Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Aplica o restringe los tipos de encriptación para un bucket

En este documento, se describe cómo configurar qué métodos de encriptación se permiten o restringen para los objetos nuevos en un bucket de Cloud Storage. Puedes configurar un bucket para aplicar o restringir el uso de la encriptación estándar (encriptación predeterminada de Google), las claves de encriptación administradas por el cliente (CMEK) o las claves de encriptación proporcionadas por el cliente (CSEK) para los objetos nuevos que se creen en el bucket.

Por ejemplo, para ayudarte a cumplir con los requisitos de cumplimiento relacionados con la administración de claves de encriptación, puedes exigir que todos los objetos nuevos se encripten con la encriptación estándar o con CMEK, y restringir el uso de claves de encriptación proporcionadas por el cliente.

Para obtener más información sobre los métodos de encriptación disponibles, consulta Opciones de encriptación de datos.

Cloud Storage aplica la configuración de encriptación para todas las acciones que crean un objeto nuevo, como subir un objeto, copiar un objeto, componer objetos y restablecer un objeto borrado de forma no definitiva.

Antes de comenzar

Para obtener los permisos que necesitas para configurar la aplicación de la encriptación en un bucket, pídele a tu administrador que te otorgue el rol de IAM Administrador de almacenamiento (roles/storage.admin) en el bucket. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para configurar la aplicación de la encriptación en un bucket. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para configurar la aplicación de la encriptación en un bucket:

Establece la configuración cuando crees un bucket nuevo: storage.buckets.create
Actualiza la configuración de un bucket existente: storage.buckets.update
Si usas la consola de Google Cloud para realizar los pasos de esta página, haz lo siguiente:
- storage.buckets.get
- storage.buckets.list

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Crea un bucket que aplique tipos de encriptación

Puedes especificar los métodos de encriptación que se permiten o restringen para los objetos de un bucket cuando creas un bucket nuevo.

Si estableces una clave predeterminada de Cloud KMS para el bucket, también debes permitir la encriptación con CMEK o claves de encriptación proporcionadas por el cliente.

Console

En la consola de Google Cloud , ve a la página Buckets de Cloud Storage.

Ir a Buckets
Haz clic en Crear.
En la página Crear un bucket, ingresa la información de tu bucket. Después de cada uno de los siguientes pasos, haz clic en Continuar para avanzar al siguiente paso:
1. En la sección Primeros pasos, haz lo siguiente:
  - Ingresa un nombre único a nivel global que cumpla con los requisitos de nombre de los buckets.
  - Para agregar una etiqueta de bucket, haz clic en la flecha desplegable para expandir la sección Etiquetas, haz clic en Agregar etiqueta y especifica una key y un value para tu etiqueta.
2. En la sección Elige dónde almacenar tus datos, haz lo siguiente:
  1. Selecciona un tipo de ubicación
  2. Usa el menú desplegable del tipo de ubicación para seleccionar una Ubicación en la que se almacenarán de forma permanente los datos de objetos de tu bucket.
    - Si seleccionas el tipo de ubicación birregional, también puedes habilitar la replicación turbo con la casilla de verificación correspondiente.
  3. Para configurar la replicación bucket buckets, selecciona Agregar replicación entre bucket a través del Servicio de transferencia de almacenamiento y sigue estos pasos:
    Configura la replicación entre buckets
    
    En el menú Bucket, selecciona un bucket.
    
    En la sección Configuración de replicación, haz clic en Configurar para configurar los parámetros del trabajo de replicación.
    
    Aparecerá el panel Configurar la replicación entre buckets.
    
    Para filtrar los objetos que se replicarán por prefijo de nombre de objeto, ingresa un prefijo con el que quieras incluir o excluir objetos y, luego, haz clic en Agregar un prefijo.
    
    Para establecer una clase de almacenamiento para los objetos replicados, selecciona una clase de almacenamiento en el menú Clase de almacenamiento. Si omites este paso, los objetos replicados usarán la clase de almacenamiento del bucket de destino de forma predeterminada.
    
    Haz clic en Listo.
3. En la sección Elige cómo almacenar tus datos, haz lo siguiente:
  1. Selecciona una clase de almacenamiento predeterminada para el bucket o Autoclass para la administración automática de clases de almacenamiento de los datos de tu bucket.
  2. En la sección Optimiza el almacenamiento para cargas de trabajo con uso intensivo de datos, haz lo siguiente:
    - Para habilitar el espacio de nombres jerárquico, selecciona Habilita el espacio de nombres jerárquico en este bucket.
      
      Nota: El espacio de nombres jerárquico solo se puede habilitar cuando creas el bucket. No puedes cambiar este parámetro de configuración después de crear el bucket.
    - Para habilitar Rapid Cache, selecciona Habilitar Rapid Cache y sigue estos pasos:
      1. Para crear cachés, haz clic en Configurar.
      2. En el cuadro de diálogo Configurar parámetros de configuración de la caché que aparece, haz clic en la flecha desplegable junto a las regiones enumeradas y selecciona las zonas en las que deseas crear cachés.
      3. Haz clic en Listo.
4. En la sección Elige cómo controlar el acceso a los objetos, selecciona si tu bucket aplica o no la prevención del acceso público y selecciona el acceso uniforme a nivel del bucket para los objetos del bucket.
  
  Nota: Si la política de la organización de tu proyecto ya aplica la prevención del acceso público, la casilla de verificación Impedir el acceso público se bloquea.
5. En la sección Elige cómo proteger los datos de objetos, haz lo siguiente:
  - Selecciona cualquiera de las opciones de Protección de datos que desees configurar para tu bucket.
  - Para cambiar la cantidad de tiempo que borrar de forma no definitiva conserva los objetos después de la eliminación, selecciona la casilla de verificación Política de eliminación no definitiva y, luego, selecciona la opción Establecer duración de retención personalizada. Luego, especifica por cuánto tiempo deseas conservar los objetos borrados.
    
