Esta página se ha traducido con Cloud Translation API.

Habilitar CMEK en Security Command Center

De forma predeterminada, Security Command Center cifra el contenido del cliente en reposo. Security Command Center se encarga del cifrado sin que tengas que hacer nada más. Esta opción se llama Cifrado predeterminado de Google.

Si quieres controlar tus claves de cifrado, puedes usar claves de cifrado gestionadas por el cliente (CMEKs) en Cloud KMS con servicios integrados con CMEKs, como Security Command Center. Si usas claves de Cloud KMS, tendrás control sobre su nivel de protección, ubicación, calendario de rotación, permisos de uso y acceso, y límites criptográficos. Cloud KMS también te permite monitorizar el uso de las claves, ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google sea el propietario y el gestor de las claves de cifrado de claves (KEKs) simétricas que protegen tus datos, tú controlas y gestionas estas claves en Cloud KMS.

Una vez que hayas configurado tus recursos con CMEKs, la experiencia de acceso a tus recursos de Security Command Center será similar a la de usar el cifrado predeterminado de Google. Para obtener más información sobre las opciones de encriptado, consulta el artículo Claves de encriptado gestionadas por el cliente (CMEK).

Para admitir la separación de tareas y tener un mayor control sobre el acceso a las claves, te recomendamos que crees y gestiones las claves en un proyecto independiente que no incluya otros recursos de Google Cloud .

Cuando usas CMEK en Security Command Center, tus proyectos pueden consumir cuotas de solicitudes criptográficas de Cloud KMS. Las instancias cifradas con CMEK consumen cuotas al leer o escribir datos en Security Command Center. Las operaciones de cifrado y descifrado con claves CMEK solo afectan a las cuotas de Cloud KMS si usas claves de hardware (Cloud HSM) o externas (Cloud EKM). Para obtener más información, consulta las cuotas de Cloud KMS.

Para usar Security Command Center con CMEK, debes elegir CMEK al activar una organización de Security Command Center. Una vez que hayas activado Security Command Center, ya no podrás configurar el cifrado de datos. No puedes configurar CMEK durante la activación a nivel de proyecto. Para obtener más información, consulta lo siguiente:

Puedes usar políticas de organización de CMEK para aplicar la configuración de cifrado que elijas al activar Security Command Center. Para obtener información sobre cómo usar las políticas de organización de CMEK con Security Command Center, consulta el artículo Usar políticas de organización de CMEK.

CMEK cifra los siguientes datos en Security Command Center y en la API de Security Command Center:

Resultados
Configuraciones de notificaciones
Exportaciones de BigQuery
Configuraciones de silencio

Antes de empezar

Antes de configurar CMEK para Security Command Center, haz lo siguiente:

Instala e inicializa Google Cloud CLI:
1. Install the Google Cloud CLI.
2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
3. To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Crea un Google Cloud proyecto con Cloud KMS habilitado. Este es tu proyecto clave.
Crea un conjunto de claves en la ubicación correcta. La ubicación del conjunto de claves debe corresponderse con la ubicación en la que tiene previsto activar Security Command Center. Para ver qué ubicaciones del llavero corresponden a cada ubicación de Security Command Center, consulta la tabla de la sección Ubicación de la clave de este documento. Para obtener más información sobre cómo crear un conjunto de claves, consulta Crear un conjunto de claves.
Crea una clave de Cloud KMS en el conjunto de claves. Para obtener más información sobre cómo crear una clave en un conjunto de claves, consulta Crear una clave.
Para asegurarte de que la cuenta de servicio de Cloud Security Command Center tiene los permisos necesarios para cifrar y descifrar datos, pide a tu administrador que le asigne el rol de gestión de identidades y accesos Encargado del cifrado y descifrado de la clave criptográfica Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) en la clave de Cloud KMS.
Importante: Debes asignar este rol a la cuenta de servicio de Cloud Security Command Center, no a tu cuenta de usuario. Si no se asigna el rol a la entidad correcta, pueden producirse errores de permisos.
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

Es posible que tu administrador también pueda conceder a la cuenta de servicio de Cloud Security Command Center los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Ubicación de la clave

La ubicación de tu clave de Cloud KMS debe corresponder a la ubicación en la que activaste Security Command Center. En la siguiente tabla se muestra la ubicación de la clave de Cloud KMS correspondiente a cada ubicación de Security Command Center.

