De forma predeterminada, Migrate to Virtual Machines cifra el contenido del cliente en reposo. Migrate to Virtual Machines se encarga del cifrado sin que tengas que hacer nada más. Esta opción se llama Cifrado predeterminado de Google.
Si quieres controlar tus claves de cifrado, puedes usar claves de cifrado gestionadas por el cliente (CMEKs) en Cloud KMS con servicios integrados con CMEKs, como Migrate to Virtual Machines. Si usas claves de Cloud KMS, tendrás control sobre su nivel de protección, ubicación, calendario de rotación, permisos de uso y acceso, y límites criptográficos. Cloud KMS también te permite monitorizar el uso de las claves, ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google sea el propietario y el gestor de las claves de cifrado de claves (KEKs) simétricas que protegen tus datos, tú controlas y gestionas estas claves en Cloud KMS.
Una vez que hayas configurado tus recursos con CMEKs, la experiencia de acceder a tus recursos de Migrate to Virtual Machines será similar a la de usar el cifrado predeterminado de Google. Para obtener más información sobre las opciones de encriptado, consulta Claves de encriptado gestionadas por el cliente (CMEK).
Migrate to Virtual Machines usa CMEK para cifrar los siguientes datos:
- Datos almacenados internamente durante una migración
- Datos de las instancias de máquina virtual (VM) y los discos de VM de destino
- Datos sobre discos de destino e imágenes de máquina
En las siguientes secciones se describen estos casos con más detalle.
Usar CMEK para cifrar los datos almacenados durante una migración
Para cifrar los datos almacenados durante una migración o importación con CMEK, debes proporcionar una referencia a una clave de Cloud KMS al crear una fuente de migración o un recurso de importación, respectivamente. Para obtener instrucciones sobre cómo usar CMEK para cifrar datos durante una migración desde varias fuentes de migración, consulta los siguientes temas:
- Migración desde una fuente de AWS
- Migración desde un origen de Azure
- Migración desde una fuente de VMware
- Importar imágenes de disco virtual
- Importar imágenes de máquina
Usar CMEK para cifrar datos en instancias de VM y discos de VM de destino
Para cifrar datos en instancias de VM y discos de VM de destino con CMEK, debes proporcionar una referencia a una clave de Cloud KMS en los detalles del destino. Para obtener instrucciones sobre cómo configurar CMEK en los detalles de destino, consulta Configurar CMEK para instancias de VM y Configurar CMEK para discos de VM.
Usar CMEK para encriptar datos en discos de destino e imágenes de máquina
Para cifrar datos en discos de destino e imágenes de máquina con CMEK, debes proporcionar una referencia a una clave de Cloud KMS en los detalles del destino. Para obtener instrucciones sobre cómo configurar CMEK en los detalles de destino, consulta Importar una imagen de disco virtual a Compute Engine e Importar una imagen de máquina a Compute Engine.