Crea una clave unida

En esta página, se describe cómo usar Cloud Key Management Service (Cloud KMS) para crear una clave unida que puedas usar para enviar solicitudes deidentify y reidentify a la API de Cloud Data Loss Prevention de Protección de datos sensibles.

El proceso de usar una clave criptográfica para desidentificar y reidentificar contenido se denomina seudonimización (o asignación de token). Para obtener información conceptual sobre este proceso, consulta Seudonimización.

Para ver un ejemplo que muestra cómo crear una clave unida, asignar un token al contenido y reidentificar el contenido con asignación de token, consulta Desidentifica y reidentifica texto sensible en su lugar.

Puedes completar los pasos de este documento en 5 a 10 minutos, sin incluir los pasos de Antes de comenzar.

Antes de comenzar

Accede a tu Google Cloud cuenta de. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

Instala Google Cloud CLI.

Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

Crea o selecciona un Google Cloud proyecto.

Roles necesarios para seleccionar o crear un proyecto

• Selecciona un proyecto: Para seleccionar un proyecto, no se requiere un rol de IAM específico. Puedes seleccionar cualquier proyecto en el que se te haya otorgado un rol.
• Crea un proyecto: Para crear un proyecto, necesitas el rol de creador de proyectos (roles/resourcemanager.projectCreator), que contiene el resourcemanager.projects.create permiso. Obtén información para otorgar roles.

• Crea un proyecto de: Google Cloud

  gcloud projects create PROJECT_ID

  Reemplaza PROJECT_ID por un nombre para el Google Cloud proyecto de que estás creando.

• Selecciona el Google Cloud proyecto de que creaste:

  gcloud config set project PROJECT_ID

  Reemplaza PROJECT_ID por el nombre de tu Google Cloud proyecto de.

Si usas un proyecto existente en esta guía, verifica que tengas los permisos necesarios para completarla. Si creaste un proyecto nuevo, ya tienes los permisos necesarios.

Verifica que la facturación esté habilitada para tu Google Cloud proyecto.

Habilita las APIs de Protección de datos sensibles y Cloud KMS:

Roles necesarios para habilitar las APIs

Para habilitar las APIs, necesitas el rol de IAM de administrador de Service Usage (roles/serviceusage.serviceUsageAdmin), que contiene el serviceusage.services.enable permiso. Obtén información para otorgar roles.

gcloud services enable dlp.googleapis.com cloudkms.googleapis.com

Instala Google Cloud CLI.

Si usas un proveedor de identidad externo (IdP), primero debes acceder a la gcloud CLI con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

Crea o selecciona un Google Cloud proyecto.

Roles necesarios para seleccionar o crear un proyecto

• Selecciona un proyecto: Para seleccionar un proyecto, no se requiere un rol de IAM específico. Puedes seleccionar cualquier proyecto en el que se te haya otorgado un rol.
• Crea un proyecto: Para crear un proyecto, necesitas el rol de creador de proyectos (roles/resourcemanager.projectCreator), que contiene el resourcemanager.projects.create permiso. Obtén información para otorgar roles.

• Crea un proyecto de: Google Cloud

  gcloud projects create PROJECT_ID

  Reemplaza PROJECT_ID por un nombre para el Google Cloud proyecto de que estás creando.

• Selecciona el Google Cloud proyecto de que creaste:

  gcloud config set project PROJECT_ID

  Reemplaza PROJECT_ID por el nombre de tu Google Cloud proyecto de.

Si usas un proyecto existente en esta guía, verifica que tengas los permisos necesarios para completarla. Si creaste un proyecto nuevo, ya tienes los permisos necesarios.

Verifica que la facturación esté habilitada para tu Google Cloud proyecto.

Habilita las APIs de Protección de datos sensibles y Cloud KMS:

Roles necesarios para habilitar las APIs

Para habilitar las APIs, necesitas el rol de IAM de administrador de Service Usage (roles/serviceusage.serviceUsageAdmin), que contiene el serviceusage.services.enable permiso. Obtén información para otorgar roles.

gcloud services enable dlp.googleapis.com cloudkms.googleapis.com

Roles obligatorios

Para obtener los permisos que necesitas para crear una clave AES unida, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto:

• Administrador de Cloud KMS (roles/cloudkms.admin)
• Encriptador de CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypter)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Crea un llavero de claves y una clave

Antes de comenzar con este procedimiento, decide dónde deseas que Protección de datos sensibles procese tus solicitudes de desidentificación y reidentificación. Cuando creas una clave de Cloud KMS, debes almacenarla en global o en la misma región que usarás para tus solicitudes de Protección de datos sensibles. De lo contrario, las solicitudes de Protección de datos sensibles fallarán.

