Crea una clave unida

En esta página, se describe cómo usar Cloud Key Management Service (Cloud KMS) para crear una clave unida que luego puedes usar para enviar solicitudes deidentify y reidentify a la API de Cloud Data Loss Prevention de Protección de datos sensibles.

El proceso de usar una clave criptográfica para desidentificar y reidentificar contenido se denomina seudonimización (o asignación de token). Para obtener información conceptual sobre este proceso, consulta Seudonimización.

Para ver un ejemplo que muestre cómo crear una clave unida, asignar un token al contenido y reidentificar el contenido con asignación de token, consulta Desidentifica y reidentifica texto sensible.

Puedes completar los pasos de este documento en 5 a 10 minutos, sin incluir los pasos de Antes de comenzar.

Antes de comenzar

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

Install the Google Cloud CLI.

Si usas un proveedor de identidad externo (IdP), primero debes Acceder a la gcloud CLI con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

Create or select a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

• Create a Google Cloud project:

  gcloud projects create PROJECT_ID

  Replace PROJECT_ID with a name for the Google Cloud project you are creating.

• Select the Google Cloud project that you created:

  gcloud config set project PROJECT_ID

  Replace PROJECT_ID with your Google Cloud project name.

Si usas un proyecto existente para esta guía, verifica que tengas los permisos necesarios para completarla. Si creaste un proyecto nuevo, ya tienes los permisos necesarios.

Verify that billing is enabled for your Google Cloud project.

Enable the Sensitive Data Protection and Cloud KMS APIs:

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

gcloud services enable dlp.googleapis.com cloudkms.googleapis.com

Install the Google Cloud CLI.

Si usas un proveedor de identidad externo (IdP), primero debes Acceder a la gcloud CLI con tu identidad federada.

Para inicializar gcloud CLI, ejecuta el siguiente comando:

gcloud init

Create or select a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

• Create a Google Cloud project:

  gcloud projects create PROJECT_ID

  Replace PROJECT_ID with a name for the Google Cloud project you are creating.

• Select the Google Cloud project that you created:

  gcloud config set project PROJECT_ID

  Replace PROJECT_ID with your Google Cloud project name.

Si usas un proyecto existente para esta guía, verifica que tengas los permisos necesarios para completarla. Si creaste un proyecto nuevo, ya tienes los permisos necesarios.

Verify that billing is enabled for your Google Cloud project.

Enable the Sensitive Data Protection and Cloud KMS APIs:

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

gcloud services enable dlp.googleapis.com cloudkms.googleapis.com

Roles obligatorios

Para obtener los permisos que necesitas para crear una clave AES encapsulada, pídele a tu administrador que te otorgue los siguientes roles de IAM en el proyecto:

• Administrador de Cloud KMS (roles/cloudkms.admin)
• Encriptador de CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypter)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Crea un llavero de claves y una clave

Antes de comenzar con este procedimiento, decide dónde deseas que Sensitive Data Protection procese tus solicitudes de desidentificación y reidentificación. Cuando creas una clave de Cloud KMS, debes almacenarla en global o en la misma región que usarás para tus solicitudes de Protección de datos sensibles. De lo contrario, fallarán las solicitudes de Sensitive Data Protection.

Puedes encontrar una lista de las ubicaciones compatibles en Ubicaciones de Sensitive Data Protection. Anota el nombre de la región que elegiste (por ejemplo, us-west1).

En este procedimiento, se usa global como la ubicación para todas las solicitudes a la API. Si quieres usar una región diferente, reemplaza global por el nombre de la región.

1. Crea un llavero de claves

   gcloud kms keyrings create "dlp-keyring" \
       --location "global"
   

2. Crea una clave:

   gcloud kms keys create "dlp-key" \
       --location "global" \
       --keyring "dlp-keyring" \
       --purpose "encryption"
   

3. Enumera el llavero de claves y la clave:

   gcloud kms keys list \
       --location "global" \
       --keyring "dlp-keyring"
   

   Obtendrás el siguiente resultado:

   NAME: projects/<var>PROJECT_ID</var>/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key
   PURPOSE: ENCRYPT_DECRYPT
   ALGORITHM: GOOGLE_SYMMETRIC_ENCRYPTION
   PROTECTION_LEVEL: SOFTWARE
   LABELS:
   PRIMARY_ID: 1
   PRIMARY_STATE: ENABLED
   

   En este resultado, PROJECT_ID es el ID de tu proyecto.

   El valor de NAME es el nombre completo del recurso de tu clave de Cloud KMS. Anota este valor, ya que las solicitudes de desidentificación y reidentificación lo requieren.

Crea una clave AES codificada en Base64

En esta sección, se describe cómo crear una clave del Estándar de encriptación avanzada (AES) y codificarla en formato base64.

1. Crea una clave AES de 128, 192 o 256 bits. El siguiente comando utiliza openssl para crear una clave de 256 bits en el directorio actual:

   openssl rand -out "./aes_key.bin" 32
   

   El archivo aes_key.bin se agrega a tu directorio actual.

2. Codifica la clave AES como una string de base64:

   base64 -i ./aes_key.bin
   

   Obtendrás un resultado similar al siguiente:

   uEDo6/yKx+zCg2cZ1DBwpwvzMVNk/c+jWs7OwpkMc/s=
   

Une la clave AES con la clave de Cloud KMS

En esta sección, se describe cómo usar la clave de Cloud KMS que creaste en Crea un llavero de claves y una clave para unir la clave AES codificada en base64 que creaste en Crea una clave AES codificada en base64.

Para unir la clave AES, usa curl para enviar la siguiente solicitud al método de la API de Cloud KMS projects.locations.keyRings.cryptoKeys.encrypt:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key:encrypt" \
    --request "POST" \
    --header "Authorization:Bearer $(gcloud auth application-default print-access-token)" \
    --header "content-type: application/json" \
    --data "{\"plaintext\": \"BASE64_ENCODED_AES_KEY\"}"

Reemplaza lo siguiente:

• PROJECT_ID: es el ID de tu proyecto.
• BASE64_ENCODED_AES_KEY: La cadena codificada en base64 que se devolvió en Crea una clave AES codificada en base64.

La respuesta que obtienes de Cloud KMS es similar al siguiente código JSON:

{
  "name": "projects/<var>PROJECT_ID</var>/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key/cryptoKeyVersions/1",
  "ciphertext": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=",
  "ciphertextCrc32c": "901327763",
  "protectionLevel": "SOFTWARE"
}

En este resultado, PROJECT_ID es el ID de tu proyecto.

Ten en cuenta el valor de ciphertext en la respuesta. Esa es tu clave unida.

¿Qué sigue?

• Obtén más información para asignar tokens a los datos a través de una clave criptográfica.

• Trabaja con un ejemplo en el que se muestre cómo crear una clave unida, asignar un token al contenido y reidentificar el contenido con asignación de token.

• Obtén más información sobre los métodos de desidentificación que usan esta clave unida y revisa las muestras de código.