Crear claves de cifrado con Cloud KMS

En esta guía de inicio rápido se muestra cómo crear y usar claves de cifrado con Cloud Key Management Service en un proyecto de tu propiedad. En estas instrucciones se usa laGoogle Cloud consola para crear conjuntos de claves, claves y versiones de claves en Cloud KMS. Para obtener instrucciones sobre otros métodos, consulta Descripción general de Autokey, Crear un llavero y Crear una clave.

En esta guía de inicio rápido se usa la línea de comandos para enviar solicitudes a la API de Cloud KMS. Para ver ejemplos de programación que usan las bibliotecas de cliente para enviar solicitudes a la API Cloud KMS, consulta Encriptar y desencriptar.

Antes de empezar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. Install the Google Cloud CLI.

  3. Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

  4. Para inicializar gcloud CLI, ejecuta el siguiente comando: 

    gcloud init

  5. Create or select a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Cloud KMS API:

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles. 

    gcloud services enable cloudkms.googleapis.com

  8. Grant roles to your user account. Run the following command once for each of the following IAM roles: roles/cloudkms.admin, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/servicemanagement.serviceConsumer 

    gcloud projects add-iam-policy-binding PROJECT_ID --member="user:USER_IDENTIFIER" --role=ROLE

    Replace the following:

    • PROJECT_ID: Your project ID.
    • USER_IDENTIFIER: The identifier for your user account. For example, myemail@example.com.
    • ROLE: The IAM role that you grant to your user account.

  9. Install the Google Cloud CLI.

  10. Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

  11. Para inicializar gcloud CLI, ejecuta el siguiente comando: 

    gcloud init

  12. Create or select a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    • Create a Google Cloud project:

      gcloud projects create PROJECT_ID

      Replace PROJECT_ID with a name for the Google Cloud project you are creating.

    • Select the Google Cloud project that you created:

      gcloud config set project PROJECT_ID

      Replace PROJECT_ID with your Google Cloud project name.

  13. Verify that billing is enabled for your Google Cloud project.

  14. Enable the Cloud KMS API:

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles. 

    gcloud services enable cloudkms.googleapis.com

  15. Grant roles to your user account. Run the following command once for each of the following IAM roles: roles/cloudkms.admin, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/servicemanagement.serviceConsumer 

    gcloud projects add-iam-policy-binding PROJECT_ID --member="user:USER_IDENTIFIER" --role=ROLE

    Replace the following:

    • PROJECT_ID: Your project ID.
    • USER_IDENTIFIER: The identifier for your user account. For example, myemail@example.com.
    • ROLE: The IAM role that you grant to your user account.
    16.

    Conjuntos de claves y claves

    Para cifrar y descifrar contenido, necesitarás una clave de Cloud KMS, que forma parte de un conjunto de claves.

    Crea un conjunto de claves llamado test y una clave llamada quickstart. Consulta la descripción general de la jerarquía de objetos para obtener más información sobre estos objetos y cómo se relacionan.

    gcloud kms keyrings create "test" \
    --location "global"
    gcloud kms keys create "quickstart" \
    --location "global" \
    --keyring "test" \
    --purpose "encryption"

    Puede usar la opción list para ver el nombre y los metadatos de la clave que acaba de crear.

    gcloud kms keys list \
    --location "global" \
    --keyring "test"

    Deberías ver lo siguiente:

    NAME                                                                      PURPOSE          PRIMARY_STATE
projects/PROJECT_ID/locations/global/keyRings/test/cryptoKeys/quickstart  ENCRYPT_DECRYPT  ENABLED

    Cifrar datos

    Ahora que tienes una clave, puedes usarla para cifrar texto o contenido binario.

    Almacena texto que quieras cifrar en un archivo llamado "mysecret.txt".

    echo -n "Some text to be encrypted" > mysecret.txt

    Para cifrar los datos con gcloud kms encrypt, proporcione la información de su clave, especifique el nombre del archivo de texto sin cifrar que quiera cifrar y el nombre del archivo que contendrá el contenido cifrado:

    gcloud kms encrypt \
    --location "global" \
    --keyring "test" \
    --key "quickstart" \
    --plaintext-file ./mysecret.txt \
    --ciphertext-file ./mysecret.txt.encrypted

    El método encrypt guarda el contenido cifrado en el archivo especificado por la marca --ciphertext-file.

    Descifrar texto cifrado

    Para descifrar los datos con gcloud kms decrypt, proporciona la información de tu clave, especifica el nombre del archivo cifrado (archivo de texto cifrado) que quieres descifrar y especifica el nombre del archivo que contendrá el contenido descifrado:

    gcloud kms decrypt \
    --location "global" \
    --keyring "test" \
    --key "quickstart" \
    --ciphertext-file ./mysecret.txt.encrypted \
    --plaintext-file ./mysecret.txt.decrypted

    El método decrypt guarda el contenido descifrado en el archivo especificado por la marca --plaintext-file.

    Para descifrar contenido cifrado, debes usar la misma clave que se usó para cifrarlo.

    Limpieza

    Para evitar que se apliquen cargos en tu Google Cloud cuenta por los recursos utilizados en esta página, elimina el Google Cloud proyecto con los recursos.

    Lista las versiones disponibles de tu clave:

    gcloud kms keys versions list \
    --location "global" \
    --keyring "test" \
    --key "quickstart"

    Para eliminar una versión, ejecuta el siguiente comando, donde 1 es el número de la versión de clave que quieres eliminar:

    gcloud kms keys versions destroy 1 \
    --location "global" \
    --keyring "test" \
    --key "quickstart"

    Siguientes pasos