Las claves de encriptación administradas por el cliente (CMEK) te permiten proteger tus datos de Backup and DR Service con una clave criptográfica que controlas a través de Cloud Key Management Service (Cloud KMS). Cuando usas CMEK, administras la clave en Cloud Key Management Service y puedes controlar quién puede acceder a ella administrando los permisos de Identity and Access Management en la clave. Si inhabilitas de forma temporal la clave CMEK o la borras de forma permanente, no se podrá acceder a los datos protegidos con esa clave.
El servicio Backup and DR usa la CMEK para proteger los datos de copias de seguridad almacenados en las backup vaults.
Solo puedes configurar la CMEK en una bóveda de copias de seguridad cuando la creas. No puedes habilitar ni inhabilitar la CMEK en una bóveda de copias de seguridad existente.
Para obtener más información sobre las CMEK en general, consulta Claves de encriptación administradas por el cliente (CMEK).
Permisos necesarios para usar la CMEK
Antes de comenzar a usar la CMEK, debes hacer lo siguiente:
Habilita la API de Cloud Key Management Service en el proyecto que almacenará tus claves de CMEK.
Crea un llavero de claves y una clave de Cloud Key Management Service. Cuando crees tu clave, asegúrate de seleccionar una ubicación que coincida con la de tu backup vault. Una bóveda de copias de seguridad en una región debe usar una clave de la misma región. Una bóveda de copias de seguridad multirregional debe usar una clave de la misma multirregión.
Si aún no se creó, crea la identidad del agente de servicio de Backup and DR Service. El agente de servicio se crea automáticamente después de que se crea la primera bóveda de copias de seguridad en un proyecto. Si necesitas otorgar permisos al agente de servicio antes de crear una backup vault, puedes activar su creación con el siguiente comando:
gcloud beta services identity create --service=backupdr.googleapis.com --project=PROJECT_ID
PROJECT_IDpor el ID de tu proyecto.
Cuando habilitas CMEK para una bóveda de copias de seguridad, el servicio de Backup and DR necesita permiso para usar tu clave de CMEK para encriptar y desencriptar datos. Este permiso se debe otorgar al agente de servicio de Backup and DR Service.
Es importante distinguir entre dos cuentas de servicio diferentes que usa el servicio de Backup and DR:
- Agente de servicio de Backup and DR Service: Es una cuenta de servicio a nivel del proyecto que se usa para administrar los recursos de Backup and DR Service y para acceder a las claves de Cloud Key Management Service cuando la CMEK está habilitada en un backup vault. Este es el agente de servicio que requiere el rol
roles/cloudkms.cryptoKeyEncrypterDecrypteren la clave de CMEK. - Cuenta de servicio de la bóveda de copias de seguridad: Es una cuenta de servicio única por bóveda a la que le otorgas permisos para acceder a las cargas de trabajo de origen y crear copias de seguridad de ellas (como las instancias de Compute Engine). Esta cuenta de servicio no se usa para la encriptación con CMEK de los datos dentro de la bóveda de copias de seguridad.
Para usar CMEK con el servicio de copia de seguridad y DR, debes otorgar el rol de Encriptador/Desencriptador de CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) al agente de servicio del servicio de copia de seguridad y DR. Este agente de servicio es una cuenta de servicio que Backup and DR Service usa para acceder a los recursos en tu nombre, incluido el acceso a tu clave de Cloud Key Management Service durante las operaciones de encriptación y desencriptación.
El agente de servicio de Backup and DR Service se denomina con el siguiente formato:
service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com
Reemplaza VAULT_PROJECT_NUMBER por el número del proyecto que contiene tu bóveda de copias de seguridad.
Puedes otorgar este rol en el momento de la creación de la bóveda de copias de seguridad con la consola de Google Cloud si tienes permisos para otorgar roles de IAM, o bien puedes otorgarlo con anticipación con el comando gcloud kms keys add-iam-policy-binding:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--location=KMS_LOCATION \
--keyring=KEY_RING \
--member=serviceAccount:service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Permisos para crear copias de seguridad de recursos protegidos por CMEK
Si creas una copia de seguridad de un recurso que ya está encriptado con una clave CMEK diferente, como una instancia de Compute Engine con discos encriptados con CMEK, se requieren permisos adicionales. El agente de servicio del servicio del recurso de origen necesita permiso para usar las claves que protegen el recurso de origen. Por ejemplo, para crear una copia de seguridad de una instancia de Compute Engine encriptada con una CMEK, el agente de servicio de Compute Engine del proyecto de la instancia de origen debe tener el rol roles/cloudkms.cryptoKeyEncrypterDecrypter en las claves de Cloud Key Management Service que se usan para encriptar los discos de la instancia. En la mayoría de los casos, este permiso ya está establecido para que la carga de trabajo de origen esté operativa.
Rotación de claves y capacidad de restauración de copias de seguridad de Cloud Key Management Service
Las copias de seguridad del servicio Backup and DR dependen de la disponibilidad de la clave de Cloud Key Management Service. Es posible que el servicio Backup and DR no pueda acceder a los recursos protegidos por esa clave.
Si el servicio Backup and DR no puede acceder a tu clave de CMEK, haz lo siguiente:
- Las copias de seguridad nuevas en la bóveda de copias de seguridad habilitada para CMEK fallan.
- Falla el restablecimiento desde el backup vault habilitado para CMEK.
- No puedes crear bóvedas de copias de seguridad nuevas que usen la clave no disponible.
Si inhabilitaste una clave que se usó para las copias de seguridad, volver a habilitarla restablece el acceso a los datos de la copia de seguridad. Si destruiste una versión de clave, se perderán de forma permanente todas las copias de seguridad encriptadas con esa versión de clave.
Precios
El servicio de Backup and DR no cobra tarifas adicionales por usar la CMEK. Sin embargo, se te cobrará por el uso de tus claves en Cloud Key Management Service. Para obtener más información, consulta los precios de Cloud Key Management Service.