Crea una conexión de EKM

En esta página, se muestra cómo configurar Cloud External Key Manager (Cloud EKM) para conectarte a tu proveedor de administración de claves externas (EKM) a través de una red de nube privada virtual (VPC).

Puedes usar claves externas a través de VPC en ubicaciones de Cloud KMS que admitan EKM a través de VPC. Para obtener más información, consulta la página Ubicaciones de Cloud KMS.

Terminología

• Conexión EKM

  Es el recurso de Cloud KMS que se usa para configurar una conexión a tu administrador de claves externo. En la Google Cloud consola, se conoce como EKM a través de una conexión de VPC.

• Proyecto de VPC

  Es el proyecto que contiene el recurso de VPC que se usa para conectarte a tu administrador de claves externo.

• Proyectos clave

  Son los proyectos que contienen recursos de conexión EKM y claves de Cloud EKM en Cloud KMS. Un proyecto clave puede ser el mismo que un proyecto de VPC, pero no es obligatorio.

• Espacio criptográfico

  Es un contenedor para tus recursos dentro de tu socio de administración de claves externas. Tu espacio criptográfico se identifica con una ruta de acceso única. El formato de la ruta de acceso al espacio criptográfico varía según el socio de administración de claves externas. Por ejemplo, v0/cryptospaces/YOUR_UNIQUE_PATH.

Antes de comenzar

Una vez que completes los siguientes pasos, puedes comenzar a usar las claves de Cloud EKM para proteger tus datos.

Crea un nuevo proyecto

1. En la Google Cloud consola, ve a la página Administrar recursos.

   Ir a la página Administración de recursos

2. Crea un nuevo Google Cloud proyecto o selecciona uno existente.

   …consulta los lineamientos para asignar nombres

3. Verifica que la facturación esté habilitada para tu Google Cloud proyecto.

Obtén más información sobre los precios de Cloud EKM.

Habilite Cloud KMS

1. Habilita la API de Cloud Key Management Service para el proyecto.

   Habilitar la API de Cloud Key Management Service

2. Anota la cuenta de servicio de Cloud EKM de tu proyecto. En el siguiente ejemplo, reemplaza PROJECT_NUMBER por el Google Cloud número de proyecto. Esta información también es visible cada vez que usas la Google Cloud consola para crear una clave de Cloud EKM.

   service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
   

Asegúrate de que gcloud CLI esté actualizada

Si vas a usar Google Cloud CLI, asegúrate de que esté actualizada con el siguiente comando:

gcloud components update

Prepara una red de VPC

Existen dos opciones cuando se configura una red de VPC:

• Red en modo automático
• Red en modo personalizado

De forma predeterminada, los proyectos nuevos contienen una red en modo automático que se propaga previamente con reglas de firewall. Si la red de VPC no se usará para fines de producción, la red predeterminada en modo automático es la forma más rápida de comenzar.

Si tu administrador de claves externo se ejecuta de forma local y te conectarás a él a través de la conectividad híbrida, debes usar una red en modo personalizado , ya que proporciona control sobre los rangos de direcciones IP de subred.

Sigue estos pasos para configurar tu VPC:

1. Habilite el Acceso privado a Google

   El administrador de claves externo debe verificar el token de OIDC que se incluye en cada solicitud. Para verificar el token, debe recuperar la clave pública de OAuth2 del nombre de dominio www.googleapis.com. Si el administrador de claves externo se ejecuta en Google Cloud y no tiene acceso a través de Internet (p.ej., una VM sin una IP externa o bloqueada por un firewall), sigue las instrucciones para configurar el acceso privado a Google.

2. Configuración de firewall para el rango de IP 35.199.192.0/19

   Las solicitudes de Cloud EKM provendrán de este rango. Crea reglas de firewall de permiso de entrada y salida para TCP para el puerto en el que escucha el administrador de claves externo.