Ubicación de Security Command Center	Ubicación de la clave de Cloud KMS
`eu`	`europe`
`global`	`us`
`sa`	`me-central2`
`us`	`us`

Si no habilitas la residencia de datos al activar Security Command Center, usa global para la ubicación de Security Command Center y us para la ubicación de la clave de Cloud KMS. Para obtener más información sobre la residencia de datos, consulta el artículo Planificar la residencia de datos.

Si usas la restricción de la constraints/gcp.restrictNonCmekServices política de la organización con Security Command Center, CMEK es la única opción de cifrado disponible.

Limitaciones

Estas son algunas de las limitaciones que se aplican al usar CMEK con Security Command Center:

Si ya has activado Security Command Center en una organización o en un proyecto de la organización en la que lo vas a activar, no puedes usar CMEK en Security Command Center para esa organización.
No puedes configurar CMEK durante la activación a nivel de proyecto.
No puedes cambiar la clave de Cloud KMS ni cambiar aGoogle-owned and Google-managed encryption key después de activar Security Command Center.

Advertencia: Si inhabilitas, revocas el acceso o destruyes la CMEK después de la activación, Security Command Center dejará de funcionar y podrías perder tus datos de Security Command Center. Destruir una versión de una clave es una acción permanente que provoca la pérdida de datos irrecuperable.
Puedes rotar la clave para que Security Command Center use la nueva versión. Sin embargo, algunas funciones de Security Command Center seguirán usando la clave antigua durante 30 días.

Usar políticas de organización de CMEK con Security Command Center

Para aplicar el uso de CMEK en Security Command Center, puedes aplicar las siguientes políticas de organización a nivel de organización, carpeta o proyecto:

constraints/gcp.restrictNonCmekServices, que requiere que uses CMEK. Si configuras constraints/gcp.restrictNonCmekServices en una organización y has incluido Security Command Center en la lista de servicios restringidos que requieren el uso de CMEK, debes usar CMEK cuando actives Security Command Center.
constraints/gcp.restrictCmekCryptoKeyProjects, que requiere que uses una clave de un proyecto o un conjunto de proyectos específicos cuando uses CMEK con Security Command Center. La política de constraints/gcp.restrictCmekCryptoKeyProjectsorganización por sí sola sigue permitiéndote elegir el cifrado predeterminado de Google.

Si activas tanto constraints/gcp.restrictNonCmekServices como constraints/gcp.restrictCmekCryptoKeyProjects en la organización en la que activas Security Command Center, este te pedirá que uses CMEK y que la clave de CMEK se encuentre en un proyecto específico.

Si configuras constraints/gcp.restrictNonCmekServices en un proyecto o una carpeta, debes usar CMEK en la organización en la que actives Security Command Center y enumerar Security Command Center como servicio restringido. De lo contrario, algunas funciones de Security Command Center no funcionarán correctamente.

Para obtener información sobre cómo se evalúan las políticas de la organización en laGoogle Cloud jerarquía de recursos (organizaciones, carpetas y proyectos), consulta Información sobre la evaluación jerárquica.

Para obtener información general sobre el uso de políticas de organización de CMEK, consulta el artículo Políticas de organización de CMEK.

Configurar CMEK para Security Command Center

Para usar CMEK con Security Command Center, sigue estos pasos:

Durante la activación de Security Command Center en una organización, selecciona Editar cifrado de datos. Se abrirá el panel Editar la configuración del cifrado de datos.
Selecciona Clave de Cloud KMS.
Selecciona un proyecto.
Selecciona una clave. Puedes seleccionar una clave de cualquier Google Cloud proyecto, incluidos los proyectos de otras organizaciones. En la lista solo se muestran las claves de las ubicaciones compatibles. Para obtener más información sobre las ubicaciones de las claves de CMEK de Security Command Center, consulta la tabla de la sección Ubicación de las claves.
Haz clic en Hecho y continúa con el proceso de activación de Security Command Center.

