De forma predeterminada, Google Cloud Observability encripta el contenido del cliente almacenado en reposo. Google Cloud Observability controla la encriptación por ti sin que debas realizar ninguna acción adicional por tu parte. Esta opción se denomina encriptación predeterminada de Google.
Si deseas controlar tus claves de encriptación, puedes usar las claves de encriptación administradas por el cliente (CMEK) en Cloud KMS con servicios integrados en CMEK, incluido Google Cloud Observability. El uso de claves de Cloud KMS te permite controlar su nivel de protección, ubicación, programa de rotación, permisos de uso y acceso, y límites criptográficos. El uso de Cloud KMS también te permite ver los registros de auditoría y controlar los ciclos de vida de las claves. En lugar de que Google posea y administre las claves de encriptación de claves (KEK) simétricas que protegen tus datos, tú las controlas y administras en Cloud KMS.
Después de configurar tus recursos con CMEK, la experiencia de acceso a tus recursos de Google Cloud Observability es similar a usar la encriptación predeterminada de Google. Para obtener más información sobre tus opciones de encriptación, consulta Claves de encriptación administradas por el cliente (CMEK).
Google Cloud Observability puede usar CMEK para encriptar datos almacenados en buckets de observabilidad. Estos buckets almacenan tus datos de seguimiento. En este documento, se enumeran las políticas de la organización compatibles, se presenta la configuración predeterminada para los buckets de observabilidad y se describe cómo interactúan las políticas de la organización y la configuración predeterminada.
Este documento no se aplica a Cloud Logging, que puede encriptar datos almacenados en buckets de registros con CMEK. Para obtener más información, consulta Configura CMEK para Cloud Logging.
Restricciones de las políticas de la organización compatibles
Para controlar dónde se crean tus buckets de observabilidad y quién administra las claves de encriptación para esos buckets, es posible que desees configurar las siguientes políticas de la organización:
Una política con un ID de restricción
constraints/gcp.resourceLocations. Esta política define el conjunto de ubicaciones en las que se pueden crear recursos nuevos. Para usar buckets de observabilidad, este conjunto de ubicaciones debe incluir al menos una ubicación de buckets de observabilidad compatible.Una política
Denycon el ID de restricciónconstraints/gcp.restrictNonCmekServices. Esta política requiere que los recursos nuevos se encripten con CMEK.Una política con el ID de restricción
constraints/gcp.restrictCmekCryptoKeyProjects. Esta política limita qué claves de Cloud Key Management Service se usan para la encriptación.
Puedes crear políticas de la organización que se apliquen a nivel de la organización, la carpeta o el proyecto. Para obtener más información, consulta Crea y edita políticas.
Acerca de la configuración predeterminada para los buckets de observabilidad
Google Cloud Observability proporciona parámetros predeterminados para los buckets de observabilidad, que se aplican a un proyecto, una carpeta o una organización. Estos parámetros predeterminados funcionan junto con las políticas de la organización para garantizar que los buckets de observabilidad nuevos estén en la ubicación que prefieras y usen el modelo de encriptación que especifiques.
Para las organizaciones, las carpetas y los proyectos, la configuración predeterminada para los buckets de observabilidad te permite configurar lo siguiente:
- Una ubicación de almacenamiento predeterminada
- Para cada ubicación, una clave predeterminada de Cloud Key Management Service
Cuando se configuran para un proyecto, estos parámetros solo se aplican a los buckets de observabilidad nuevos creados en ese proyecto. Cuando se configuran para una carpeta o una organización, estos parámetros se aplican a los buckets de observabilidad nuevos que se crean en proyectos que son descendientes de la carpeta o la organización, excepto aquellos proyectos en los que configuraste los parámetros predeterminados.
Para obtener más información, consulta Establece valores predeterminados para los buckets de observabilidad.Cómo interactúan las políticas de la organización y la configuración predeterminada
El elemento superior de un bucket de observabilidad debe ser un proyecto. Es decir, el sistema no puede crear un bucket de observabilidad en una carpeta ni en una organización. Sin embargo, si configuras los parámetros predeterminados para los buckets de observabilidad de una organización o una carpeta, esos parámetros predeterminados se aplican a todos los proyectos que son descendientes de esa organización o carpeta.
