Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Incorporación a Cloud HSM para Google Workspace

En esta página, se describe cómo incorporar Cloud HSM para Google Workspace (CHGWS), el servicio de claves de encriptación para Google Workspace que ofrece Cloud Key Management Service (Cloud KMS). Cloud HSM para Google Workspace proporciona controles de privacidad mejorados para Google Workspace, lo que te ayuda a cumplir con los estándares reglamentarios, como DISA IL5, y a mejorar la seguridad de los datos. Cloud HSM es un servicio de administración de claves alineado con los estándares, altamente disponible y completamente administrado que se opera a escala de la nube con claves respaldadas por hardware almacenadas en HSM (módulos de seguridad de hardware) que cumplen con el nivel 3 de FIPS 140-2.

CHGWS es compatible con las claves de Cloud HSM de usuario único y de varios usuarios.

Para obtener más información, consulta Cloud HSM para Google Workspace.

Antes de comenzar

Antes de incorporar Cloud HSM para Google Workspace, completa los siguientes requisitos previos:

Configura Google Workspace.
Habilita la encriptación del cliente de Google Workspace (CSE) en tu Google Workspace.
Configura tu proveedor de identidad (IdP) en la CSE de Google Workspace. Toma nota del ID de cliente de tu IdP. Si usas Google Identity Platform, busca el ID de cliente en tu Google Cloud proyecto.
Opcional: Si permites el acceso al contenido encriptado con CSE en aplicaciones de plataformas que no sean web (como dispositivos móviles o computadoras de escritorio), agrega los IDs de cliente para esas plataformas en la configuración de tu IdP en la Consola del administrador de Google Workspace. Toma nota de todos los IDs de cliente de este IdP. Si usas Google Identity Platform, busca estos IDs de cliente en tu Google Cloud proyecto. Para otros proveedores de identidad, crea estos IDs de cliente por separado.

Ubicaciones compatibles

Puedes almacenar tus claves de Cloud KMS en cualquier ubicación regional o multirregional dentro de las áreas geográficas de EE.UU. o Europa. Cloud HSM para Google Workspace admite claves de Cloud HSM de usuario único y de varios usuarios. Para encontrar una ubicación específica, visita Ubicaciones de Cloud KMS y filtra por tu tipo de HSM.

Cloud HSM para Google Workspace proporciona automáticamente el extremo en una de las siguientes multirregiones más cercanas a la ubicación de tu clave:

us
eur3

Configura un Google Cloud proyecto para Cloud KMS

Los extremos de Cloud HSM para Google Workspace dependen de las claves de Cloud KMS para las operaciones criptográficas. Configura un proyecto nuevo Google Cloud para alojar las claves de Cloud KMS.

Crea un Google Cloud proyecto. Este es tu proyecto de claves. Toma nota del ID y el número del proyecto, ya que los necesitas para completar la configuración.

Importante: Te recomendamos que uses un proyecto dedicado Google Cloud que solo contenga claves de CHGWS. Esto te brinda un mayor control sobre la facturación. Para obtener más información, consulta Administra la facturación.
Habilita la facturación en el proyecto que creaste.
Habilita la API de Cloud KMS en tu Google Cloud proyecto de claves.

Habilitar la API
En la Google Cloud consola, haz clic en la terminal Activar Cloud Shell.
Para verificar que estás en el proyecto correcto, compara tu ID del proyecto con el ID del proyecto en el mensaje de Cloud Shell.
Con Cloud Shell, crea la cuenta de servicio de Cloud HSM para Google Workspace:
```
gcloud beta services identity create \
    --service=cloudkmskacls-pa.googleapis.com
```
Toma nota de la identidad de servicio que creó este comando. Necesitarás el nombre de la identidad de servicio en el siguiente paso.

Otorga el rol de agente de servicio de claves de CHGWS a la cuenta de servicio que creaste:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \
    --role=roles/cloudkmskacls.serviceAgent

Reemplaza lo siguiente:

PROJECT_ID: Es el ID del proyecto de claves.
PROJECT_NUMBER: Es el número del proyecto de claves.