    Para inhabilitar la eliminación no definitiva, por ejemplo, si el bucket contendrá principalmente datos temporales de corta duración, desmarca la casilla de verificación Política de eliminación no definitiva.
  - Para elegir cómo encriptar los datos de tus objetos, haz clic en la flecha desplegable etiquetada como Encriptación de datos y haz lo siguiente:
    - En la sección Tipo de clave de encriptación predeterminada, selecciona la clave de encriptación predeterminada para el bucket. Si seleccionas Clave de Cloud KMS, proporciona una clave de Cloud Key Management Service.
    - En la sección Reglas de aplicación de encriptación, en Tipos de claves, selecciona qué tipos de encriptación permitir o restringir para los objetos nuevos en el bucket.
Haz clic en Crear.

gcloud

Crea un archivo JSON que contenga la siguiente información:
```
{
  "gmekEnforcement": {"restrictionMode": "STANDARD_ENCRYPTION_RESTRICTION_MODE"},
  "cmekEnforcement": {"restrictionMode": "CMEK_RESTRICTION_MODE"},
  "csekEnforcement": {"restrictionMode": "CSEK_RESTRICTION_MODE"}
}
```
Reemplaza lo siguiente:
- STANDARD_ENCRYPTION_RESTRICTION_MODE: Indica si se permite la encriptación con la encriptación estándar (encriptación predeterminada de Google) cuando se crean objetos en este bucket. Se admiten los siguientes valores:
  - NotRestricted: Los objetos nuevos pueden usar la encriptación estándar.
  - FullyRestricted: Los objetos nuevos no pueden usar la encriptación estándar.
- CMEK_RESTRICTION_MODE: Indica si se permite la encriptación con CMEK cuando se crean objetos en este bucket. Se admiten los siguientes valores:
  - NotRestricted: Los objetos nuevos pueden usar CMEK.
  - FullyRestricted: Los objetos nuevos no pueden usar CMEK.
- CSEK_RESTRICTION_MODE: Indica si se permite la encriptación con claves de encriptación proporcionadas por el cliente cuando se crean objetos en este bucket. Se admiten los siguientes valores:
  - NotRestricted: Los objetos nuevos pueden usar claves de encriptación proporcionadas por el cliente.
  - FullyRestricted: Los objetos nuevos no pueden usar claves de encriptación proporcionadas por el cliente.
Debes permitir al menos un tipo de encriptación. Si omites la configuración de aplicación para un tipo de encriptación específico, ese tipo de encriptación se permitirá de forma predeterminada.
Usa el comando gcloud storage buckets create con la marca --encryption-enforcement-file:
```
gcloud storage buckets create gs://BUCKET_NAME \
  --encryption-enforcement-file=ENCRYPTION_ENFORCEMENT_FILE
```
Reemplaza lo siguiente:
- BUCKET_NAME: el nombre del bucket.
- ENCRYPTION_ENFORCEMENT_FILE: Es la ruta de acceso al archivo JSON que creaste en el paso anterior.

Bibliotecas cliente

C++

Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage C++.

Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para bibliotecas cliente.

namespace gcs = ::google::cloud::storage;
using ::google::cloud::StatusOr;
[](gcs::Client client, std::string const& project_id,
   std::string const& bucket_name) {
  auto create_bucket = [&](std::string const& name,
                           gcs::BucketEncryption encryption) {
    StatusOr<gcs::BucketMetadata> bucket = client.CreateBucketForProject(
        name, project_id, gcs::BucketMetadata().set_encryption(encryption));
    if (!bucket) throw std::move(bucket).status();
    return bucket;
  };

  // Example 1: Enforce GMEK Only
  gcs::BucketEncryption gmek_encryption;
  gmek_encryption.google_managed_encryption_enforcement_config
      .restriction_mode = "NotRestricted";
  gmek_encryption.customer_managed_encryption_enforcement_config
      .restriction_mode = "FullyRestricted";
  gmek_encryption.customer_supplied_encryption_enforcement_config
      .restriction_mode = "FullyRestricted";
  std::cout << "Bucket "
            << create_bucket("g-" + bucket_name, gmek_encryption)->name()
            << " created with GMEK-only enforcement policy.\n";

  // In GCS, a single project cannot create or delete buckets more often than
  // once every two seconds. We pause to avoid rate limiting.
  std::this_thread::sleep_for(std::chrono::seconds(2));

  // Example 2: Enforce CMEK Only
  gcs::BucketEncryption cmek_encryption;
  cmek_encryption.google_managed_encryption_enforcement_config
      .restriction_mode = "FullyRestricted";
  cmek_encryption.customer_managed_encryption_enforcement_config
      .restriction_mode = "NotRestricted";
  cmek_encryption.customer_supplied_encryption_enforcement_config
      .restriction_mode = "FullyRestricted";
  std::cout << "Bucket "
            << create_bucket("c-" + bucket_name, cmek_encryption)->name()
            << " created with CMEK-only enforcement policy.\n";

  // In GCS, a single project cannot create or delete buckets more often than
  // once every two seconds. We pause to avoid rate limiting.
  std::this_thread::sleep_for(std::chrono::seconds(2));

  // Example 3: Restrict CSEK (Ransomware Protection)
  gcs::BucketEncryption csek_encryption;
  csek_encryption.customer_supplied_encryption_enforcement_config
      .restriction_mode = "FullyRestricted";
  std::cout << "Bucket "
            << create_bucket("rc-" + bucket_name, csek_encryption)->name()
            << " created with a policy to restrict CSEK.\n";
}

C#

Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage de C#.

Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para bibliotecas cliente.


using Google.Apis.Storage.v1.Data;
using Google.Cloud.Storage.V1;
using System;

public class BucketSetEncryptionEnforcementConfigSample
{
    /// <summary>
    /// Set the encryption enforcement configuration for a bucket.
    /// </summary>
    /// <param name="bucketName">The name of the bucket.</param>
    /// <param name="kmsKeyName">
    /// The full resource name of the Cloud KMS key (CMEK). 
    /// Required if <paramref name="enforceCmek"/> is true.
    /// </param>
    /// <param name="enforceCmek">If true, enforces Customer-Managed Encryption Key.</param>
    /// <param name="enforceGmek">If true, enforces Google-Managed Encryption Key.</param>
    /// <param name="enforceCsek">If true, enforces Customer-Supplied Encryption Key.</param>
    public Bucket.EncryptionData SetBucketEncryptionEnforcementConfig(
        string bucketName = "your-unique-bucket-name",
        string kmsKeyName = null,
        bool enforceCmek = false,
        bool enforceGmek = false,
        bool enforceCsek = false)
    {
        var storage = StorageClient.Create();
        var bucket = storage.GetBucket(bucketName);

        if (bucket.Encryption == null)
        {
            bucket.Encryption = new Bucket.EncryptionData();
        }

        if (!string.IsNullOrEmpty(kmsKeyName))
        {
            bucket.Encryption.DefaultKmsKeyName = kmsKeyName;
            Console.WriteLine($"Default Key Set: {kmsKeyName}");
        }
        else
        {
            bucket.Encryption.DefaultKmsKeyName = null;
            Console.WriteLine("Default Key Set: None");
        }

        string cmek = (enforceGmek || enforceCsek) ? "FullyRestricted" : "NotRestricted";
        string gmek = (enforceCmek || enforceCsek) ? "FullyRestricted" : "NotRestricted";
        string csek = (enforceCmek || enforceGmek) ? "FullyRestricted" : "NotRestricted";

