cuando crees la clave, asegúrate de seleccionar una ubicación que coincida con la de tu bóveda de copias de seguridad. Un almacén de copias de seguridad de una región debe usar una clave de la misma región. Un almacén de copias de seguridad multirregional debe usar una clave de la misma multirregión.
Si aún no lo has hecho, crea la identidad del agente de servicio de Backup and DR Service. El agente de servicio se crea automáticamente después de que se cree el primer almacén de copias de seguridad en un proyecto. Si necesitas conceder permisos al agente de servicio antes de crear un almacén de copias de seguridad, puedes activar su creación con el siguiente comando:
gcloud beta services identity create --service=backupdr.googleapis.com --project=PROJECT_ID
PROJECT_IDpor el ID de tu proyecto.
Cuando habilitas las CMEK en un almacén de copias de seguridad, el servicio Backup and DR necesita permiso para usar tu clave de CMEK con el fin de encriptar y desencriptar datos. Este permiso se debe conceder al agente de servicio del servicio de copias de seguridad y recuperación ante desastres.
Es importante distinguir entre las dos cuentas de servicio que usa el servicio de copia de seguridad y recuperación ante desastres:
- Agente de servicio de Backup y DR: es una cuenta de servicio a nivel de proyecto que se usa para gestionar recursos de Backup y DR, y para acceder a las claves de Cloud Key Management Service cuando CMEK está habilitado en un depósito de copias de seguridad. Este es el agente de servicio que requiere el rol
roles/cloudkms.cryptoKeyEncrypterDecrypteren la clave de CMEK. - Cuenta de servicio del depósito de copias de seguridad: se trata de una cuenta de servicio única por depósito a la que le concedes permisos para acceder a las cargas de trabajo de origen y crear copias de seguridad de ellas (como las instancias de Compute Engine). Esta cuenta de servicio no se usa para el cifrado con CMEK de los datos de la bóveda de copias de seguridad.
Para usar CMEK con el servicio de copia de seguridad y recuperación tras fallos, debes asignar el rol Encargado del encriptado y desencriptado de la clave criptográfica Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) al agente de servicio del servicio de copia de seguridad y recuperación tras fallos. Este agente de servicio es una cuenta de servicio que el servicio de copia de seguridad y recuperación tras desastres usa para acceder a los recursos en tu nombre, incluido el acceso a tu clave de Cloud Key Management Service durante las operaciones de cifrado y descifrado.
El agente de servicio del servicio de copias de seguridad y recuperación tras fallos tiene el siguiente formato:
service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com
Sustituye VAULT_PROJECT_NUMBER por el número del proyecto que contiene tu bóveda de copias de seguridad.
Puedes asignar este rol en el momento de crear el almacén de copias de seguridad mediante la Google Cloud consola si tienes permisos para asignar roles de gestión de identidades y accesos, o bien puedes asignarlo con antelación mediante el comando gcloud kms keys add-iam-policy-binding:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--location=KMS_LOCATION \
--keyring=KEY_RING \
--member=serviceAccount:service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Permisos para crear copias de seguridad de recursos protegidos con CMEK
Si vas a crear una copia de seguridad de un recurso que ya está cifrado con otra clave CMEK, como una instancia de Compute Engine con discos cifrados con CMEK, se necesitan permisos adicionales. El agente de servicio del servicio del recurso de origen necesita permiso para usar las claves que protegen el recurso de origen. Por ejemplo, para crear una copia de seguridad de una instancia de Compute Engine cifrada con CMEK, el agente de servicio de Compute Engine del proyecto de la instancia de origen debe tener el rol roles/cloudkms.cryptoKeyEncrypterDecrypter en las claves de Cloud Key Management Service que se utilicen para cifrar los discos de la instancia. En la mayoría de los casos, este permiso ya está configurado para que la carga de trabajo de origen funcione.
Rotación de claves y restauración de copias de seguridad de Cloud Key Management Service
Las copias de seguridad del servicio de copia de seguridad y recuperación tras fallos dependen de la disponibilidad de la clave de Cloud Key Management Service. Es posible que el servicio de copia de seguridad y recuperación tras fallos no pueda acceder a los recursos protegidos por esa clave.
Si el servicio Backup and DR no puede acceder a tu clave CMEK:
- Las nuevas copias de seguridad en el almacén de copias de seguridad habilitado para CMEK fallan.
- Las restauraciones desde el almacén de copias de seguridad habilitado para CMEK fallan.
- No puedes crear nuevos almacenes de copias de seguridad que usen la clave no disponible.
Si has inhabilitado una clave que se usaba para copias de seguridad, volver a habilitarla restaura el acceso a los datos de la copia de seguridad. Si has destruido una versión de una clave, se perderán de forma permanente todas las copias de seguridad encriptadas con esa versión de la clave.
Precios
El servicio de copias de seguridad y recuperación ante desastres no cobra ninguna comisión adicional por usar CMEK. Sin embargo, se te cobrará por el uso de tus claves en Cloud Key Management Service. Para obtener más información, consulta los precios de Cloud Key Management Service.