Administra el extremo de servicio de CHGWS

En las siguientes secciones, se muestra cómo configurar y administrar tus extremos de CHGWS.

Configura las claves de Cloud KMS

Configura los recursos de Cloud KMS para el extremo de servicio de claves de CHGWS.

Crea un llavero de claves en una de las regiones compatibles:
```
gcloud kms keyrings create KEY_RING --location LOCATION
```
- Reemplaza KEY_RING por el nombre que deseas usar para tu llavero de claves de CHGWS, por ejemplo, CHGWS_KEY_RING.
- Reemplaza LOCATION por la ubicación en la que deseas crear tu llavero de claves, por ejemplo, us.
Crea una clave de Cloud HSM.
Cloud HSM de varios usuarios
Para crear una clave con el nivel de protección hsm, haz lo siguiente:
gcloud kms keys create KEY_NAME \ --protection-level "hsm" \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Reemplaza lo siguiente:
- KEY_NAME: Es el nombre que deseas usar para tu clave, por ejemplo, CHGWS_KEY.
- KEY_RING: Es el nombre de tu llavero de claves , por ejemplo, CHGWS_KEY_RING.
- LOCATION: Es la ubicación en la que creaste tu llavero de claves, por ejemplo, us.
- ROTATION_PERIOD: Es la frecuencia con la que deseas rotar tus claves, por ejemplo, 7d.
- NEXT_ROTATION_TIME: Es la fecha y la hora en que se produce la próxima rotación de claves, por ejemplo, 2024-03-20T01:00:00.
Cloud HSM de usuario único
Para crear una clave con el nivel de protección hsm_single_tenant, primero debes tener una instancia de Cloud HSM de usuario único aprovisionada en la misma ubicación.
1. Crea y aprovisiona una instancia de Cloud HSM de usuario único: Sigue las instrucciones de la guía Crea y administra una instancia de Cloud HSM de usuario único. Toma nota del ID de instancia aprovisionado. Lo usarás en el próximo paso.
2. Crea una clave:
  
  gcloud kms keys create KEY_NAME \ --protection-level "hsm_single_tenant" \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --crypto-key-backend "projects/PROJECT_ID/locations/LOCATION/singleTenantHsmInstances/INSTANCE_NAME" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
  
  Reemplaza lo siguiente:
  
  KEY_NAME: Es el nombre que deseas usar para tu clave, por ejemplo, CHGWS_KEY.
  
  KEY_RING: Es el nombre de tu llavero de claves , por ejemplo, CHGWS_KEY_RING.
  
  LOCATION: Es la ubicación en la que creaste tu llavero de claves, por ejemplo, us.
  
  PROJECT_ID: Es el ID del proyecto de claves.
  
  INSTANCE_NAME: Es el nombre de la instancia de Cloud HSM de usuario único en la que deseas crear la clave.
  
  ROTATION_PERIOD: Es la frecuencia con la que deseas rotar tus claves, por ejemplo, 7d.
  
  NEXT_ROTATION_TIME: Es la fecha y la hora en que se produce la próxima rotación de claves, por ejemplo, 2024-03-20T01:00:00.
Para obtener más detalles sobre las opciones de creación de claves, consulta Crea claves.

Solicita la incorporación y la creación de extremos

Para solicitar la incorporación y la creación de extremos, comunícate con tu representante de cuenta para obtener ayuda para enviar una solicitud de incorporación de extremos. En la solicitud, incluye la siguiente información:

