De forma predeterminada, Migrate to Virtual Machines encripta el contenido del cliente en reposo. Migrate to Virtual Machines controla la encriptación por ti sin que debas realizar ninguna acción adicional. Esta opción se denomina Encriptación predeterminada de Google.
Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluido Migrate to Virtual Machines. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite hacer un seguimiento del uso de las claves, ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.
Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos de Migrate to Virtual Machines es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).
Migrate to Virtual Machines usa CMEK para encriptar los siguientes datos:
- Datos almacenados de forma interna durante una migración
- Datos en instancias de máquina virtual (VM) de destino y discos de VM
- Datos sobre imágenes de máquina y discos de destino
Las siguientes secciones describen estas situaciones con más detalle.
Usa CMEK para encriptar datos almacenados durante una migración
Para encriptar datos almacenados durante una migración o importación con CMEK, debes proporcionar una referencia a una clave de Cloud KMS cuando crees una fuente de migración o un recurso de importación, respectivamente. Si deseas obtener instrucciones para usar CMEK y encriptar datos durante una migración desde varias fuentes de migración, consulta los siguientes temas:
- Migración desde una fuente de AWS
- Migración desde una fuente de Azure
- Migración desde una fuente de VMware
- Importa imágenes de discos virtuales
- Importa imágenes de máquinas
Usa CMEK para encriptar datos en instancias de VM de destino y discos de VM
Para encriptar datos en instancias de VM de destino y discos de VM con CMEK, debes proporcionar una referencia a una clave de Cloud KMS en los detalles del destino. Si deseas obtener instrucciones para configurar CMEK en los detalles del destino, consulta Configura CMEK para instancias de VM y Configura CMEK para discos de VM.
Usa CMEK para encriptar datos en discos de destino y en imágenes de máquina
Para encriptar datos en discos y en imágenes de máquina de destino con CMEK, debes proporcionar una referencia a una clave de Cloud KMS en los detalles del destino. Si deseas obtener instrucciones para configurar CMEK en los detalles del destino, consulta Importa una imagen de disco virtual a Compute Engine y Importa una imagen de máquina a Compute Engine.