Habilitar claves de encriptación administradas por el cliente

En este documento, se describe cómo encriptar los datos de Knowledge Catalog (anteriormente, Dataplex Universal Catalog) con claves de encriptación administradas por el cliente (CMEK).

Descripción general

De forma predeterminada, Knowledge Catalog encripta el contenido del cliente en reposo. Knowledge Catalog controla la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina encriptación predeterminada de Google.

Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluido Knowledge Catalog. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite hacer un seguimiento del uso de las claves, ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.

Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos de Knowledge Catalog es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).

Knowledge Catalog usa una CMEK por ubicación para todos los recursos de Knowledge Catalog.

Puedes configurar una clave de CMEK a nivel de la organización en Knowledge Catalog.

Para obtener más información sobre las CMEK en general, incluso cuándo y por qué habilitarlas, consulta Claves de encriptación administradas por el cliente (CMEK).

Beneficios de CMEK

La CMEK te permite hacer lo siguiente:

• Administrar las operaciones del ciclo de vida de las claves y los permisos de acceso
• Haz un seguimiento del uso de las claves con la API de Key Inventory y los paneles de Key Usage en Cloud KMS, que te permiten ver aspectos como qué claves protegen qué recursos. Cloud Logging te indica cuándo se accedió a las claves y quién lo hizo.
• Cumple con requisitos reglamentarios específicos administrando tus claves de encriptación.

Cómo funciona la CMEK con Knowledge Catalog

Los administradores de encriptación de Knowledge Catalog en tu proyecto de Google Cloud pueden configurar la CMEK para Knowledge Catalog proporcionando la clave de Cloud KMS. Luego, Knowledge Catalog usa la clave de Cloud KMS especificada para encriptar todos los datos, incluidos los existentes y los recursos nuevos que se creen en Knowledge Catalog.

Funciones admitidas

• Knowledge Catalog admite la encriptación con CMEK para las siguientes funciones:

  • Calidad de los datos de Auto
  • Creación de perfiles de datos
  • Detección de datos
  • Estadísticas de datos
  • Catálogo de conocimiento
  • Glosario empresarial
  • Búsqueda en el Catálogo de conocimiento

• Data Lineage no almacena contenido principal del cliente ni datos sensibles, por lo que no requiere encriptación con CMEK.

• Los clientes de Assured Workloads no pueden usar otras funciones de Knowledge Catalog porque no se admite la encriptación con CMEK para ellos.

• Los clientes que no usan Assured Workloads pueden usar otras funciones, pero los datos se encriptan con la encriptación predeterminada de Google.

Consideraciones

• De forma predeterminada, cada organización se aprovisiona con la encriptación predeterminada de Google.
• El administrador de la organización puede cambiar a la CMEK en Knowledge Catalog para cualquier ubicación.
• Knowledge Catalog admite claves de Cloud KMS, claves de Cloud HSM y claves de Cloud External Key Manager.
• Se admite la rotación de claves y, después de que está disponible, la nueva versión de la clave se usa automáticamente para la encriptación de datos. Los datos existentes también se encriptan con esta versión nueva.
• El Catálogo de conocimiento retiene copias de seguridad de los datos durante un máximo de 15 días. Las copias de seguridad que se creen después de habilitar la CMEK se encriptarán con la clave de KMS especificada. Los datos de los que se creó una copia de seguridad antes de habilitar la CMEK permanecen encriptados con la encriptación predeterminada de Google durante un máximo de 15 días.

Limitaciones

• El cambio a CMEK es un proceso irreversible. Después de que elijas la CMEK, no podrás volver a la encriptación predeterminada de Google.
• Una vez que se configura una clave de Cloud KMS para Knowledge Catalog, no se puede actualizar ni cambiar.
• Knowledge Catalog solo admite la encriptación a nivel de la organización. Como resultado, la configuración de encriptación se establece a nivel de la organización para una ubicación determinada y se usa para encriptar los datos del Catálogo de conocimiento de todos los proyectos dentro de esa organización y ubicación. La encriptación con CMEK no es compatible con proyectos específicos en una organización o carpeta. La configuración de políticas de la organización relacionadas con la CMEK requiere una consideración cuidadosa.
• Knowledge Catalog no admite CMEK en la región global.