Detalles de Google Workspace
- ID de Google Workspace: Es tu ID de Google Workspace. Para encontrar tu ID de Google Workspace, sigue las instrucciones que se indican en Encuentra tu ID de cliente.
- Direcciones de correo electrónico del administrador de Google Workspace: Proporciona una lista separada por comas de las direcciones de correo electrónico del administrador.
Detalles del proveedor de identidad (IdP)
- Detalles del proveedor de identidad (IdP) principal:
  - URL del conjunto de claves web JSON (JWKS) del IdP: Para Google Identity Platform, usa https://www.googleapis.com/oauth2/v3/certs.
  - Emisor de tokens web JSON (JWT): Para Google Identity Platform, usa https://accounts.google.com.
  - Público de JWT: Es el ID de cliente de tu IdP para aplicaciones web.
  - Públicos de JWT adicionales: Es opcional. Proporciona IDs de cliente para aplicaciones de plataformas que no sean web si están configuradas. Para Google Identity Platform, usa los IDs de cliente que se indican en Si usarás la identidad de Google para la CSE.
- Detalles del IdP para invitados: Es opcional. Completa esta sección si usas un IdP para invitados.
  - URL de JWKS del IdP para invitados: Es la URL de JWKS de tu IdP para invitados.
  - Emisor de tokens JWT para invitados: Es el emisor de tokens JWT de tu IdP para invitados.
  - Público de JWT para invitados: Es el ID de cliente de tu IdP para invitados para aplicaciones web, excepto Google Meet.
  - Públicos de JWT adicionales para invitados: Es opcional. Si configuras un ID de cliente web de Google Meet o IDs de cliente de otras aplicaciones de plataformas que no sean web, proporciona IDs de cliente para cada uno. Para Google Identity Platform, usa los IDs de cliente que se indican en Si usarás la identidad de Google para la CSE.
Importante: Verifica que la URL de JWKS de tu IdP sea de acceso público. Confirma los valores del emisor de tokens JWT y del público de JWT con el administrador de tu IdP.
Detalles de la clave de CSE
- ID del proyecto de Google Cloud: PROJECT_ID
- Número del proyecto de Google Cloud: PROJECT_NUMBER
- Nombre del llavero de claves de Cloud KMS: KEY_RING
- Ubicación del llavero de claves de Cloud KMS: LOCATION
- Nombre de la clave de Cloud KMS: KEY_NAME
- Nivel de protección de la clave de Cloud KMS: Debe ser hsm o hsm_single_tenant.
- URL base de CHGWS: Es opcional. Es una lista de URLs para habilitar la migración de claves. Si configuras CHGWS por primera vez para este Google Workspace, deja este campo en blanco.
Detalles adicionales
- Nombre del cliente: Proporciona el nombre del cliente.
- Cantidad esperada de usuarios: Proporciona la cantidad esperada de usuarios en tu instancia de Google Workspace.

Configura el extremo de CHGWS en la CSE de Google Workspace

Configura la CSE de Google Workspace para usar la URL de CHGWS que se generó cuando creaste el extremo de CHGWS. Sigue las instrucciones que se indican en Agrega y administra servicios de claves para la encriptación del cliente.

Migración del servicio de claves

CHGWS proporciona flexibilidad para mover tu servicio de claves a CHGWS o desde CHGWS. Para iniciar una migración del servicio de claves, comunícate con tu representante de cuenta para obtener ayuda para enviar una solicitud de migración. En la solicitud, incluye la siguiente información:

ID del extremo: Es el ID del extremo de CHGWS.
URL del servicio de claves: Es una lista de URLs para habilitar la migración del servicio de claves.
- Si migras a Cloud HSM para Google Workspace, proporciona la URL base de cada extremo del servicio de claves desde el que migras.
- Si migras desde Cloud HSM para Google Workspace, proporciona las URLs base de los extremos del servicio de claves a los que deseas migrar.
Importante: Si migras entre dos extremos diferentes de Cloud HSM para Google Workspace envía dos solicitudes separadas: una desde el extremo anterior y la otra hacia el extremo nuevo.

Borra o inhabilita extremos

Las operaciones de borrado o inhabilitación en el extremo de Cloud HSM para Google Workspace no se admiten directamente. Sin embargo, puedes inhabilitar un extremo de Cloud HSM para Google Workspace si inhabilitas todas las versiones de claves de Cloud KMS de respaldo.

Para cada versión de clave de Cloud KMS que respalda el extremo, ejecuta el siguiente comando:
```
gcloud kms keys versions disable KEY_VERSION --keyring \
    KEY_RING --location LOCATION --key KEY_NAME
```
Reemplaza lo siguiente:
- KEY_VERSION: Es la versión de la clave que deseas inhabilitar, por ejemplo, 1.
- KEY_RING: Es el nombre del llavero de claves, por ejemplo, CHGWS_KEY_RING.
- LOCATION: Es la ubicación en la que deseas inhabilitar, por ejemplo, us.
- KEY_NAME: Es el nombre de la clave, por ejemplo, CHGWS_KEY.

