Acerca de Cloud KMS
¿Qué es Cloud KMS? ¿Qué hace?
Cloud Key Management Service (Cloud KMS) es un servicio de gestión de claves alojado en la nube que te permite gestionar el cifrado de tus servicios en la nube del mismo modo que lo harías on-premise. Puedes generar, usar, rotar y eliminar claves criptográficas. Cloud KMS está integrado con Gestión de Identidades y Accesos (IAM) y con los registros de auditoría de Cloud para que puedas gestionar los permisos de claves concretas y monitorizar cómo se utilizan.
¿Puedo almacenar secretos?
Cloud KMS almacena claves y metadatos sobre las claves, pero no tiene una API de almacenamiento de datos general. Secret Manager es la opción recomendada para almacenar y acceder a datos sensibles que se van a usar en Google Cloud.
¿Hay un SLA?
Sí, consulta el Acuerdo de Nivel de Servicio de Cloud KMS.
¿Cómo puedo enviar comentarios sobre el producto?
Ponte en contacto con el equipo de ingeniería a través de cloudkms-feedback@google.com.
¿Cómo puedo enviar comentarios sobre la documentación?
Mientras consultas la documentación de Cloud KMS, haz clic en Enviar comentarios, cerca de la parte superior derecha de la página. Se abrirá un formulario de comentarios.
Si necesito ayuda, ¿qué opciones tengo?
Invitamos a nuestros usuarios a publicar sus preguntas en Stack Overflow. Además de la activa comunidad de Stack Overflow, nuestro equipo monitoriza de forma activa las publicaciones de Stack Overflow y responde a las preguntas con la etiqueta google-cloud-kms.
También ofrecemos varios niveles de asistencia en función de tus necesidades. Para ver otras opciones de asistencia, consulta nuestros Google Cloud paquetes de asistencia.
¿Cloud KMS tiene alguna cuota?
Sí. Para obtener información sobre las cuotas, como ver o solicitar cuotas adicionales, consulta Cuotas de Cloud KMS.
No hay límite en el número de claves, conjuntos de claves o versiones de claves. Además, no hay límite en el número de claves por conjunto de claves ni en el número de versiones de claves por clave.
¿En qué países puedo usar Cloud KMS?
Puedes usar Cloud KMS en cualquier país en el que se admitan los Google Cloud servicios Google Cloud .
Claves
¿La rotación de claves vuelve a cifrar los datos? Si no es así, ¿por qué?
La rotación de claves no vuelve a encriptar los datos automáticamente. Cuando desencriptas datos, Cloud KMS sabe qué versión de la clave debe usar para el desencriptado. Mientras una versión de una clave no esté inhabilitada o destruida, Cloud KMS podrá descifrar los datos protegidos con esa clave.
¿Por qué no puedo eliminar llaves o llaveros?
Para evitar los conflictos entre nombres de recursos, los recursos de conjuntos de claves y claves NO se pueden eliminar. Las versiones de clave no se pueden eliminar, pero se puede destruir el material de la versión de la clave para que los recursos no se puedan utilizar más. Para obtener más información, consulta Tiempo de vida de los objetos. La facturación se basa en el número de versiones de clave activas. Si destruyes todo el material de las versiones de clave activas, no se te cobrará por los conjuntos de claves, las claves ni las versiones de clave que queden.
Autorización y autenticación
¿Cómo me autentico en la API de Cloud KMS?
La forma en que se autentican los clientes puede variar ligeramente en función de la plataforma en la que se ejecute el código. Para obtener más información, consulta Acceder a la API.
¿Qué roles de gestión de identidades y accesos debo usar?
Para aplicar el principio de mínimos accesos, asegúrate de que las cuentas de usuario y de servicio de tu organización solo tengan los permisos esenciales para llevar a cabo sus funciones. Para obtener más información, consulta el artículo sobre la separación de funciones.
¿Con qué rapidez se elimina un permiso de gestión de identidades y accesos?
La eliminación de un permiso debería aplicarse en menos de una hora.
Varios
¿Qué son los datos autenticados adicionales y cuándo los usaría?
Los datos autenticados adicionales (AAD) son cualquier cadena que envíes a Cloud KMS como parte de una solicitud de cifrado o descifrado. Se usa como comprobación de integridad y puede ayudar a proteger tus datos frente a un ataque de delegado confuso. Para obtener más información, consulta Datos autenticados adicionales.
¿Los registros de acceso a datos están habilitados de forma predeterminada? ¿Cómo habilito los registros de acceso a datos?
Los registros de acceso a datos no están habilitados de forma predeterminada. Para obtener más información, consulta el artículo sobre cómo habilitar registros de acceso a datos.
¿Qué relación hay entre las claves de Cloud KMS y las claves de cuentas de servicio?
Las claves de cuenta de servicio se usan para la autenticación de servicio a servicio enGoogle Cloud. Las claves de cuenta de servicio no están relacionadas con las claves de Cloud KMS.
¿Qué relación hay entre las claves de Cloud KMS y las claves de API?
Una clave de API es una cadena encriptada sencilla que puede utilizarse para llamar a determinadas APIs que no necesitan acceder a datos privados del usuario. Las claves de API registran las solicitudes de API asociadas a tu proyecto para la cuota y la facturación. Las claves de API no están relacionadas con las claves de Cloud KMS.
¿Tienes más información sobre los HSMs que usa Cloud HSM?
Todos los dispositivos HSM están fabricados por Marvell (antes Cavium). El certificado FIPS de los dispositivos está en el sitio web del NIST.