El servicio de Key Management System (KMS) administra de forma centralizada las claves criptográficas y se ejecuta en el servidor de la API de Management.
Esta página está dirigida a los públicos que pertenecen al grupo de administradores de la plataforma, como los administradores de TI o los ingenieros de seguridad, que son responsables de administrar y usar las claves criptográficas en Google Distributed Cloud (GDC) aislado. Para obtener más información, consulta Audiences for GDC air-gapped documentation.
Claves admitidas
KMS admite las siguientes claves para sus operaciones del plano de datos:
| Primitiva clave | Primitiva de clave (API) | Descripción | Algoritmo predeterminado |
|---|---|---|---|
AEAD |
aeadkey |
La clave de encriptación autenticada con datos asociados (AEAD) que realiza la encriptación autenticada con AES-256.Los componentes de la clave representan lo siguiente:
|
AES_256_GCM |
Signing |
signingkey |
Es la clave de firma que proporciona la firma asimétrica con compatibilidad con curvas elípticas. Los componentes de la clave representan lo siguiente:
|
EC_SIGN_P384_SHA384 |
Tipos de claves raíz
Internamente, el KMS usa claves raíz para encriptar el material de clave antes de escribirlo en el disco y lo desencripta cuando se lee del disco. El KMS recupera la clave raíz para cada operación.
El KMS admite una sola clave raíz por organización, que se crea automáticamente cuando se implementa un KMS. La clave raíz une todas las claves que no son raíz. Usa el campo RootKeyID en cada clave para identificar la clave raíz.
Si tu clave raíz se ve comprometida o para la rotación periódica, puedes rotar una clave raíz. Este proceso reemplaza la clave raíz anterior por una nueva, que se convierte en la clave primaria y encapsula todas las claves que no son raíz.
| Tipo de clave raíz | Tipo de clave raíz (API) | Descripción |
|---|---|---|
Local Root (default) |
kms.gdc.goog/local-root |
El material criptográfico de la clave raíz se almacena en el servidor de la API de Management como un Secret de Kubernetes. |