Habilita las claves de encriptación administradas por el cliente para Secret Manager

En este tema, se analiza la compatibilidad con las claves de encriptación administradas por el cliente (CMEK) en Secret Manager.

Descripción general

Secret Manager proporciona herramientas para almacenar, administrar y acceder sensibles de datos en tus aplicaciones.

De forma predeterminada, los Secrets almacenados en Secret Manager se encriptan Encriptación predeterminada de Google. Con la encriptación predeterminada de Google, se que se encriptan con claves administradas por Google antes de que se escriban en el almacenamiento persistente sin necesidad de configuración.

Puedes personalizar la encriptación que usa Secret Manager para tus recursos proporcionando claves de encriptación de claves. Las claves de encriptación de claves no encriptan tus datos directamente, sino que encriptan Claves generadas por Google que se usan para encriptar tus datos. Puedes crear claves CMEK o puedes usar Autokey de Cloud KMS (Vista previa) para crearlas en tu nombre. Para para obtener más información, consulta la Descripción general de Autokey.

Para obtener más información sobre las opciones de encriptación en Google Cloud, consulta Encriptación en reposo predeterminada. Para información específica sobre CMEK, incluidas sus ventajas y limitaciones, consulta Claves de encriptación administradas por el cliente.

Cómo funcionan las CMEK en Secret Manager

Antes de escribir una versión de un Secret en el almacenamiento persistente de una ubicación particular, Secret Manager encripta los datos con una clave de encriptación de datos única (DEK). Luego, esta DEK se encripta con una clave específica de la réplica, denominada clave clave de encriptación (KEK) que es propiedad del servicio de Secret Manager.

Cuando se usa CMEK para Secret Manager, la KEK se denomina clave CMEK y se una clave simétrica que administras en Cloud KMS. La clave CMEK debe estar en en la misma ubicación de Google Cloud que la réplica de la versión del Secret que encripta. También puedes usar una clave de Cloud EKM en la política de CMEK para la encriptación y desencriptación.

En esta guía, se explica cómo configurar Secret Manager para usar CMEK. Para obtener más información sobre las CMEK en general, incluso cuándo y por qué habilitarlas, consulta la documentación de Cloud Key Management Service.

Limitaciones

CMEK está disponible solo en Secret Manager API de v1 y gcloud.

Antes de comenzar

Puedes almacenar todos los recursos en el mismo proyecto o almacenar Secrets y claves en proyectos separados. Lee Separación de Cloud KMS de para mejorar comprender esta decisión.

Completa los siguientes requisitos previos para configurar Secret Manager y Cloud KMS:

  • Secret Manager

    • Crea o usa un proyecto existente para conservar tu Secret Manager. de Google Cloud.
    • Si es necesario, completa los pasos de la Configura Secret Manager de la guía de inicio rápido de Secret Manager.
  • Cloud KMS:

Configura las siguientes variables en los IDs del proyecto de Secret Manager y proyectos de Cloud KMS.

This is an editable variable. Set it to your Secret Manager project ID and the
value will be used in all commands on this page.
SM_PROJECT_ID

This is an editable variable. Set it to your Cloud KMS project ID and the value
will be used in all commands on this page.
KMS_PROJECT_ID

Autentica en Google Cloud:

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud auth login

Creación manual o automática de claves

Puedes crear claves de Cloud KMS de forma manual o usar la clave automática de Cloud KMS (vista previa). Autokey simplifica la creación y la administración de claves de Cloud KMS mediante la automatización del aprovisionamiento y la asignación. Con Autokey, no necesitas aprovisionar la clave anillos, claves y cuentas de servicio con anticipación. sino que se generan demanda como parte de la creación de recursos de Secret Manager. Para ver más consulta la descripción general de Autokey. Para habilitar Autokey para Secret Manager, consulta Habilita Autokey. Para usar Autokey con tus Secrets, consulta Cómo usar Autokey con recursos de Secret Manager

Las instrucciones de esta página son para la creación y asignación manual de claves de Cloud KMS.

