Acerca de Cloud KMS
¿Qué es Cloud KMS y para qué sirve?
Cloud Key Management Service (Cloud KMS) es un servicio de administración de claves alojado en la nube que te permite administrar la encriptación de tus servicios de nube de la misma manera que lo haces en tus instalaciones locales. Te permite generar, usar, rotar y destruir claves criptográficas. Cloud KMS está integrado en Identity and Access Management (IAM) y en Cloud Audit Logs para que puedas administrar permisos en claves individuales y supervisar cómo se usan.
¿Puedo almacenar secretos?
Cloud KMS almacena claves y metadatos sobre claves y no tiene una API de almacenamiento de datos general. Se recomienda usar Secret Manager para almacenar y acceder a datos sensibles, y usarlos en Google Cloud.
¿Existe un ANS?
Sí, consulta el Acuerdo de Nivel de Servicio de Cloud KMS.
¿Cómo puedo proporcionar comentarios sobre el producto?
Comunícate con el equipo de Ingeniería a través de cloudkms-feedback@google.com.
¿Cómo puedo proporcionar comentarios sobre la documentación?
Cuando visualices la documentación de Cloud KMS, haz clic en Enviar comentarios cerca de la parte superior derecha de la página para abrir un formulario de comentarios.
¿Qué opciones tengo si necesito ayuda?
Invitamos a nuestros usuarios a publicar sus preguntas en Stack Overflow. Nuestro equipo, junto con la comunidad activa de Stack Overflow, supervisa las publicaciones en el sitio y responde las preguntas que tienen la etiqueta google-cloud-kms.
También ofrecemos diversos niveles de asistencia según tus necesidades. Para obtener más opciones de asistencia, consulta nuestros Google Cloud Paquetes de asistencia.
¿Cloud KMS tiene cuotas?
Sí. Para obtener información sobre las cuotas, incluida la visualización o la solicitud de cuotas adicionales, consulta Cuotas de Cloud KMS.
No hay un límite en la cantidad de claves, llaveros de claves o versiones de claves. Además, tampoco hay un límite en la cantidad de claves por llavero y versiones por clave.
¿En qué países puedo usar Cloud KMS?
Puedes usar Cloud KMS en cualquier país donde se admitan los Google Cloud servicios.
Claves
¿La rotación de claves vuelve a encriptar los datos? De no ser así, ¿por qué no?
La rotación de claves no vuelve a encriptar los datos de manera automática. Cuando desencriptas los datos, Cloud KMS sabe qué versión de clave se debe usar para el proceso. Siempre que la versión de la clave no esté inhabilitada o destruida, Cloud KMS puede desencriptar los datos protegidos con esa clave.
¿Por qué no puedo borrar las claves o los llaveros de claves?
Los recursos de claves y llaveros de claves NO se pueden borrar a fin de evitar los conflictos de nombres de recursos. Las versiones de clave tampoco se pueden borrar, pero el material de clave que contienen se puede destruir a fin de que los recursos no puedan volver a usarse. Consulta Ciclo de vida de los objetos para obtener más información. La facturación se basa en la cantidad de versiones de claves activas. Si destruyes todo el material de las versiones de claves activas, no se te cobrará por los llaveros de claves, las claves ni las versiones de claves que queden.
Autorización y autenticación
¿Cómo puedo autenticar con la API de Cloud KMS?
El método de autenticación de los clientes puede variar un poco en función de la plataforma en que se ejecuta el código. Consulta Accede a la API para obtener más información.
¿Qué funciones de IAM debo usar?
A fin de aplicar el principio del mínimo privilegio, asegúrate de que las cuentas de usuario y servicio de tu organización solo tengan los permisos fundamentales para realizar sus funciones previstas. Consulta Separación de obligaciones para obtener más información.
¿Qué tan rápido se quita un permiso de IAM?
La eliminación de un permiso debería aplicarse en menos de una hora.
Varios
¿Qué son los datos autenticados adicionales y cuándo puedo usarlos?
Los datos autenticados adicionales (AAD) son cualquier string que pasas a Cloud KMS como parte de una solicitud de encriptación o desencriptación. Los AAD se usan como una comprobación de integridad y pueden ayudar a proteger los datos de un ataque de engaño de aplicación delegada. Consulta Datos autenticados adicionales para obtener más información.
¿Los registros de acceso a los datos están habilitados en la configuración predeterminada? ¿Cómo los habilito?
Los registros de acceso a los datos no están habilitados según la configuración predeterminada. Para obtener más información, consulta Habilita los registros de acceso a los datos.
¿Cuál es la relación entre las claves de Cloud KMS y las claves de cuentas de servicio?
Las claves de cuentas de servicio se usan para la autenticación entre servicios dentro deGoogle Cloud. Las claves de cuentas de servicio no tienen ninguna relación con las claves de Cloud KMS.
¿Cuál es la relación entre las claves de Cloud KMS y las claves de API?
Una clave de API es una string encriptada simple que se puede usar para llamar a ciertas API que no necesitan acceso a datos privados del usuario. Las claves de API realizan un seguimiento de las solicitudes a la API asociadas a tu proyecto para la cuota y la facturación. Las claves de API no tienen ninguna relación con las claves de Cloud KMS.
¿Tienes detalles adicionales sobre los HSM que usa Cloud HSM?
Todos los dispositivos HSM son fabricados por Marvell (anteriormente Cavium). El certificado FIPS de los dispositivos se encuentra en el sitio web del NIST.