• Cuando la CMEK está habilitada para Knowledge Catalog, las siguientes funciones no funcionan:

  • Búsqueda de metadatos en toda la organización

• Antes de configurar la CMEK en Knowledge Catalog, desactiva la API de Data Catalog (obsoleta) en todos los proyectos.

• Cuando habilites la CMEK en Knowledge Catalog, no migres proyectos dentro ni fuera de la organización de CMEK. Si se modifica la ubicación organizacional de un proyecto, se perderán de forma permanente los metadatos almacenados en el Catálogo de conocimiento para ese proyecto.

Actualiza la configuración existente de CMEK

Si habilitaste la CMEK en Knowledge Catalog antes del 7 de noviembre de 2025, ejecuta el siguiente comando para extender la cobertura de la CMEK a Knowledge Catalog y a la búsqueda de Knowledge Catalog:

  gcloud dataplex encryption-config update organizations/ORG_ID/locations/LOCATION/encryptionConfigs/default --enable-metastore-encryption

• Reemplaza ORG_ID por el ID de la organización que contiene la clave.
• Reemplaza LOCATION por la ubicación de la organización que contiene la clave.

Cuando los datos están encriptados, es posible que se produzca un problema de disponibilidad del Catálogo de conocimiento.

Si habilitas la CMEK por primera vez después del 7 de noviembre de 2025, Knowledge Catalog Metastore y Search se incluirán en la cobertura de la CMEK de forma predeterminada.

Protege tus claves de encriptación

Para garantizar el acceso continuo a los datos encriptados con CMEK, sigue estas prácticas recomendadas:

• Asegúrate de que tus claves de CMEK permanezcan habilitadas y accesibles. Si una clave está inhabilitada o destruida, no se puede acceder a los datos de Knowledge Catalog. Si la clave no está disponible durante más de 30 días, los datos encriptados con ella se borran automáticamente y no se pueden recuperar.
• Si la clave de Cloud KMS se destruye y no se puede recuperar, se perderán de forma permanente todos los datos asociados del Catálogo de Knowledge.
• En los casos en que Cloud KMS no esté disponible temporalmente, Knowledge Catalog seguirá admitiendo operaciones completas según el criterio del mejor esfuerzo durante una hora como máximo. Después de este período, los datos se volverán inaccesibles temporalmente como medida de protección.
• Cuando uses Cloud EKM, ten en cuenta que Google no controla la disponibilidad de tus claves administradas de forma externa. La no disponibilidad de claves a corto plazo genera una inaccesibilidad temporal a los datos. La falta de disponibilidad de la clave durante 30 días provoca la pérdida permanente de datos.

Disponibilidad de Knowledge Catalog

En las siguientes secciones, se describe el proceso y el impacto operativo esperado cuando habilitas CMEK para tu organización de Knowledge Catalog.

Aprovisionamiento inicial de la infraestructura

Después de guardar la configuración de encriptación, Knowledge Catalog configura la infraestructura necesaria. Por lo general, este proceso demora entre 6 y 8 horas. Durante esta fase de aprovisionamiento, conservas el acceso completo a todas las funciones y características de Knowledge Catalog, y los datos permanecen encriptados a través de la encriptación administrada por Google. Si se configura la política de la organización constraints/gcp.restrictNonCmekServices, fallarán las solicitudes de creación de recursos hasta que se complete la fase de aprovisionamiento.

Encriptación de datos y disponibilidad de la API

Después del aprovisionamiento de la infraestructura, Knowledge Catalog comienza a encriptar los datos existentes almacenados dentro de la organización. Para garantizar la integridad de los datos y evitar posibles incoherencias durante este proceso de encriptación, los métodos de la API de Dataplex no estarán disponibles temporalmente. Esta restricción impide las operaciones de actualización de datos. Cuando activas inicialmente la CMEK para Knowledge Catalog, se encriptan todos los datos existentes. Se estima que esta operación única tardará hasta dos horas.