        string message = enforceCmek ? "CMEK-only enforcement policy"
            : enforceGmek ? "GMEK-only enforcement policy"
            : enforceCsek ? "CSEK-only enforcement policy"
            : "no encryption enforcement policy";

        bucket.Encryption.CustomerManagedEncryptionEnforcementConfig = new Bucket.EncryptionData.CustomerManagedEncryptionEnforcementConfigData { RestrictionMode = cmek };
        bucket.Encryption.CustomerSuppliedEncryptionEnforcementConfig = new Bucket.EncryptionData.CustomerSuppliedEncryptionEnforcementConfigData { RestrictionMode = csek };
        bucket.Encryption.GoogleManagedEncryptionEnforcementConfig = new Bucket.EncryptionData.GoogleManagedEncryptionEnforcementConfigData { RestrictionMode = gmek };

        if (message != null)
        {
            Console.WriteLine($"Bucket {bucketName} updated with {message}");
        }

        var updatedBucket = storage.UpdateBucket(bucket);
        return updatedBucket.Encryption;
    }
}

Go

Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage de Go.

Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para bibliotecas cliente.

import (
	"context"
	"fmt"
	"io"
	"time"

	"cloud.google.com/go/storage"
)

// setBucketEncryptionEnforcementConfig sets a bucket's encryption enforcement configuration.
func setBucketEncryptionEnforcementConfig(w io.Writer, projectID, bucketName string) error {
	// projectID := "my-project-id"
	// bucketName := "bucket-name"
	ctx := context.Background()
	client, err := storage.NewClient(ctx)
	if err != nil {
		return fmt.Errorf("storage.NewClient: %w", err)
	}
	defer client.Close()

	ctx, cancel := context.WithTimeout(ctx, time.Second*30)
	defer cancel()

	bucket := client.Bucket(bucketName)
	if err := bucket.Create(ctx, projectID, &storage.BucketAttrs{
		GoogleManagedEncryptionEnforcementConfig: &storage.EncryptionEnforcementConfig{
			RestrictionMode: storage.FullyRestricted,
		},
		CustomerManagedEncryptionEnforcementConfig: &storage.EncryptionEnforcementConfig{
			RestrictionMode: storage.NotRestricted,
		},
		CustomerSuppliedEncryptionEnforcementConfig: &storage.EncryptionEnforcementConfig{
			RestrictionMode: storage.FullyRestricted,
		},
	}); err != nil {
		return fmt.Errorf("Bucket(%q).Create: %w", bucketName, err)
	}
	fmt.Fprintf(w, "Bucket %v encryption enforcement policies set.\n", bucketName)
	return nil
}

Java

Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage de Java.

Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para bibliotecas cliente.


import com.google.cloud.storage.Bucket;
import com.google.cloud.storage.BucketInfo;
import com.google.cloud.storage.BucketInfo.CustomerManagedEncryptionEnforcementConfig;
import com.google.cloud.storage.BucketInfo.CustomerSuppliedEncryptionEnforcementConfig;
import com.google.cloud.storage.BucketInfo.EncryptionEnforcementRestrictionMode;
import com.google.cloud.storage.BucketInfo.GoogleManagedEncryptionEnforcementConfig;
import com.google.cloud.storage.Storage;
import com.google.cloud.storage.StorageOptions;

public class SetBucketEncryptionEnforcementConfig {
  public static void setBucketEncryptionEnforcementConfig(String projectId, String bucketName)
      throws Exception {
    // The ID of your GCP project
    // String projectId = "your-project-id";

    // The ID of your GCS bucket
    // String bucketName = "your-unique-bucket-name";

    try (Storage storage =
        StorageOptions.newBuilder().setProjectId(projectId).build().getService()) {

      // Example 1: Enforce GMEK Only
      setGmekEnforcedPolicy(storage, "g-" + bucketName);

      // Example 2: Enforce CMEK Only
      setCmekEnforcedPolicy(storage, "c-" + bucketName);

      // Example 3: Restrict CSEK (Ransomware Protection)
      restrictCsekPolicy(storage, "rc-" + bucketName);
    }
  }

  public static void setGmekEnforcedPolicy(Storage storage, String bucketName) {
    GoogleManagedEncryptionEnforcementConfig gmekConfig =
        GoogleManagedEncryptionEnforcementConfig.of(
            EncryptionEnforcementRestrictionMode.NOT_RESTRICTED);
    CustomerManagedEncryptionEnforcementConfig cmekConfig =
        CustomerManagedEncryptionEnforcementConfig.of(
            EncryptionEnforcementRestrictionMode.FULLY_RESTRICTED);
    CustomerSuppliedEncryptionEnforcementConfig csekConfig =
        CustomerSuppliedEncryptionEnforcementConfig.of(
            EncryptionEnforcementRestrictionMode.FULLY_RESTRICTED);

    BucketInfo bucketInfo =
        BucketInfo.newBuilder(bucketName)
            .setGoogleManagedEncryptionEnforcementConfig(gmekConfig)
            .setCustomerManagedEncryptionEnforcementConfig(cmekConfig)
            .setCustomerSuppliedEncryptionEnforcementConfig(csekConfig)
            .build();

    Bucket bucket = storage.create(bucketInfo);
    System.out.println(
        "Bucket " + bucket.getName() + " created with GMEK-only enforcement policy.");
  }

  public static void setCmekEnforcedPolicy(Storage storage, String bucketName) {
    GoogleManagedEncryptionEnforcementConfig gmekConfig =
        GoogleManagedEncryptionEnforcementConfig.of(
            EncryptionEnforcementRestrictionMode.FULLY_RESTRICTED);
    CustomerManagedEncryptionEnforcementConfig cmekConfig =
        CustomerManagedEncryptionEnforcementConfig.of(
            EncryptionEnforcementRestrictionMode.NOT_RESTRICTED);
    CustomerSuppliedEncryptionEnforcementConfig csekConfig =
        CustomerSuppliedEncryptionEnforcementConfig.of(
            EncryptionEnforcementRestrictionMode.FULLY_RESTRICTED);

    BucketInfo bucketInfo =
        BucketInfo.newBuilder(bucketName)
            .setGoogleManagedEncryptionEnforcementConfig(gmekConfig)
            .setCustomerManagedEncryptionEnforcementConfig(cmekConfig)
            .setCustomerSuppliedEncryptionEnforcementConfig(csekConfig)
            .build();

    Bucket bucket = storage.create(bucketInfo);
    System.out.println(
        "Bucket " + bucket.getName() + " created with CMEK-only enforcement policy.");
  }

  public static void restrictCsekPolicy(Storage storage, String bucketName) {
    CustomerSuppliedEncryptionEnforcementConfig csekConfig =
        CustomerSuppliedEncryptionEnforcementConfig.of(
            EncryptionEnforcementRestrictionMode.FULLY_RESTRICTED);

    BucketInfo bucketInfo =
        BucketInfo.newBuilder(bucketName)
            .setCustomerSuppliedEncryptionEnforcementConfig(csekConfig)
            .build();

    Bucket bucket = storage.create(bucketInfo);
    System.out.println("Bucket " + bucket.getName() + " created with a policy to restrict CSEK.");
  }
}

Node.js

Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage de Node.js.

Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para bibliotecas cliente.

/**
 * TODO(developer): Uncomment the following lines before running the sample.
 */
// The ID of your GCS bucket
// const bucketName = 'your-unique-bucket-name';

// The name of the KMS key to be used as the default
// const defaultKmsKeyName = 'my-key';

// Imports the Google Cloud client library
const {Storage} = require('@google-cloud/storage');

// Creates a client
const storage = new Storage();

async function setBucketEncryptionEnforcementConfig() {
  const options = {
    encryption: {
      defaultKmsKeyName,
      googleManagedEncryptionEnforcementConfig: {
        restrictionMode: 'FullyRestricted',
      },
      customerSuppliedEncryptionEnforcementConfig: {
        restrictionMode: 'FullyRestricted',
      },
      customerManagedEncryptionEnforcementConfig: {
        restrictionMode: 'NotRestricted',
      },
    },
  };

  const [metadata] = await storage.bucket(bucketName).setMetadata(options);

  console.log(
    `Encryption enforcement configuration updated for bucket ${bucketName}.`
  );
  const enc = metadata.encryption;
  if (enc) {
    console.log(`Default KMS Key: ${enc.defaultKmsKeyName}`);

    const logEnforcement = (label, config) => {
      if (config) {
        console.log(`${label}:`);
        console.log(`  Mode: ${config.restrictionMode}`);
        console.log(`  Effective: ${config.effectiveTime}`);
      }
    };

    logEnforcement(
      'Google Managed (GMEK) Enforcement',
      enc.googleManagedEncryptionEnforcementConfig
    );
    logEnforcement(
      'Customer Managed (CMEK) Enforcement',
      enc.customerManagedEncryptionEnforcementConfig
    );
    logEnforcement(
      'Customer Supplied (CSEK) Enforcement',
      enc.customerSuppliedEncryptionEnforcementConfig
    );
  }
}

setBucketEncryptionEnforcementConfig().catch(console.error);

PHP

Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage de PHP.

Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para bibliotecas cliente.

use Google\Cloud\Storage\StorageClient;

/**
 * Creates a bucket with specific encryption enforcement (e.g., CMEK-only).
 *
 * @param string $bucketName The ID of your GCS bucket (e.g. "my-bucket").
 * @param string $kmsKeyName The name of the KMS key to be used as the default (e.g. "projects/my-project/...").
 */
function set_bucket_encryption_enforcement_config(string $bucketName, string $kmsKeyName): void
{
    $storage = new StorageClient();
    $bucket = $storage->bucket($bucketName);

    // This configuration enforces that all objects uploaded to the bucket
    // must use Customer Managed Encryption Keys (CMEK).
    $options = [
        'encryption' => [
            'defaultKmsKeyName' => $kmsKeyName,
            'googleManagedEncryptionEnforcementConfig' => [
                'restrictionMode' => 'FullyRestricted',
            ],
            'customerSuppliedEncryptionEnforcementConfig' => [
                'restrictionMode' => 'FullyRestricted',
            ],
            'customerManagedEncryptionEnforcementConfig' => [
                'restrictionMode' => 'NotRestricted',
            ],
        ],
    ];
    $storage->createBucket($bucketName, $options);

    printf('Bucket %s created with encryption enforcement configuration.' . PHP_EOL, $bucketName);
}

Python

Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage de Python.

Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para bibliotecas cliente.

from google.cloud import storage
from google.cloud.storage.bucket import EncryptionEnforcementConfig


def set_bucket_encryption_enforcement_config(bucket_name):
    """Creates a bucket with encryption enforcement configuration."""
    # The ID of your GCS bucket
    # bucket_name = "your-unique-bucket-name"

    storage_client = storage.Client()
    bucket = storage_client.bucket(bucket_name)

    # Setting restriction_mode to "FullyRestricted" for Google-managed encryption (GMEK)
    # means objects cannot be created using the default Google-managed keys.
    bucket.encryption.google_managed_encryption_enforcement_config = (
        EncryptionEnforcementConfig(restriction_mode="FullyRestricted")
    )

    # Setting restriction_mode to "NotRestricted" for Customer-managed encryption (CMEK)
    # ensures that objects ARE permitted to be created using Cloud KMS keys.
    bucket.encryption.customer_managed_encryption_enforcement_config = (
        EncryptionEnforcementConfig(restriction_mode="NotRestricted")
    )

    # Setting restriction_mode to "FullyRestricted" for Customer-supplied encryption (CSEK)
    # prevents objects from being created using raw, client-side provided keys.
    bucket.encryption.customer_supplied_encryption_enforcement_config = (
        EncryptionEnforcementConfig(restriction_mode="FullyRestricted")
    )

    bucket.create()

    print(f"Created bucket {bucket.name} with Encryption Enforcement Config.")

Ruby

Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage de Ruby.

Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para bibliotecas cliente.

def set_bucket_encryption_enforcement_config bucket_name:
  # The ID to give your GCS bucket
  # bucket_name = "your-unique-bucket-name"

  require "google/cloud/storage"

  storage = Google::Cloud::Storage.new

  customer_managed_config = { restriction_mode: "NotRestricted" }
  customer_supplied_config = { restriction_mode: "FullyRestricted" }
  google_managed_config = { restriction_mode: "FullyRestricted" }

  bucket = storage.create_bucket bucket_name do |b|
    b.customer_managed_encryption_enforcement_config = customer_managed_config
    b.customer_supplied_encryption_enforcement_config = customer_supplied_config
    b.google_managed_encryption_enforcement_config = google_managed_config
  end
  puts "Created bucket #{bucket.name} with Encryption Enforcement Config."
end

API de REST

API de JSON

Tener la gcloud CLI instalada e inicializada , lo que te permite generar un token de acceso para el encabezado Authorization.

