Descripción general de Autokey

Autokey de Cloud KMS simplifica la creación y el uso de claves de encriptación administradas por el cliente (CMEK) mediante la automatización del aprovisionamiento y la asignación. Con Autokey, los llaveros de claves y las claves se generan a pedido. Las cuentas de servicio que usan las claves para encriptar y desencriptar recursos se crean y se les otorgan roles de Identity and Access Management (IAM) cuando es necesario. Los administradores de Cloud KMS conservan el control y la visibilidad completos de las claves creadas por Autokey, sin necesidad de planificar y crear cada recurso por adelantado.

El uso de claves generadas por Autokey puede ayudarte a alinearte de manera coherente con los estándares de la industria y las prácticas recomendadas para la seguridad de los datos, incluido el nivel de protección de Cloud HSM de múltiples usuarios, la separación de obligaciones, la rotación de claves, la ubicación y la especificidad de las claves. Autokey crea claves que siguen tanto lineamientos generales como lineamientos específicos del tipo de recurso para Google Cloud los servicios que se integran con Autokey de Cloud KMS. Después de crearse, las claves solicitadas con Autokey funcionan de forma idéntica a otras claves de Cloud HSM con la misma configuración.

Autokey también puede simplificar el uso de Terraform para la administración de claves, lo que elimina la necesidad de ejecutar infraestructura como código con privilegios elevados de creación de claves.

Puedes usar Autokey con un modelo de administración de claves centralizado (disponibilidad general) o un modelo de administración de claves delegada (vista previa). Para usar el modelo de administración de claves centralizado, debes tener un recurso de organización que contenga un recurso de carpeta. En el modelo centralizado, Autokey está habilitado para los proyectos dentro de una carpeta, y las claves creadas por Autokey se crean en un proyecto de claves dedicado para esa carpeta. Con el modelo de administración de claves delegada, la administración de claves se delega a los administradores del proyecto, quienes pueden habilitar Autokey en una carpeta o proyecto para permitir que Autokey cree claves en el mismo proyecto que los recursos que protegen.

Para obtener más información sobre los recursos de organización y carpeta, consulta Jerarquía de recursos.

Autokey de Cloud KMS está disponible en todas las Google Cloud ubicaciones en las que Cloud HSM está disponible. Para obtener más información sobre las ubicaciones de Cloud KMS, consulta Ubicaciones de Cloud KMS. No hay costo adicional por usar Autokey de Cloud KMS. Las claves creadas con Autokey tienen el mismo precio que cualquier otra clave de Cloud HSM. Para obtener más información sobre los precios, consulta los precios de Cloud Key Management Service.

Cómo funciona Autokey

En esta sección, se explica cómo funciona Autokey de Cloud KMS. Los siguientes roles de usuario participan en este proceso:

Administrador

El administrador es un usuario responsable de administrar la seguridad a nivel de la carpeta o la organización.

Desarrollador de Autokey

El desarrollador de Autokey es un usuario responsable de crear recursos con Autokey de Cloud KMS.

Administrador de Cloud KMS

El administrador de Cloud KMS es un usuario responsable de administrar los recursos de Cloud KMS. Este rol tiene menos responsabilidades cuando se usa Autokey que cuando se usan claves creadas de forma manual.

Los siguientes agentes de servicio también participan en este proceso:

Agente de servicio de Cloud KMS

El agente de servicio de Cloud KMS en un proyecto de claves determinado. Autokey depende de que este agente de servicio tenga privilegios elevados para crear claves y llaveros de claves de Cloud KMS y para establecer la política de IAM en las claves, lo que otorga permisos de encriptación y desencriptación para cada agente de servicio de recursos.

Agente de servicio de recursos

El agente de servicio de un servicio determinado en un proyecto de recursos determinado. Este agente de servicio debe tener permisos de encriptación y desencriptación en cualquier clave de Cloud KMS antes de poder usar esa clave para la protección de CMEK en un recurso. Autokey crea el agente de servicio de recursos cuando es necesario y le otorga los permisos necesarios para usar la clave de Cloud KMS.

El administrador habilita Autokey de Cloud KMS

La habilitación de Autokey sigue uno de los siguientes caminos según el modelo de administración de claves que elijas:

1. Modelo de administración de claves centralizado: Habilita Autokey en una carpeta. Se crea un proyecto de claves centralizado para contener las claves que protegen los recursos creados en otros proyectos dentro de la carpeta.
2. Modelo de administración de claves delegada (vista previa): Puedes habilitar Autokey en proyectos individuales o en todos los proyectos dentro de una carpeta para usar Autokey del mismo proyecto.

Habilita la administración de claves centralizada

Antes de que puedas usar Autokey para la administración de claves centralizada en una carpeta, un administrador debe completar las siguientes tareas de configuración única:

1. Habilita Autokey de Cloud KMS en una carpeta y, luego, identifica el proyecto de Cloud KMS que contendrá los recursos de Autokey para esa carpeta.