Operaciones posteriores a la encriptación

Una vez que se completa correctamente el proceso de encriptación de datos existentes, los métodos de la API de Dataplex están disponibles por completo. La creación o modificación de datos en Knowledge Catalog se encripta automáticamente con la CMEK configurada, sin interrupciones operativas ni restricciones de la API.

Crea una clave y habilita la CMEK

En las siguientes instrucciones, se explica cómo crear una clave y habilitar la CMEK para Knowledge Catalog. Puedes usar una clave creada directamente en Cloud KMS o una clave administrada de forma externa que pongas a disposición con Cloud EKM.

1. En el proyecto Google Cloud en el que deseas administrar tus claves, haz lo siguiente:

   1. Habilita la API de Cloud Key Management Service.

   2. Crea un llavero de claves de Cloud KMS en la ubicación en la que deseas usarlo.

   3. Crea una clave con una de las siguientes opciones:

      • Crea una clave de Cloud KMS
      • Crea una clave externa.

2. Crea y muestra la cuenta de servicio administrada por Google:

   gcloud beta services identity create \
       --service=dataplex.googleapis.com \
       --organization=ORG_ID
   

   Reemplaza ORG_ID por el ID de la organización que contiene la clave.

   Si se te solicita que instales el componente de comandos beta de Google Cloud CLI, ingresa Y.

   El comando services identity de gcloud CLI crea u obtiene la cuenta de servicio específica administrada por Google que Knowledge Catalog puede usar para acceder a la clave de Cloud KMS.

   El ID de la cuenta de servicio tiene el formato service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com. También se crea una cuenta de servicio específica para la CMEK, con el formato service-org-ORG_ID@gcp-sa-dataplex-cmek.iam.gserviceaccount.com. La cuenta de servicio específica de la CMEK se usa para encriptar y desencriptar los datos almacenados en Knowledge Catalog. Si usas los Controles del servicio de VPC para la clave de Cloud KMS, debes otorgar acceso a la cuenta de servicio específica de CMEK con una regla de entrada.

3. Otorga la función de IAM de encriptador/desencriptador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) a la cuenta de servicio de Knowledge Catalog. Otorga este permiso en la clave que creaste.

   Console

   1. Ve a la página Administración de claves.

      Ir a Administración de claves

   2. Haz clic en el llavero de claves.

   3. En la lista de claves disponibles, haz clic en la clave que creaste.

   4. Haz clic en la pestaña Permisos.

   5. Haz clic en Otorgar acceso.

   6. En el panel Otorgar acceso que se abre, sigue estos pasos para otorgar acceso a la cuenta de servicio de Knowledge Catalog:

      1. En Agregar principales, ingresa la cuenta de servicio service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.
      2. En Asignar roles, selecciona el rol de encriptador/desencriptador de CryptoKey de Cloud KMS.
      3. Haz clic en Guardar.

   gcloud

   Otorga a la cuenta de servicio el rol cloudkms.cryptoKeyEncrypterDecrypter:

   gcloud kms keys add-iam-policy-binding KEY_NAME \
       --location=LOCATION \
       --keyring KEY_RING \
       --project=KEY_PROJECT_ID \
       --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \
       --role roles/cloudkms.cryptoKeyEncrypterDecrypter
   

   Reemplaza lo siguiente:

   • KEY_NAME: el nombre de la clave
   • LOCATION: la ubicación
   • KEY_RING: Es el llavero de claves.
   • KEY_PROJECT_ID: ID del proyecto de claves

4. Asígnate el rol de administrador de encriptación de Dataplex.

   Console

   Sigue las instrucciones para otorgar un rol de IAM.

   gcloud

   gcloud organizations add-iam-policy-binding ORG_ID \
       --member='user:USER_EMAIL' \
       --role='roles/dataplex.encryptionAdmin'
   

   Reemplaza lo siguiente:

   • ORG_ID: Es el ID de la organización que contiene la clave.
   • USER_EMAIL: La dirección de correo electrónico del usuario.