Crea un archivo JSON que contenga la configuración del bucket. Si deseas obtener una lista completa de los parámetros de configuración, consulta la documentación de Buckets: Insert. Los siguientes parámetros de configuración solo definen el nombre del bucket y la encriptación:
```
{
  "name": "BUCKET_NAME",
  "encryption": {
    "googleManagedEncryptionEnforcementConfig": {
      "restrictionMode": "STANDARD_ENCRYPTION_RESTRICTION_MODE"
    },
    "customerManagedEncryptionEnforcementConfig": {
      "restrictionMode": "CMEK_RESTRICTION_MODE"
    },
    "customerSuppliedEncryptionEnforcementConfig": {
      "restrictionMode": "CSEK_RESTRICTION_MODE"
    }
  }
}
```
Reemplaza lo siguiente:
- BUCKET_NAME: Es el nombre del bucket.
- STANDARD_ENCRYPTION_RESTRICTION_MODE: Indica si se permite la encriptación con la encriptación estándar (encriptación predeterminada de Google) cuando se crean objetos en este bucket. Se admiten los siguientes valores:
  - NotRestricted: Los objetos nuevos pueden usar la encriptación estándar.
  - FullyRestricted: Los objetos nuevos no pueden usar la encriptación estándar.
- CMEK_RESTRICTION_MODE: Indica si se permite la encriptación con CMEK cuando se crean objetos en este bucket. Se admiten los siguientes valores:
  - NotRestricted: Los objetos nuevos pueden usar CMEK.
  - FullyRestricted: Los objetos nuevos no pueden usar CMEK.
- CSEK_RESTRICTION_MODE: Indica si se permite la encriptación con claves de encriptación proporcionadas por el cliente cuando se crean objetos en este bucket. Se admiten los siguientes valores:
  - NotRestricted: Los objetos nuevos pueden usar claves de encriptación proporcionadas por el cliente.
  - FullyRestricted: Los objetos nuevos no pueden usar claves de encriptación proporcionadas por el cliente.
Debes permitir al menos un tipo de encriptación. Si omites la configuración de aplicación para un tipo de encriptación específico, ese tipo de encriptación se permitirá de forma predeterminada.

Usa cURL para llamar a la API de JSON con una solicitud de bucket POST:

curl -X POST --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b?project=PROJECT_ID"

Reemplaza lo siguiente:

JSON_FILE_NAME: Es la ruta de acceso al archivo JSON que creaste en el paso anterior.
PROJECT_ID: Es el ID o el número del proyecto de tu bucket.

API de XML

Tener la gcloud CLI instalada e inicializada , lo que te permite generar un token de acceso para el encabezado Authorization.

Crea un archivo en formato XML que contenga la configuración del bucket. Para obtener una lista completa de la configuración, consulta la documentación de XML: Crea un bucket. La siguiente configuración solo define la aplicación de la encriptación:
```
<CreateBucketConfiguration>
  <EncryptionConfiguration>
    <GoogleManagedEncryptionEnforcement>
      <RestrictionMode>STANDARD_ENCRYPTION_RESTRICTION_MODE</RestrictionMode>
    </GoogleManagedEncryptionEnforcement>
    <CustomerManagedEncryptionEnforcement>
      <RestrictionMode>CMEK_RESTRICTION_MODE</RestrictionMode>
    </CustomerManagedEncryptionEnforcement>
    <CustomerSuppliedEncryptionEnforcement>
      <RestrictionMode>CSEK_RESTRICTION_MODE</RestrictionMode>
    </CustomerSuppliedEncryptionEnforcement>
  </EncryptionConfiguration>
</CreateBucketConfiguration>
```
Reemplaza lo siguiente:
- STANDARD_ENCRYPTION_RESTRICTION_MODE: Indica si se permite la encriptación con la encriptación estándar (encriptación predeterminada de Google) cuando se crean objetos en este bucket. Se admiten los siguientes valores:
  - NotRestricted: Los objetos nuevos pueden usar la encriptación estándar.
  - FullyRestricted: Los objetos nuevos no pueden usar la encriptación estándar.
- CMEK_RESTRICTION_MODE: Indica si se permite la encriptación con CMEK cuando se crean objetos en este bucket. Se admiten los siguientes valores:
  - NotRestricted: Los objetos nuevos pueden usar CMEK.
  - FullyRestricted: Los objetos nuevos no pueden usar CMEK.
- CSEK_RESTRICTION_MODE: Indica si se permite la encriptación con claves de encriptación proporcionadas por el cliente cuando se crean objetos en este bucket. Se admiten los siguientes valores:
  - NotRestricted: Los objetos nuevos pueden usar claves de encriptación proporcionadas por el cliente.
  - FullyRestricted: Los objetos nuevos no pueden usar claves de encriptación proporcionadas por el cliente.
Debes permitir al menos un tipo de encriptación. Si omites la configuración de aplicación para un tipo de encriptación específico, ese tipo de encriptación se permitirá de forma predeterminada.
Usa cURL para llamar a la API de XML con una solicitud de bucket PUT:
```
curl -X PUT --data-binary @XML_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "x-goog-project-id: PROJECT_ID" \
  "https://storage.googleapis.com/BUCKET_NAME"
```
Reemplaza lo siguiente:
- XML_FILE_NAME: Es la ruta de acceso al archivo en formato XML que creaste en el paso anterior.
- PROJECT_ID: Es el ID o el número del proyecto de tu bucket.
- BUCKET_NAME: el nombre del bucket.

Actualiza los tipos de encriptación permitidos para un bucket

Para actualizar los métodos de encriptación permitidos para los objetos nuevos en un bucket existente, completa los siguientes pasos.

Si el bucket tiene establecida una clave de KMS predeterminada, no puedes restringir las claves de encriptación proporcionadas por el cliente y las CMEK, ya que eso impediría que se creen objetos nuevos. Permite las CMEK o las CSEK en ese bucket, o quita la clave de Cloud KMS predeterminada del bucket.

Console

En la consola de Google Cloud , ve a la página Buckets de Cloud Storage.

Ir a Buckets
En la lista de buckets, haz clic en el nombre del bucket.
Haz clic en la pestaña Configuración.
En la sección Protección, haz clic en Editar encriptación.
En la sección Reglas de aplicación de encriptación, en Tipos de claves, selecciona los tipos de encriptación que se permitirán o restringirán para los objetos nuevos en el bucket.
Haz clic en Guardar.