Configura la conectividad híbrida

Si el administrador de claves externo se ejecuta de forma local, usa una solución de conectividad híbrida para conectar la VPC con tu red local. Una vez que hayas configurado la conectividad, sigue estos pasos adicionales:

1. Habilite el Acceso privado a Google

   El administrador de claves externo debe verificar el token de OIDC que se incluye en cada solicitud. Para verificar el token, debe recuperar la clave pública de OAuth2 del nombre de dominio www.googleapis.com. Si el administrador de claves externo se ejecuta de forma local y no tiene acceso a través de Internet, sigue las instrucciones para configurar el acceso privado a Google para los hosts locales.

2. Configuración de firewall para el rango de IP 35.199.192.0/19

   Las solicitudes de Cloud EKM provendrán de este rango. Configura el firewall de tu red local o un equipo similar para permitir el tráfico TCP en el puerto en el que escucha el administrador de claves externo.

3. Asegúrate de que tu VPC tenga una ruta de retorno al rango de IP 35.199.192.0/19

   Tu red local debe tener una ruta para el destino 35.199.192.0/19. Si deseas obtener información sobre cómo cumplir con este requisito, consulta las estrategias para la ruta de retorno de los destinos locales.

Estrategias para la ruta de retorno de los destinos locales

• En los túneles de Cloud VPN en los que se usa enrutamiento estático, crea manualmente una ruta en tu red local cuyo destino sea 35.199.192.0/19 y cuyo próximo salto sea el túnel de Cloud VPN. En los túneles de Cloud VPN en los que se usa enrutamiento basado en políticas, configura el selector de tráfico local de Cloud VPN y el selector de tráfico remoto de la puerta de enlace de VPN local para incluir 35.199.192.0/19.

• Para los túneles de Cloud VPN que usan enrutamiento dinámico o para Cloud Interconnect, configura el modo de anuncio personalizado para 35.199.192.0/19 en la sesión de BGP del Cloud Router que administra el túnel o el adjunto de VLAN.

Configura tu administrador de claves externo

Sigue las instrucciones de tu proveedor de EKM para configurar tu EKM.

Configura tu espacio criptográfico

Si usas Cloud EKM como parte de un acuerdo de EKM administrado por socios, estos pasos se completaron por ti como parte del proceso de aprovisionamiento de tu socio.

Si tu proveedor de EKM es compatible con la administración de claves de EKM desde Cloud KMS, se deben realizar los siguientes pasos de configuración en tu EKM:

• Crea un espacio criptográfico para tus recursos administrados por Cloud KMS en tu EKM.

• Otorga acceso a tu cuenta de servicio de Cloud KMS a tu espacio criptográfico y a las claves creadas en él.

• Configura la política de Key Access Justifications para definir qué justificaciones de acceso se deben permitir o rechazar.

El proceso exacto para cada uno de estos pasos depende de tu EKM. Para obtener más información, consulta la documentación de tu proveedor de EKM.

Crea un extremo de servicio del Directorio de servicios

Crea y configura un extremo de servicio del Directorio de servicios en tu proyecto de VPC que apunte a la dirección IP privada y al puerto de tu administrador de claves externo. Si usas un balanceador de cargas frente a varias réplicas de EKM, usa la dirección IP y el puerto del balanceador de cargas. Asegúrate de que se propague el campo red del extremo de servicio del Directorio de servicios.

Autoriza el acceso de Cloud EKM a tu VPC

Para cada proyecto de claves, debes autorizar a Cloud EKM para que acceda a tu VPC en nombre de ese proyecto, incluso si el proyecto de claves y el proyecto de VPC son el mismo. Si autorizas el acceso, las claves de tu proyecto de claves pueden usar la VPC de tu proyecto de VPC.

1. Asegúrate de que exista una cuenta de servicio de Cloud EKM para el proyecto.

   gcloud CLI

   gcloud beta services identity create \
     --service=cloudkms.googleapis.com \
     --project=KEY_PROJECT_ID
   

2. Otorga las servicedirectory.viewer y servicedirectory.pscAuthorizedService en tu proyecto de VPC a service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com Para obtener ayuda con la obtención del ID y el número del proyecto, consulta Crea y administra proyectos.

   gcloud CLI

   gcloud projects add-iam-policy-binding VPC_PROJECT_ID \
     --member=serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com \
     --role=roles/servicedirectory.viewer
   
   gcloud projects add-iam-policy-binding VPC_PROJECT_ID \
     --member=serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com \
     --role=roles/servicedirectory.pscAuthorizedService
   