5. Configura Knowledge Catalog para que use tu clave de CMEK.

   Console

   1. En la consola de Google Cloud , ve a la página Knowledge Catalog.

      Ir a Knowledge Catalog

   2. Haz clic en Configuración.

   3. En Selecciona la región para CMEK, elige una región. La región que selecciones debe coincidir con la ubicación de la clave de Cloud KMS.

   4. En Seleccionar clave de encriptación, selecciona la clave que creaste.

   5. Haz clic en Guardar.

      El proceso de encriptación de datos tarda un tiempo en completarse. Cuando se completa el proceso, aparece el siguiente mensaje: Data Encryption is complete. Your selected CMEK key is now protecting your data.

   gcloud

   1. Establece la configuración de encriptación en Knowledge Catalog:

      gcloud dataplex encryption-config create default \
          --location=LOCATION \
          --organization=ORG_ID \
          --key=KEY_RESOURCE_ID
      

      Reemplaza lo siguiente:

      • ORG_ID: Es el ID de la organización que contiene la clave.
      • KEY_RESOURCE_ID: El ID del recurso de clave, por ejemplo, projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. Reemplaza PROJECT_ID por el ID del proyecto clave.

   2. Comprueba que el proceso de encriptación se haya completado:

      gcloud dataplex encryption-config describe default \
          --location=LOCATION \
          --organization=ORG_ID
      

   El proceso de encriptación de datos tarda un tiempo en completarse. Cuando se complete el proceso, aparecerá el siguiente mensaje: encryptionState: COMPLETED.

Registro y supervisión

Audita las solicitudes de Knowledge Catalog a Cloud KMS habilitando el registro de auditoría para la API de Cloud KMS.

Políticas de la organización de CMEK

Google Cloud proporciona restricciones de políticas de la organización para aplicar el uso de CMEK y controlar las claves de Cloud KMS permitidas en tu organización. Estas restricciones ayudan a garantizar que los datos de Knowledge Catalog estén protegidos de forma coherente por la CMEK.

• constraints/gcp.restrictNonCmekServices aplica el uso obligatorio de CMEK para los recursos de Knowledge Catalog.

  • Agregar dataplex.googleapis.com a la lista de nombres de servicios de Google Cloud y establecer la restricción en Deny prohíbe la creación de recursos de Knowledge Catalog que no tengan protección de CMEK.

  • Si no se especifica una clave de Cloud KMS para la ubicación solicitada en la configuración de encriptación con CMEK, fallarán las solicitudes para crear recursos en Knowledge Catalog.

  • Esta política se valida a nivel del proyecto de recursos individuales.

• constraints/gcp.restrictCmekCryptoKeyProjects restringe la selección de claves de Cloud KMS para CMEK a las jerarquías de recursos designadas.

  • Si configuras una lista de indicadores de jerarquía de recursos (proyectos, carpetas u organizaciones) y estableces la restricción en Allow, el Catálogo de conocimiento se restringirá al uso de claves de CMEK solo desde las ubicaciones especificadas.

  • Si se proporciona una clave de Cloud KMS de un proyecto no permitido, fallarán las solicitudes para crear recursos protegidos por CMEK en Knowledge Catalog.

  • Esta política se valida a nivel del proyecto de recursos durante la creación de recursos.

  • Esta política se valida a nivel de la organización cuando se configuran los parámetros de encriptación de CMEK.

  • Para evitar incoherencias, asegúrate de que los parámetros de configuración a nivel del proyecto se alineen con las políticas de toda la organización.

Para obtener más información sobre cómo configurar las políticas de la organización, consulta Políticas de la organización de CMEK.

¿Qué sigue?

• Más información sobre CMEK.