Puedes encontrar una lista de ubicaciones compatibles en ubicaciones de Protección de datos sensibles. Anota el nombre de la región que elegiste (por ejemplo, us-west1).

En este procedimiento, se usa global como la ubicación para todas las solicitudes a la API. Si quieres usar una región diferente, reemplaza global por el nombre de la región.

1. Crea un llavero de claves

   gcloud kms keyrings create "dlp-keyring" \
       --location "global"
   

2. Crea una clave:

   gcloud kms keys create "dlp-key" \
       --location "global" \
       --keyring "dlp-keyring" \
       --purpose "encryption"
   

3. Enumera el llavero de claves y la clave:

   gcloud kms keys list \
       --location "global" \
       --keyring "dlp-keyring"
   

   Obtendrás el siguiente resultado:

   NAME: projects/<var>PROJECT_ID</var>/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key
   PURPOSE: ENCRYPT_DECRYPT
   ALGORITHM: GOOGLE_SYMMETRIC_ENCRYPTION
   PROTECTION_LEVEL: SOFTWARE
   LABELS:
   PRIMARY_ID: 1
   PRIMARY_STATE: ENABLED
   

   En este resultado, PROJECT_ID es el ID de tu proyecto.

   El valor de NAME es el nombre completo del recurso de tu clave de Cloud KMS. Anota este valor porque las solicitudes de desidentificación y reidentificación lo requieren.

Crea una clave AES codificada en base64

En esta sección, se describe cómo crear una clave del Estándar de encriptación avanzada (AES) y codificarla en formato base64.

1. Crea una clave AES de 128, 192 o 256 bits. El siguiente comando utiliza openssl para crear una clave de 256 bits en el directorio actual:

   openssl rand -out "./aes_key.bin" 32
   

   El archivo aes_key.bin se agrega a tu directorio actual.

2. Codifica la clave AES como una string de base64:

   base64 -i ./aes_key.bin
   

   Obtendrás un resultado similar al siguiente:

   uEDo6/yKx+zCg2cZ1DBwpwvzMVNk/c+jWs7OwpkMc/s=
   

Une la clave AES con la clave de Cloud KMS

En esta sección, se describe cómo usar la clave de Cloud KMS que creaste en Crea un llavero de claves y una clave para unir la clave AES codificada en base64 que creaste en Crea una clave AES codificada en base64.

Para unir la clave AES, usa curl para enviar la siguiente solicitud al método projects.locations.keyRings.cryptoKeys.encrypt de la API de Cloud KMS:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key:encrypt" \
    --request "POST" \
    --header "Authorization:Bearer $(gcloud auth application-default print-access-token)" \
    --header "content-type: application/json" \
    --data "{\"plaintext\": \"BASE64_ENCODED_AES_KEY\"}"

Reemplaza lo siguiente:

• PROJECT_ID: el ID de tu proyecto.
• BASE64_ENCODED_AES_KEY: la cadena codificada en base64 que se muestra en Crea una clave AES codificada en base64.

La respuesta que obtienes de Cloud KMS es similar al siguiente código JSON:

{
  "name": "projects/<var>PROJECT_ID</var>/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key/cryptoKeyVersions/1",
  "ciphertext": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
  "ciphertextCrc32c": "901327763",
  "protectionLevel": "SOFTWARE"
}

En este resultado, PROJECT_ID es el ID de tu proyecto.

Anota el valor de ciphertext en la respuesta. Esa es tu clave unida.

¿Qué sigue?

• Obtén más información sobre la asignación de token a los datos mediante una clave criptográfica.

• Trabaja con un ejemplo en el que se muestre cómo crear una clave unida , asignar un token al contenido y reidentificar el contenido con asignación de token.

• Obtén más información sobre los métodos de desidentificación que usan esta clave unida, y revisa las muestras de código.