2. Crea el agente de servicio de Cloud KMS y, luego, otorga privilegios de creación y asignación de claves al agente de servicio.

Una vez completada esta configuración, los desarrolladores que pueden crear recursos compatibles con Autokey en cualquier proyecto de esa carpeta ahora pueden activar la creación de claves de Cloud HSM de múltiples usuarios a pedido. Para ver las instrucciones de configuración completas de Autokey de Cloud KMS, consulta Habilita Autokey de Cloud KMS.

Habilita la administración de claves delegada

Antes de que puedas usar Autokey para la administración de claves delegada, un administrador debe completar las siguientes tareas de configuración única:

1. Habilita Autokey de Cloud KMS en un proyecto o carpeta.
2. Habilita la API de Cloud KMS en ese proyecto o en los proyectos de la carpeta.

Cuando se habilita Autokey de Cloud KMS en un proyecto para la administración de claves delegada, el agente de servicio de Cloud KMS se crea automáticamente cuando es necesario. No tienes que crear el agente de servicio de forma manual. Cualquier usuario con permisos para crear un recurso compatible con Autokey puede solicitar una clave nueva a pedido. Para ver las instrucciones de configuración completas de Autokey de Cloud KMS, consulta Habilita Autokey de Cloud KMS.

Los desarrolladores de Autokey usan Autokey de Cloud KMS

Después de que Autokey se habilita correctamente para un proyecto, los desarrolladores de Autokey pueden crear recursos protegidos con claves creadas para ellos a pedido. Esto se aplica a los proyectos de una carpeta en la que Autokey está habilitado para la administración de claves centralizada y a los proyectos en los que Autokey está habilitado para la administración de claves delegada del mismo proyecto. Los detalles del proceso de creación de recursos dependen del recurso que estés creando, pero el proceso sigue este flujo:

1. El desarrollador de Autokey comienza a crear un recurso en un servicio compatible Google Cloud . Durante la creación del recurso, el desarrollador solicita una clave nueva al agente de servicio de Autokey.

2. El agente de servicio de Autokey recibe la solicitud del desarrollador y completa los siguientes pasos:

   1. Crea un llavero de claves en el proyecto en la ubicación seleccionada, a menos que ese llavero de claves ya exista.
   2. Crea una clave en el llavero de claves con el nivel de detalle adecuado para el tipo de recurso, a menos que ya exista una clave de ese tipo.
   3. Crea la cuenta de servicio por proyecto y por servicio, a menos que esa cuenta de servicio ya exista.
   4. Otorga a la cuenta de servicio por proyecto y por servicio permisos de encriptación y desencriptación en la clave.
   5. Proporciona los detalles de la clave al desarrollador para que pueda terminar de crear el recurso.

3. Con los detalles de la clave que muestra correctamente el agente de servicio de Autokey, el desarrollador puede terminar de crear el recurso protegido de inmediato.

Autokey de Cloud KMS crea claves que tienen los atributos que se describen en la siguiente sección. Este flujo de creación de claves preserva la separación de obligaciones. El administrador de Cloud KMS sigue teniendo visibilidad y control completos sobre las claves creadas por Autokey.

Para comenzar a usar Autokey después de habilitarlo, consulta Crea recursos protegidos con Autokey de Cloud KMS.

Acerca de las claves creadas por Autokey

Las claves creadas por Autokey de Cloud KMS tienen los siguientes atributos:

• Nivel de protección: HSM
• Algoritmo: AES-256 GCM

• Período de rotación: Un año

  Después de que Autokey crea una clave, un administrador de Cloud KMS puede editar el período de rotación predeterminado.

• Separación de obligaciones:
  • A la cuenta de servicio del servicio se le otorgan automáticamente permisos de encriptación y desencriptación en la clave.
  • Los permisos de administrador de Cloud KMS se aplican como de costumbre a las claves creadas por Autokey. Los administradores de Cloud KMS pueden ver, actualizar, habilitar o inhabilitar, y destruir las claves creadas por Autokey. A los administradores de Cloud KMS no se les otorgan permisos de encriptación y desencriptación.
  • Los desarrolladores de Autokey solo pueden solicitar la creación y la asignación de claves. No pueden ver ni administrar claves.
• Especificidad o nivel de detalle: El nivel de detalle de las claves que crea Autokey varía según el tipo de recurso. Para obtener información específica del servicio en relación con el nivel de detalle de las claves, consulta Servicios compatibles en esta página.

• Ubicación: Autokey crea claves en la misma ubicación que el recurso que se protegerá.

  Si necesitas crear recursos protegidos por CMEK en ubicaciones donde Cloud HSM no está disponible, debes crear tu CMEK de forma manual.