Crea una conexión EKM

Para conectar tu administrador de claves externo a Cloud EKM, crea una conexión EKM en tu proyecto de claves.

gcloud beta kms ekm-connections create EKM_CONNECTION \
    --location LOCATION \
    --service-directory-service SERVICE_DIRECTORY_SERVICE \
    --hostname HOSTNAME \
    --server-certificates-files SERVER_CERTIFICATE_FILES \
    --key-management-mode manual

gcloud beta kms ekm-connections create EKM_CONNECTION \
    --location LOCATION \
    --service-directory-service SERVICE_DIRECTORY_SERVICE \
    --hostname HOSTNAME \
    --server-certificates-files SERVER_CERTIFICATE_FILES \
    --key-management-mode cloud-kms \
    --crypto-space-path CRYPTO_SPACE_PATH

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConnections" \
    --request "POST" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --header "x-goog-user-project: PROJECT_ID" \
    --data '{
      "name": "EKM_CONNECTION",
      "serviceResolvers": [
        {
          "serviceDirectoryService": "SERVICE_DIRECTORY_SERVICE",
          "hostname": "HOSTNAME",
          "serverCertificates": [
            {
              SERVER_CERTIFICATES
            }
          ]
        }
      ]
      "keyManagementMode": "CLOUD_KMS",
      "cryptoSpacePath": "CRYPTO_SPACE_PATH"
    }'

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConnections" \
    --request "POST" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --header "x-goog-user-project: PROJECT_ID" \
    --data '{
      "name": "EKM_CONNECTION",
      "serviceResolvers": [
        {
          "serviceDirectoryService": "SERVICE_DIRECTORY_SERVICE",
          "hostname": "HOSTNAME",
          "serverCertificates": [
            {
              SERVER_CERTIFICATES
            }
          ]
        }
      ]
    }'

Estado del certificado

Una vez que subas un certificado para tu conexión EKM, podrás verificar el estado general del certificado de la conexión EKM, así como el estado de cada certificado desde la página de infraestructura de KMS.

Las conexiones EKM tienen un estado general en la columna Estado del certificado de cada conexión. Si una conexión EKM tiene un estado que no sea Activo, te recomendamos que actualices los certificados en tu conexión EKM.

Tanto las conexiones EKM como los certificados individuales pueden tener el siguiente estado:

• Activo: El certificado es válido y no está cerca de su fecha de vencimiento.
• Vence en 30 días: El certificado es válido, pero tiene una fecha de vencimiento en los próximos 30 días.
• Vencido: El certificado venció y ya no es válido. Te recomendamos que actualices los certificados vencidos.
• Aún no es válido: El certificado no está activo. Esto puede suceder si la fecha de inicio del certificado es en el futuro.

Si tu certificado ya no es válido, actualiza tu conexión EKM en la Google Cloud consola.

Establece una conexión EKM como predeterminada

Puedes establecer una conexión EKM como la conexión predeterminada para un proyecto y una ubicación determinados. Cuando se establece una conexión EKM predeterminada para un proyecto y una ubicación, las nuevas claves de Cloud EKM por VPC creadas en llaveros de claves en esa ubicación usan la conexión EKM indicada, a menos que se seleccione otra conexión EKM.

Para establecer una conexión EKM como predeterminada para su proyecto y ubicación, completa los siguientes pasos:

gcloud kms ekm-config update
  --location=LOCATION
  --default-ekm-connection=projects/PROJECT_ID/locations/LOCATION/ekmConnections/DEFAULT_EKM_CONNECTION

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConfig" \
    --request "PATCH" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --data '{"defaultEkmConnection": "projects/PROJECT_ID/locations/LOCATION/ekmConnections/DEFAULT_EKM_CONNECTION"}'

Si se estableció otra conexión EKM como predeterminada para esta ubicación, la conexión EKM seleccionada la reemplaza como predeterminada. Solo una conexión EKM puede ser predeterminada para un proyecto y una ubicación determinados.

¿Qué sigue?

• Crea una clave externa.