Habilita extremos

Si inhabilitaste un extremo de CHGWS inhabilitando todas las versiones de claves de la clave de Cloud KMS de respaldo, puedes volver a habilitar el extremo de CHGWS. Para volver a habilitar el endpoint, habilita todas las versiones activas de la clave de Cloud KMS de respaldo con el siguiente comando de la gcloud CLI:

Para cada versión de clave de Cloud KMS que respalda el extremo, ejecuta el siguiente comando:
```
gcloud kms keys versions enable KEY_VERSION --keyring \
    KEY_RING --location LOCATION --key KEY_NAME
```
Reemplaza lo siguiente:
- KEY_VERSION: Es la versión de la clave que deseas habilitar, por ejemplo, 1.
- KEY_RING: Es el nombre del llavero de claves, por ejemplo, CHGWS_KEY_RING.
- LOCATION: Es la ubicación en la que deseas habilitar, por ejemplo, us.
- KEY_NAME: Es el nombre de la clave, por ejemplo, CHGWS_KEY.

Administra la facturación de CHGWS

La facturación comienza en cuanto se te proporciona el extremo de CHGWS solicitado en tu solicitud de incorporación. A partir de ese momento, los cargos recurrentes de suscripción de Cloud HSM para Google Workspace continúan mientras la facturación permanezca habilitada en el Google Cloud proyecto, incluso si inhabilitas el extremo de CHGWS. En esta sección, se explica cómo puedes dejar de acumular cargos por Cloud HSM para Google Workspace y cómo puedes reanudarlos.

Inhabilita o habilita la facturación del proyecto

Puedes inhabilitar la facturación del proyecto que contiene tus claves de Cloud KMS para Cloud HSM para Google Workspace. Si inhabilitas la facturación, todos los servicios facturables dentro del proyecto dejarán de funcionar. Después de que se inhabilite la facturación a nivel del proyecto, se espera que los cargos de suscripción a Google Workspace de Cloud HSM se detengan en un plazo de 24 horas.

Cuando desees reanudar el uso de Cloud HSM para Google Workspace, puedes volver a habilitar la facturación en el proyecto. Después de que se vuelva a habilitar la facturación, se reanudarán las tarifas de suscripción, y el extremo de CHGWS y las claves de Cloud KMS volverán a funcionar con normalidad.

Solicita la desactivación o activación manual

Si necesitas inhabilitar el extremo de CHGWS mientras mantienes activos otros recursos del proyecto, presenta una solicitud similar a la solicitud de incorporación. Proporciona detalles de Google Workspace, el ID del extremo de CHGWS y otros detalles relevantes, y describe tu requisito. Los tickets manuales pueden tardar 48 horas en completarse por el equipo de CHGWS. Una vez que se complete la solicitud, se espera que los cargos de suscripción de Cloud HSM para Google Workspace se detengan en un plazo de 24 horas.

Puedes volver a habilitar el extremo de CHGWS y su facturación creando una solicitud similar.

Borra o restablece el proyecto

Puedes borrar el proyecto que contiene tus claves de Cloud KMS para Cloud HSM para Google Workspace. Si borras un proyecto, se detendrán todos los servicios dentro del proyecto. Puedes recuperar un proyecto borrado en un plazo de 30 días desde su eliminación. Sin embargo, no se pueden recuperar las claves de Cloud KMS en el proyecto, por lo que todos los documentos y otros datos que se encriptan con claves en el proyecto restablecido permanecen destruidos de forma permanente. Si restableces un proyecto borrado, se reanudarán los cargos de suscripción de Cloud HSM para Google Workspace, aunque las claves de Cloud KMS sigan siendo irrecuperables.

¿Qué sigue?

Obtén más información sobre Cloud HSM para Google Workspace.
Obtén más información sobre Cloud Key Management Service.
Obtén información para agregar y administrar servicios de claves para la encriptación del cliente.