En la siguiente tabla, se enumeran las reglas que usa el sistema para determinar la ubicación de un bucket de observabilidad nuevo:
| Usa la política de la organización para restringir la ubicación |
El proyecto (o el principal) tiene una ubicación de almacenamiento predeterminada |
Cómo determina el sistema la ubicación de un bucket de observabilidad nuevo |
|---|---|---|
| No | No | El sistema selecciona la ubicación de las ubicaciones compatibles para los buckets de observabilidad. |
| Sí | No | El sistema selecciona la ubicación de la intersección de las ubicaciones que permiten las políticas de la organización y las que admiten los buckets de observabilidad. Si la intersección está vacía, el sistema no crea el bucket de observabilidad. |
| No | Sí | El sistema establece la ubicación en la ubicación de almacenamiento predeterminada definida en la configuración predeterminada del proyecto. Si el proyecto no define una ubicación de almacenamiento predeterminada, el sistema usa la ubicación de almacenamiento predeterminada definida para un principal. |
| Sí | Sí | El sistema establece la ubicación en la ubicación de almacenamiento predeterminada definida en la configuración predeterminada del proyecto. Si el proyecto no define una ubicación de almacenamiento predeterminada, el sistema usa la ubicación de almacenamiento predeterminada del ancestro. Si las políticas de la organización no permiten la ubicación de almacenamiento predeterminada, el sistema no crea el bucket de observabilidad. |
En la siguiente tabla, se enumeran las reglas que usa el sistema para determinar si un bucket de observabilidad nuevo usa CMEK y, si es así, el valor de la clave de Cloud KMS. Para encriptar un bucket de observabilidad, una clave de Cloud KMS debe estar en la ubicación del bucket y las políticas de la organización deben permitirla. Si no especificas una política de la organización con la restricción gcp.restrictCmekCryptoKeyProjects, se permiten todas las claves:
| Usa la política de la organización para requerir CMEK |
El proyecto (o el ancestro) tiene una clave predeterminada de Cloud KMS |
Cómo determina el sistema qué clave de Cloud KMS usar |
|---|---|---|
| No | No | El bucket de observabilidad no usa CMEK. |
| Sí | No | El sistema no crea buckets de observabilidad nuevos porque la política de la organización requiere CMEK, pero no se define una clave predeterminada de Cloud KMS. |
| No | Sí | Para identificar una clave para la encriptación, el sistema primero determina si se establece una ubicación de almacenamiento predeterminada para el proyecto o para uno de sus ancestros. De lo contrario, el sistema selecciona una ubicación y crea el el bucket de observabilidad. El bucket no usa una CMEK. Si se encuentra una ubicación de almacenamiento predeterminada, el sistema busca la configuración predeterminada del proyecto para una clave predeterminada de Cloud KMS. Si la configuración predeterminada del proyecto no especifica una clave adecuada, el sistema busca en la configuración predeterminada del ancestro una clave predeterminada que esté en la ubicación del bucket nuevo. Se produce una de las siguientes situaciones:
|
| Sí | Sí | Para identificar una clave para la encriptación, el sistema primero determina si se establece una ubicación de almacenamiento predeterminada para el proyecto o para uno de sus ancestros. Si no se establece una ubicación de almacenamiento predeterminada, entonces el sistema no crea el bucket de observabilidad nuevo Si se encuentra una ubicación de almacenamiento predeterminada, el sistema busca la configuración predeterminada del proyecto para una clave predeterminada de Cloud KMS. Si la configuración predeterminada del proyecto no especifica una clave adecuada, el sistema busca en la configuración predeterminada del ancestro una clave predeterminada que esté en la ubicación del bucket nuevo. Se produce una de las siguientes situaciones:
|
Limitaciones
Cuando el sistema crea un bucket de observabilidad, el modelo de encriptación se establece en la encriptación predeterminada de Google o en la encriptación administrada por el cliente. Una vez que existe el bucket, no puedes cambiar el modelo de encriptación.
¿Qué sigue?
En Establece valores predeterminados para los buckets de observabilidad, se describe cómo establecer una ubicación de almacenamiento predeterminada y una clave predeterminada de Cloud KMS para tus buckets de observabilidad.
En Configura los parámetros predeterminados de los recursos para Cloud Logging y Configura CMEK para Cloud Logging, se describe cómo establecer una ubicación de almacenamiento predeterminada y una clave predeterminada de Cloud KMS para tus buckets de registros.