Después de activar Security Command Center en tu organización, el servicio cifra tus datos con la clave de Cloud KMS que hayas elegido.

Comprobar la configuración de CMEK

Para comprobar que has configurado correctamente las CMEK en Security Command Center, sigue estos pasos:

En Security Command Center, selecciona Configuración.
Vaya a la pestaña Detalles del nivel.
Vaya a Detalles de la configuración > Cifrado de datos para ver el nombre de la clave. Si se ha configurado una CMEK para Security Command Center, el nombre de la clave se muestra como un enlace después de Cifrado de datos.

Solucionar problemas de CMEK en Security Command Center

Aunque no se aplican cargos adicionales por habilitar las CMEKs en Security Command Center Standard y Premium, sí se aplican cargos en Cloud KMS cuando Security Command Center usa tus CMEKs para cifrar y descifrar datos. Para obtener más información, consulta los precios de Cloud KMS.

Restaurar el acceso a Security Command Center

Con las CMEK habilitadas, la cuenta de servicio de Security Command Center necesita acceder a tu clave de Cloud KMS para funcionar. No revoques los permisos de la cuenta de servicio en la CMEK, inhabilita la CMEK ni programes su destrucción. Todas estas acciones provocan que las siguientes funciones de Security Command Center dejen de funcionar:

Resultados
Configuraciones de exportaciones continuas
Exportaciones de BigQuery
Reglas de silencio

Si la clave de Cloud KMS no está disponible cuando intentes usar Security Command Center, verás un mensaje de error o un error de la API FAILED_PRECONDITION.

Puede perder las funciones de Security Command Center porque una clave de Cloud KMS tiene uno de los siguientes problemas:

Es posible que se haya revocado el rol Encargado del encriptado y desencriptado de la clave criptográfica Cloud KMS de la clave en la cuenta de servicio. Puedes restaurar el acceso a Security Command Center después de que se haya revocado una clave.
Es posible que la clave de Cloud KMS se haya inhabilitado. Puedes restaurar el acceso a Security Command Center después de inhabilitar una clave.
Es posible que se haya programado la eliminación de la clave. Puedes restaurar el acceso a Security Command Center después de que se haya programado la destrucción de una clave.

Restaurar el acceso a Security Command Center después de revocar una clave

Para restaurar el acceso a tu clave en Security Command Center, asigna el rol Encargado del encriptado y desencriptado de la clave criptográfica Cloud KMS a la cuenta de servicio de Cloud Security Command Center en la clave:

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORG_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Haz los cambios siguientes:

KEY_RING: el conjunto de claves de tu clave de Cloud KMS
LOCATION: la ubicación de tu clave de Cloud KMS
KEY_NAME: el nombre de tu clave de Cloud KMS
ORG_NUMBER: número de tu organización

Restaurar el acceso a Security Command Center después de inhabilitar una clave

Para obtener más información sobre cómo habilitar una versión de clave inhabilitada, consulta Habilitar una versión de clave.

Restaurar el acceso a Security Command Center después de programar la eliminación de una clave

Para obtener más información sobre cómo restaurar una clave programada para eliminarse, consulta Destruir y restaurar versiones de clave.

Una vez que se ha destruido una clave, no puedes recuperarla ni restaurar el acceso a Security Command Center.

Errores al crear recursos protegidos

Si tienes problemas para crear nuevos resultados, configuraciones de notificaciones, configuraciones de silencio o exportaciones de BigQuery, comprueba si se ha definido una política de la organización de CMEK para tu organización o para algún proyecto o carpeta de esa organización.

Si eliges Google-owned and Google-managed encryption keys cuando activas una organización de Security Command Center y defines la constraints/gcp.restrictNonCmekServices política de organización de CMEK en un proyecto o una carpeta de la organización y Security Command Center como servicio restringido, no podrás crear recursos protegidos en ese proyecto o carpeta. Para obtener más información, consulta Usar políticas de organización de CMEK con Security Command Center.

Precios

Aunque no se aplican cargos adicionales por habilitar las CMEK en Security Command Center Standard o Premium, sí se aplican cargos en Cloud KMS cuando Security Command Center usa tus CMEK para cifrar o descifrar datos. Para obtener más información, consulta los precios de Cloud KMS.