Looker Studio ahora se llama Data Studio. Obtén más información sobre este cambio.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Claves de encriptación administradas por el cliente (CMEK)

De forma predeterminada, Data Studio encripta el contenido del cliente en reposo. Data Studio controla la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina encriptación predeterminada de Google.

Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluido Data Studio. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.

Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos de Data Studio es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).

Con las CMEK, puedes usar tus propias claves criptográficas para encriptar los datos en reposo de Data Studio Pro. El uso de CMEK te brinda control adicional sobre tus datos y te ayuda a cumplir con las reglamentaciones internas o externas.

CMEK y almacenamiento administrado por el cliente

Si habilitas las CMEK, también debes habilitar la opción de almacenamiento administrado por el cliente de Data Studio Pro, que te permite usar Cloud Storage y BigQuery para almacenar datos en el proyecto Google Cloudde Data Studio Pro. Data Studio Pro usa tus claves de Cloud Key Management Service para proteger recursos, como las configuraciones de informes y fuentes de datos, y los correos electrónicos programados. Para los archivos subidos y las extracciones de datos que se almacenan en tu proyecto Google Cloud , puedes proteger tus datos aplicando CMEK a tus recursos de almacenamiento Google Cloud .

Antes de comenzar

Para habilitar y usar la CMEK, debes cumplir con los siguientes requisitos previos:

Solo puedes habilitar la CMEK cuando creas una suscripción nueva a Data Studio Pro.
Para habilitar las CMEK, también debes habilitar y configurar el almacenamiento administrado por el cliente. Para el almacenamiento administrado por el cliente, debes proporcionar un bucket de Cloud Storage y un conjunto de datos de BigQuery dentro de tu proyecto Google Cloud para que Data Studio Pro los use para almacenar extracciones de datos y cargas de archivos. Para proteger los datos almacenados en estos recursos, puedes aplicarles configuraciones de CMEK.
Para habilitar la CMEK, también debes habilitar y configurar una ubicación de datos.
Debes tener una clave de encriptación simétrica en Cloud KMS para usar la CMEK. Esta clave debe estar en la misma región que selecciones para la ubicación de los datos.
Debes tener los roles de IAM necesarios para crear claves en Cloud KMS. Para obtener más información, consulta las Funciones requeridas.

Habilita la CMEK para una suscripción

Solo puedes habilitar la CMEK cuando creas una suscripción nueva a Data Studio Pro. No puedes habilitar la CMEK para una suscripción a Pro existente.

Para habilitar la CMEK, sigue estos pasos cuando crees una suscripción nueva a Data Studio Pro:

Cuando se te solicite, selecciona Usar una clave de encriptación administrada por el cliente.
Ingresa o pega el nombre del recurso de la clave en el campo Nombre del recurso de la clave.
Otorga a la cuenta de servicio de Data Studio Pro que se muestra en la interfaz de usuario el rol Encriptador/Desencriptador de CryptoKey de Cloud KMS en Cloud KMS.
Haz clic en Siguiente para continuar con la configuración de la suscripción.

Qué se encripta con la CMEK

Cuando habilitas las CMEK para tu suscripción a Data Studio Pro, la encriptación del contenido del cliente se controla de dos maneras:

Datos encriptados por Data Studio Pro con tu clave de Cloud KMS: Data Studio Pro usa la clave que especificaste para encriptar datos como las configuraciones de informes y fuentes de datos, y los correos electrónicos programados.
Datos almacenados en tu proyecto: Para habilitar la CMEK, debes usar almacenamiento administrado por el cliente. Google Cloud Los siguientes tipos de datos se almacenan en los recursos de Cloud Storage y BigQuery que proporcionas:
- Extracciones de datos
- Cargas de archivos CSV y Excel: Estos recursos se encriptan con cualquier configuración de CMEK que les apliques en Cloud Storage y BigQuery. Data Studio Pro no aplica automáticamente la CMEK a estos recursos cuando habilitas la CMEK para tu suscripción.

Administración de claves

Como administrador de seguridad o cumplimiento, puedes realizar tareas de administración de claves con Cloud KMS. Data Studio Pro llama a Cloud KMS para todas las operaciones de encriptación y desencriptación.

Puedes realizar las siguientes tareas clave de administración:

Revocación de claves: Puedes revocar el acceso de Data Studio Pro a una clave para que tus datos no estén disponibles de inmediato.
Auditoría: Puedes inspeccionar los registros de acceso a las claves en Cloud KMS para auditar cada operación en la que se usaron tus claves para encriptar o desencriptar datos.

Rotación de claves

Cuando rotas tu clave, Cloud KMS crea una versión nueva de la clave que se usa para encriptar los activos nuevos. Los recursos existentes no se vuelven a encriptar y siguen protegidos por la versión de clave con la que se encriptaron. Data Studio Pro no admite la reencriptación de recursos existentes con la nueva versión de la clave.

Dado que aún se requieren versiones de claves anteriores para acceder a los recursos existentes que se encriptaron con ellas, no debes borrar ni inhabilitar versiones de claves anteriores, a menos que tu objetivo sea quitar de forma permanente el acceso a esos recursos. Si borras o inhabilitas una versión de clave que protege datos, esos datos serán inaccesibles.

Si tu clave de CMEK deja de estar disponible (por ejemplo, si la inhabilitas o la borras), Data Studio Pro mostrará mensajes de error en lugar de mostrar informes o fuentes de datos que usen los datos encriptados. Los datos que se conservan en la memoria se borran en un plazo de 15 minutos después de detectar una clave inhabilitada. Se puede seguir accediendo a la página principal de Data Studio porque no contiene contenido del cliente.

Cuotas de Cloud KMS y Data Studio

Cuando usas CMEK en Data Studio, tus proyectos pueden consumir cuotas de solicitudes criptográficas de Cloud KMS. Cada vez que Data Studio Pro usa una de tus claves para encriptar o desencriptar datos, esa operación se incluye en la cuota de tu proyecto.

Las operaciones de encriptación y desencriptación con claves CMEK afectan las cuotas de Cloud KMS de las siguientes maneras:

En el caso de las claves CMEK de software generadas en Cloud KMS, no se consume cuota de Cloud KMS.
En el caso de las claves CMEK de hardware, a veces llamadas claves de Cloud HSM, las operaciones de encriptación y desencriptación se descuentan de las cuotas de Cloud HSM en el proyecto que contiene la clave.
Para las claves CMEK externas, a veces llamadas claves de Cloud EKM, las operaciones de encriptación y desencriptación se descuentan de las cuotas de Cloud EKM del proyecto que contiene la clave.

Para obtener más información, consulta Cuotas de Cloud KMS.

Limitaciones de CMEK

La CMEK tiene las siguientes limitaciones:

Solo puedes habilitar la CMEK cuando creas una suscripción nueva a Data Studio Pro. No puedes habilitar ni inhabilitar las CMEK para una suscripción existente.
Solo puedes mover contenido de un proyecto habilitado para CMEK a otro proyecto que tenga una suscripción activa a Data Studio Pro.
Si cambias de Data Studio Pro a la versión sin costo de Data Studio, o si se cancela tu suscripción, las funciones de CMEK seguirán funcionando durante un período de gracia de 30 días. Después de eso, se borrarán las fuentes de datos que se crearon con CMEK.
Si cambias de Data Studio Pro a la versión sin costo de Data Studio o si se cancela tu suscripción, deberás esperar 30 días para poder volver a usar el mismo proyecto Google Cloud y crear una nueva suscripción a Data Studio Pro.

¿Qué sigue?

Más información sobre CMEK.
Obtén más información sobre Cloud KMS.