• Estado de versión de las claves: Las claves nuevas solicitadas con Autokey se crean como la versión de clave primaria en el estado habilitado.
• Nombres de los llaveros de claves: Todas las claves creadas por Autokey se crean en un llavero de claves denominado autokey en el proyecto de Autokey en la ubicación seleccionada. Los llaveros de claves en tu proyecto de Autokey se crean cuando un desarrollador de Autokey solicita la primera clave en una ubicación determinada.
• Nombres de las claves: Las claves creadas por Autokey siguen esta convención de nombres: PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
• Exportación de claves: Al igual que todas las claves de Cloud KMS, las claves creadas por Autokey no se pueden exportar.
• Seguimiento de claves: Al igual que todas las claves de Cloud KMS que se usan en los servicios integrados en CMEK que son compatibles con el seguimiento de claves, se puede ver un seguimiento de las claves creadas por Autokey en el panel de Cloud KMS.

Aplicación de Autokey

Si deseas aplicar el uso de Autokey dentro de una carpeta o un proyecto, puedes hacerlo combinando los controles de acceso de IAM con las políticas de la organización de CMEK. Para ello, se quitan los permisos de creación de claves de las entidades principales que no sean el agente de servicio de Autokey y, luego, se requiere que todos los recursos estén protegidos por CMEK con el proyecto de claves de Autokey. Para obtener instrucciones detalladas para aplicar el uso de Autokey, consulta Aplica el uso de Autokey.

Servicios compatibles

En la siguiente tabla, se enumeran los servicios que son compatibles con Autokey de Cloud KMS:

Servicio	Recursos protegidos	Nivel de detalle de las claves
Artifact Registry	artifactregistry.googleapis.com/Repository Autokey crea claves durante la creación del repositorio, que se usan para todos los artefactos almacenados.	Una clave por recurso
BigQuery	bigquery.googleapis.com/Dataset Autokey crea claves predeterminadas para los conjuntos de datos. Las tablas, los modelos, las consultas y las tablas temporales dentro de un conjunto de datos usan la clave predeterminada del conjunto de datos. Autokey no crea claves para los recursos de BigQuery que no sean conjuntos de datos. Para proteger los recursos que no forman parte de un conjunto de datos, debes crear tus propias claves predeterminadas a nivel del proyecto o la organización.	Una clave por recurso
Bigtable	bigtableadmin.googleapis.com/Cluster Autokey crea claves para los clústeres. Autokey no crea claves para los recursos de Bigtable que no sean clústeres. Bigtable solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o el SDK de Google Cloud.	Una clave por clúster
AlloyDB para PostgreSQL	alloydb.googleapis.com/Cluster alloydb.googleapis.com/Backup AlloyDB para PostgreSQL solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API de REST.	Una clave por recurso
Cloud Run	run.googleapis.com/Service run.googleapis.com/Job	Una clave por ubicación dentro de un proyecto
Cloud SQL	sqladmin.googleapis.com/Instance Autokey no crea claves para los recursos BackupRun de Cloud SQL. Cuando creas una copia de seguridad de una instancia de Cloud SQL, la copia de seguridad se encripta con la clave administrada por el cliente de la instancia principal. Cloud SQL solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API de REST.	Una clave por recurso
Cloud Storage	storage.googleapis.com/Bucket Los objetos dentro de un bucket de almacenamiento usan la clave predeterminada del bucket. Autokey no crea claves para los recursos storage.object.	Una clave por bucket
Compute Engine	compute.googleapis.com/Disk compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/MachineImage Las instantáneas usan la clave del disco del que estás creando una instantánea. Autokey no crea claves para los recursos compute.snapshot.	Una clave por recurso
Pub/Sub	pubsub.googleapis.com/Topic	Una clave por recurso
Secret Manager	secretmanager.googleapis.com/Secret Secret Manager solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API de REST.	Una clave por ubicación dentro de un proyecto
Secure Source Manager	securesourcemanager.googleapis.com/Instance	Una clave por recurso
Spanner	spanner.googleapis.com/Database Spanner solo es compatible con Autokey de Cloud KMS cuando se crean recursos con Terraform o la API de REST.	Una clave por recurso
Dataflow	dataflow.googleapis.com/Job	Una clave por recurso
Servicio administrado para Apache Spark	dataproc.googleapis.com/Cluster dataproc.googleapis.com/SessionTemplate dataproc.googleapis.com/WorkflowTemplate dataproc.googleapis.com/Batch dataproc.googleapis.com/Session	Para los recursos de clúster, SessionTemplate y WorkflowTemplate recursos: Una clave por recurso Para los recursos de lote y sesión: Una clave por ubicación dentro de un proyecto

Limitaciones

• Gcloud CLI no está disponible para los recursos de Autokey.
• Los identificadores de claves no están en Cloud Asset Inventory.

¿Qué sigue?

• Para comenzar a usar Autokey de Cloud KMS, un administrador debe habilitar Autokey de Cloud KMS.
• Para usar Autokey de Cloud KMS después de que se haya habilitado, un desarrollador puede crear recursos protegidos por CMEK con Autokey.
• Obtén información sobre las prácticas recomendadas de CMEK.