gcloud

Crea un archivo JSON que contenga la siguiente información:
```
{
  "gmekEnforcement": {"restrictionMode": "STANDARD_ENCRYPTION_RESTRICTION_MODE"},
  "cmekEnforcement": {"restrictionMode": "CMEK_RESTRICTION_MODE"},
  "csekEnforcement": {"restrictionMode": "CSEK_RESTRICTION_MODE"}
}
```
Reemplaza lo siguiente:
- STANDARD_ENCRYPTION_RESTRICTION_MODE: Indica si se permite la encriptación con la encriptación estándar (encriptación predeterminada de Google) cuando se crean objetos en este bucket. Se admiten los siguientes valores:
  - NotRestricted: Los objetos nuevos pueden usar la encriptación estándar.
  - FullyRestricted: Los objetos nuevos no pueden usar la encriptación estándar.
- CMEK_RESTRICTION_MODE: Indica si se permite la encriptación con CMEK cuando se crean objetos en este bucket. Se admiten los siguientes valores:
  - NotRestricted: Los objetos nuevos pueden usar CMEK.
  - FullyRestricted: Los objetos nuevos no pueden usar CMEK.
- CSEK_RESTRICTION_MODE: Indica si se permite la encriptación con claves de encriptación proporcionadas por el cliente cuando se crean objetos en este bucket. Se admiten los siguientes valores:
  - NotRestricted: Los objetos nuevos pueden usar claves de encriptación proporcionadas por el cliente.
  - FullyRestricted: Los objetos nuevos no pueden usar claves de encriptación proporcionadas por el cliente.
Debes permitir al menos un tipo de encriptación. Si omites un tipo de encriptación, se conservará la configuración existente.
Usa el comando gcloud storage buckets update con la marca --encryption-enforcement-file:
```
gcloud storage buckets update gs://BUCKET_NAME \
  --encryption-enforcement-file=ENCRYPTION_ENFORCEMENT_FILE
```
Reemplaza lo siguiente:
- BUCKET_NAME: el nombre del bucket.
- ENCRYPTION_ENFORCEMENT_FILE: Es la ruta de acceso al archivo JSON que creaste en el paso anterior.
La configuración actualizada puede tardar hasta dos minutos en aplicarse.

Bibliotecas cliente

C++

Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage C++.

Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para bibliotecas cliente.

namespace gcs = ::google::cloud::storage;
using ::google::cloud::StatusOr;
[](gcs::Client client, std::string const& bucket_name) {
  StatusOr<gcs::BucketMetadata> original =
      client.GetBucketMetadata(bucket_name);

  gcs::BucketMetadata updated_metadata = *original;
  gcs::BucketEncryption encryption;
  if (original->has_encryption()) {
    encryption = original->encryption();
  }

  // 1. Update a specific type (e.g., change GMEK to FullyRestricted)
  encryption.google_managed_encryption_enforcement_config.restriction_mode =
      "FullyRestricted";
  // 2. Remove a specific type (e.g., remove CMEK enforcement)
  encryption.customer_managed_encryption_enforcement_config.restriction_mode =
      "NotRestricted";
  // For the update, need to specify all three configs, so keeping this same
  // as before
  encryption.customer_supplied_encryption_enforcement_config
      .restriction_mode = "FullyRestricted";

  updated_metadata.set_encryption(encryption);

  StatusOr<gcs::BucketMetadata> updated =
      client.PatchBucket(bucket_name, *original, updated_metadata);
  if (!updated) throw std::move(updated).status();

  std::cout << "Encryption enforcement policy updated for bucket "
            << updated->name() << "\n"
            << "GMEK is now fully restricted, and CMEK enforcement has been "
               "removed.\n";
}

C#

Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage de C#.

Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para bibliotecas cliente.


using Google.Apis.Storage.v1.Data;
using Google.Cloud.Storage.V1;
using System;

public class BucketUpdateEncryptionEnforcementConfigSample
{
    /// <summary>
    /// Updates the encryption enforcement configuration of the bucket.
    /// </summary>
    /// <param name="bucketName">The name of the bucket.</param>
    /// <param name="encryptionData">The encryption configuration for the bucket.</param>
    public Bucket.EncryptionData BucketUpdateEncryptionEnforcementConfig(string bucketName = "your-unique-bucket-name", Bucket.EncryptionData encryptionData = null)
    {
        var storage = StorageClient.Create();
        var bucket = storage.GetBucket(bucketName);

        if (bucket.Encryption is null
            || (bucket.Encryption.CustomerManagedEncryptionEnforcementConfig is null
                && bucket.Encryption.CustomerSuppliedEncryptionEnforcementConfig is null
                && bucket.Encryption.GoogleManagedEncryptionEnforcementConfig is null))
        {
            Console.WriteLine($"No Encryption Enforcement Configuration found for bucket {bucketName}");
            return bucket.Encryption;
        }

        bucket.Encryption = encryptionData;
        bucket = storage.UpdateBucket(bucket);
        Console.WriteLine($"The Encryption Enforcement Configuration has been updated for the bucket {bucketName}");
        return bucket.Encryption;
    }
}

Go

Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage de Go.

Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para bibliotecas cliente.

import (
	"context"
	"fmt"
	"io"
	"time"

	"cloud.google.com/go/storage"
)

// updateBucketEncryptionEnforcementConfig updates a bucket's encryption enforcement configuration.
func updateBucketEncryptionEnforcementConfig(w io.Writer, bucketName string) error {
	// bucketName := "bucket-name"
	ctx := context.Background()
	client, err := storage.NewClient(ctx)
	if err != nil {
		return fmt.Errorf("storage.NewClient: %w", err)
	}
	defer client.Close()

	ctx, cancel := context.WithTimeout(ctx, time.Second*30)
	defer cancel()

	bucket := client.Bucket(bucketName)
	if _, err := bucket.Update(ctx, storage.BucketAttrsToUpdate{
		GoogleManagedEncryptionEnforcementConfig: &storage.EncryptionEnforcementConfig{
			RestrictionMode: storage.NotRestricted,
		},
		CustomerManagedEncryptionEnforcementConfig: &storage.EncryptionEnforcementConfig{
			RestrictionMode: storage.FullyRestricted,
		},
		CustomerSuppliedEncryptionEnforcementConfig: &storage.EncryptionEnforcementConfig{
			RestrictionMode: storage.FullyRestricted,
		},
	}); err != nil {
		return fmt.Errorf("Bucket(%q).Update: %w", bucketName, err)
	}
	fmt.Fprintf(w, "Bucket %v encryption enforcement policies updated.\n", bucketName)
	return nil
}

Java

Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage de Java.

Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para bibliotecas cliente.


import com.google.cloud.storage.Bucket;
import com.google.cloud.storage.BucketInfo.CustomerManagedEncryptionEnforcementConfig;
import com.google.cloud.storage.BucketInfo.CustomerSuppliedEncryptionEnforcementConfig;
import com.google.cloud.storage.BucketInfo.EncryptionEnforcementRestrictionMode;
import com.google.cloud.storage.BucketInfo.GoogleManagedEncryptionEnforcementConfig;
import com.google.cloud.storage.Storage;
import com.google.cloud.storage.StorageOptions;

public class UpdateBucketEncryptionEnforcementConfig {
  public static void updateBucketEncryptionEnforcementConfig(String projectId, String bucketName)
      throws Exception {
    // The ID of your GCP project
    // String projectId = "your-project-id";

    // The ID of your GCS bucket with CMEK and CSEK restricted
    // String bucketName = "your-unique-bucket-name";

    try (Storage storage =
        StorageOptions.newBuilder().setProjectId(projectId).build().getService()) {

      Bucket bucket = storage.get(bucketName);
      if (bucket == null) {
        System.out.println("Bucket " + bucketName + " not found.");
        return;
      }

      // 1. Update a specific type (e.g., change GMEK to FULLY_RESTRICTED)
      GoogleManagedEncryptionEnforcementConfig newGmekConfig =
          GoogleManagedEncryptionEnforcementConfig.of(
              EncryptionEnforcementRestrictionMode.FULLY_RESTRICTED);

      // 2. Remove a specific type (e.g., remove CMEK enforcement)
      CustomerManagedEncryptionEnforcementConfig newCmekConfig =
          CustomerManagedEncryptionEnforcementConfig.of(
              EncryptionEnforcementRestrictionMode.NOT_RESTRICTED);

      // For the update, need to specify all three configs, so keeping this same as before
      CustomerSuppliedEncryptionEnforcementConfig sameCsekConfig =
          CustomerSuppliedEncryptionEnforcementConfig.of(
              EncryptionEnforcementRestrictionMode.FULLY_RESTRICTED);

      bucket.toBuilder()
          .setGoogleManagedEncryptionEnforcementConfig(newGmekConfig)
          .setCustomerManagedEncryptionEnforcementConfig(newCmekConfig)
          .setCustomerSuppliedEncryptionEnforcementConfig(sameCsekConfig)
          .build()
          .update();

      System.out.println("Encryption enforcement policy updated for bucket " + bucketName);
      System.out.println("GMEK is now fully restricted, and CMEK enforcement has been removed.");
    }
  }
}

Node.js

Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage de Node.js.

Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para bibliotecas cliente.

/**
 * TODO(developer): Uncomment the following lines before running the sample.
 */
// The ID of your GCS bucket
// const bucketName = 'your-unique-bucket-name';

// Imports the Google Cloud client library
const {Storage} = require('@google-cloud/storage');

// Creates a client
const storage = new Storage();

async function updateBucketEncryptionEnforcementConfig() {
  const bucket = storage.bucket(bucketName);

  // Update a specific encryption type's restriction mode
  // This partial update preserves other existing encryption settings.
  const updateOptions = {
    encryption: {
      googleManagedEncryptionEnforcementConfig: {
        restrictionMode: 'FullyRestricted',
      },
    },
  };

  await bucket.setMetadata(updateOptions);
  console.log(
    `Google-managed encryption enforcement set to FullyRestricted for ${bucketName}.`
  );

  // Remove all encryption enforcement configurations altogether
  // Setting these values to null removes the policies from the bucket metadata.
  const clearOptions = {
    encryption: {
      defaultKmsKeyName: null,
      googleManagedEncryptionEnforcementConfig: null,
      customerSuppliedEncryptionEnforcementConfig: null,
      customerManagedEncryptionEnforcementConfig: null,
    },
  };

  await bucket.setMetadata(clearOptions);
  console.log(
    `All encryption enforcement configurations removed from bucket ${bucketName}.`
  );
}

updateBucketEncryptionEnforcementConfig().catch(console.error);

PHP

Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage de PHP.

Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para bibliotecas cliente.

use Google\Cloud\Storage\StorageClient;

/**
 * Updates or removes encryption enforcement configurations from a bucket.
 *
 * @param string $bucketName The ID of your GCS bucket (e.g. "my-bucket").
 */
function update_bucket_encryption_enforcement_config(string $bucketName): void
{
    $storage = new StorageClient();
    $bucket = $storage->bucket($bucketName);

    // Update a specific encryption type's restriction mode
    // This partial update preserves other existing encryption settings.
    $updateOptions = [
        'encryption' => [
            'googleManagedEncryptionEnforcementConfig' => [
                'restrictionMode' => 'FullyRestricted'
            ]
        ]
    ];
    $bucket->update($updateOptions);
    printf('Google-managed encryption enforcement set to FullyRestricted for %s.' . PHP_EOL, $bucketName);

    // Remove all encryption enforcement configurations altogether
    // Setting these values to null removes the policies from the bucket metadata.
    $clearOptions = [
        'encryption' => [
            'defaultKmsKeyName' => null,
            'googleManagedEncryptionEnforcementConfig' => null,
            'customerSuppliedEncryptionEnforcementConfig' => null,
            'customerManagedEncryptionEnforcementConfig' => null,
        ],
    ];

    $bucket->update($clearOptions);
    printf('All encryption enforcement configurations removed from bucket %s.' . PHP_EOL, $bucketName);
}

Python

Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage de Python.

Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para bibliotecas cliente.

from google.cloud import storage
from google.cloud.storage.bucket import EncryptionEnforcementConfig


def update_bucket_encryption_enforcement_config(bucket_name):
    """Updates the encryption enforcement policy for a bucket."""
    # The ID of your GCS bucket with GMEK and CSEK restricted
    # bucket_name = "your-unique-bucket-name"

    storage_client = storage.Client()
    bucket = storage_client.get_bucket(bucket_name)

    # Update a specific type (e.g., change GMEK to NotRestricted)
    bucket.encryption.google_managed_encryption_enforcement_config = (
        EncryptionEnforcementConfig(restriction_mode="NotRestricted")
    )

    # Update another type (e.g., change CMEK to FullyRestricted)
    bucket.encryption.customer_managed_encryption_enforcement_config = (
        EncryptionEnforcementConfig(restriction_mode="FullyRestricted")
    )

    # Keeping CSEK unchanged
    bucket.encryption.customer_supplied_encryption_enforcement_config = (
        EncryptionEnforcementConfig(restriction_mode="FullyRestricted")
    )

    bucket.patch()

    print(f"Encryption enforcement policy updated for bucket {bucket.name}.")

    gmek = bucket.encryption.google_managed_encryption_enforcement_config
    cmek = bucket.encryption.customer_managed_encryption_enforcement_config
    csek = bucket.encryption.customer_supplied_encryption_enforcement_config

    print(f"GMEK restriction mode: {gmek.restriction_mode if gmek else 'None'}")
    print(f"CMEK restriction mode: {cmek.restriction_mode if cmek else 'None'}")
    print(f"CSEK restriction mode: {csek.restriction_mode if csek else 'None'}")

Ruby

Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage de Ruby.

Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para bibliotecas cliente.


def update_bucket_encryption_enforcement_config bucket_name:
  # The ID to give your GCS bucket
  # bucket_name = "your-unique-bucket-name"

  storage = Google::Cloud::Storage.new
  bucket = storage.bucket bucket_name
  # Update a specific type (e.g., change GMEK to NotRestricted)
  new_config =  { restriction_mode: "NotRestricted" }

  bucket.update do |b|
    b.google_managed_encryption_enforcement_config = new_config
  end
  puts "Updated google_managed_config to " \
       "#{bucket.google_managed_encryption_enforcement_config.restriction_mode} " \
       "for bucket #{bucket.name}."
end

API de REST

API de JSON

Tener la gcloud CLI instalada e inicializada , lo que te permite generar un token de acceso para el encabezado Authorization.

Crea un archivo JSON que contenga la siguiente información:

{
  "encryption": {
    "googleManagedEncryptionEnforcementConfig": {
      "restrictionMode": "STANDARD_ENCRYPTION_RESTRICTION_MODE"
    },
    "customerManagedEncryptionEnforcementConfig": {
      "restrictionMode": "CMEK_RESTRICTION_MODE"
    },
    "customerSuppliedEncryptionEnforcementConfig": {
      "restrictionMode": "CSEK_RESTRICTION_MODE"
    }
  }
}

Reemplaza lo siguiente:

STANDARD_ENCRYPTION_RESTRICTION_MODE: Indica si se permite la encriptación con la encriptación estándar (encriptación predeterminada de Google) cuando se crean objetos en este bucket. Se admiten los siguientes valores:
- NotRestricted: Los objetos nuevos pueden usar la encriptación estándar.
- FullyRestricted: Los objetos nuevos no pueden usar la encriptación estándar.
CMEK_RESTRICTION_MODE: Indica si se permite la encriptación con CMEK cuando se crean objetos en este bucket. Se admiten los siguientes valores:
- NotRestricted: Los objetos nuevos pueden usar CMEK.
- FullyRestricted: Los objetos nuevos no pueden usar CMEK.
CSEK_RESTRICTION_MODE: Indica si se permite la encriptación con claves de encriptación proporcionadas por el cliente cuando se crean objetos en este bucket. Se admiten los siguientes valores:
- NotRestricted: Los objetos nuevos pueden usar claves de encriptación proporcionadas por el cliente.
- FullyRestricted: Los objetos nuevos no pueden usar claves de encriptación proporcionadas por el cliente.

Debes permitir al menos un tipo de encriptación. Si omites un tipo de encriptación, se conservará la configuración existente.

Usa cURL para llamar a la API de JSON con una solicitud de PATCH bucket:
```
curl -X PATCH --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?fields=encryption"
```
Reemplaza lo siguiente:
- JSON_FILE_NAME: Es la ruta de acceso al archivo JSON que creaste en el paso anterior.
- BUCKET_NAME: el nombre del bucket.
La configuración actualizada puede tardar hasta dos minutos en aplicarse.

API de XML

Tener la gcloud CLI instalada e inicializada , lo que te permite generar un token de acceso para el encabezado Authorization.

Crea un archivo en formato XML que contenga la configuración de encriptación del bucket. Los siguientes parámetros de configuración solo definen la configuración de aplicación de la encriptación.

Precaución: El contenido del cuerpo de la solicitud reemplaza cualquier configuración existente, por lo que debes incluir todos los valores que desees aplicar. Para obtener una lista completa de los parámetros de configuración del encriptado, consulta los elementos del cuerpo de la solicitud de EncryptionConfiguration.
```
<EncryptionConfiguration>
  <GoogleManagedEncryptionEnforcement>
    <RestrictionMode>STANDARD_ENCRYPTION_RESTRICTION_MODE</RestrictionMode>
  </GoogleManagedEncryptionEnforcement>
  <CustomerManagedEncryptionEnforcement>
    <RestrictionMode>CMEK_RESTRICTION_MODE</RestrictionMode>
  </CustomerManagedEncryptionEnforcement>
  <CustomerSuppliedEncryptionEnforcement>
    <RestrictionMode>CSEK_RESTRICTION_MODE</RestrictionMode>
  </CustomerSuppliedEncryptionEnforcement>
</EncryptionConfiguration>
```
Reemplaza lo siguiente:
- STANDARD_ENCRYPTION_RESTRICTION_MODE: Indica si se permite la encriptación con la encriptación estándar (encriptación predeterminada de Google) cuando se crean objetos en este bucket. Se admiten los siguientes valores:
  - NotRestricted: Los objetos nuevos pueden usar la encriptación estándar.
  - FullyRestricted: Los objetos nuevos no pueden usar la encriptación estándar.
- CMEK_RESTRICTION_MODE: Indica si se permite la encriptación con CMEK cuando se crean objetos en este bucket. Se admiten los siguientes valores:
  - NotRestricted: Los objetos nuevos pueden usar CMEK.
  - FullyRestricted: Los objetos nuevos no pueden usar CMEK.
- CSEK_RESTRICTION_MODE: Indica si se permite la encriptación con claves de encriptación proporcionadas por el cliente cuando se crean objetos en este bucket. Se admiten los siguientes valores:
  - NotRestricted: Los objetos nuevos pueden usar claves de encriptación proporcionadas por el cliente.
  - FullyRestricted: Los objetos nuevos no pueden usar claves de encriptación proporcionadas por el cliente.
Debes permitir al menos un tipo de encriptación.
Usa cURL para llamar a la API de XML con una solicitud de bucket PUT con alcance ?encryptionConfig:
```
curl -X PUT --data-binary @XML_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  "https://storage.googleapis.com/BUCKET_NAME?encryptionConfig"
```
Reemplaza lo siguiente:
- XML_FILE_NAME: Es la ruta de acceso al archivo en formato XML que creaste en el paso anterior.
- BUCKET_NAME: el nombre del bucket.
La configuración actualizada puede tardar hasta dos minutos en aplicarse.

Visualiza la configuración de encriptación de un bucket

Para conocer los pasos para ver qué métodos de encriptación se permiten en un bucket, consulta Cómo obtener metadatos del bucket.

¿Qué sigue?

Configura una clave de Cloud KMS predeterminada en un bucket.
Obtén más información para usar restricciones personalizadas para aplicar tipos de encriptación.

Aplica o restringe los tipos de encriptación para un bucket Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Antes de comenzar

Permisos necesarios

Crea un bucket que aplique tipos de encriptación

Console

Configura la replicación entre buckets

gcloud

Bibliotecas cliente

C++

C#

Go

Java

Node.js

PHP

Python

Ruby

API de REST

API de JSON

API de XML

Actualiza los tipos de encriptación permitidos para un bucket

Console

gcloud

Bibliotecas cliente

C++

C#

Go

Java

Node.js

PHP

Python

Ruby

API de REST

API de JSON

API de XML

Visualiza la configuración de encriptación de un bucket

¿Qué sigue?

Aplica o restringe los tipos de encriptación para un bucket