Crea una identidad de agente de servicio

Debes crear una identidad de agente de servicio para cada proyecto que requiere claves de encriptación administradas por el cliente.

Para crear una identidad de servicio con Google Cloud CLI, ejecuta el siguiente comando:

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud beta services identity create \
    --service "secretmanager.googleapis.com" \
    --project "SM_PROJECT_ID"

Esto mostrará un nombre de identidad de servicio en el siguiente formato:

service-PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com

Guarda el nombre de identidad del servicio:

The following variable is editable. Click on it to update the value, and it will
be reflected throughout this documentation page.

SM_SERVICE_IDENTITY

Otorgarás a esta identidad de servicio acceso a las claves de CMEK de Cloud KMS que se usan para encriptar y desencriptar tus Secrets.

CMEK con replicación automática

En esta sección, se describen los Secrets que se configuran mediante una replicación automática política de la empresa.

Para los Secrets que usan la política de replicación automática, tu clave CMEK debe estar ubicado en la multirregión global de Cloud KMS. Si utilizas un Cloud EKM, no puedes configurar tu Secret para que use actualizaciones la replicación porque las claves de Cloud EKM no están disponibles en global región. Para obtener más información sobre cómo usar las claves de Cloud EKM, consulta Agrega una clave de Cloud EKM a una política de CMEK.

Crea una clave simétrica de Cloud KMS en el servicio global de Cloud KMS región o usar una clave existente. En este ejemplo, se crea un llavero de claves nuevo llamado secret-manager-cmek y, luego, crea una clave nueva llamada my-cmek-key en él.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "global"
gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Otorga a la identidad del servicio acceso de Secret Manager para encriptar y desencriptar con la clave CMEK. Este comando otorga al encriptador de Cloud KMS / Desencriptador (roles/cloudkms.cryptoKeyEncrypterDecrypter) en el my-cmek-key de Cloud KMS para la identidad del servicio.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Crear un secreto con replicación automática El nombre del recurso de la clave CMEK es se almacenan como metadatos en el Secret.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud secrets create "SECRET_ID" \
    --replication-policy "automatic" \
    --kms-key-name "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key" \
    --project "SM_PROJECT_ID"

API

En estos ejemplos, se usa curl para demostrar el uso de la API. Puedes generar tokens de acceso con gcloud auth print-access-token. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

Establece el valor de replication.automatic.customerManagedEncryption.kmsKeyName en el nombre del recurso de la clave CMEK.

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets?secretId=SECRET_ID" \
    --request "POST" \
    --header "Content-Type: application/json" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --data-binary @- <<EOF
{
  "replication":{
    "automatic":{
      "customerManagedEncryption":{
        "kmsKeyName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
      }
    }
  }
}
EOF

Ahora, cada vez que se crea una versión del Secret en ese Secret, se encripta automáticamente con la clave antes de que se escriba almacenamiento persistente, siempre que la identidad del servicio tenga acceso a la clave CMEK. Si la identidad del servicio pierde el acceso o si la clave deja de estar disponible, se genera una si intentas crear una nueva versión del secreto o acceder a una existente, se mostrará .

Agrega una nueva versión del secreto. Ten en cuenta que no especificas el nombre del recurso de la clave; se lee desde los metadatos del Secret.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

echo -n "SECRET_DATA" | gcloud secrets versions add "SECRET_ID" \
    --project "SM_PROJECT_ID" \
    --data-file -

Se crea la versión del Secret, incluso si el emisor no tiene acceso directo a usa la clave CMEK. La identidad del servicio para Secret Manager, en lugar de el emisor, es responsable de encriptar y desencriptar los secretos durante la lectura o escribirlos.

Del mismo modo, no necesitas acceso directo a la clave CMEK para acceder Secret. La identidad del servicio accede a la clave y encripta o desencripta el secreto. por ti.

Accede a la versión del secreto que acabas de crear:

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud secrets versions access "latest" \
    --project "SM_PROJECT_ID" \
    --secret "SECRET_ID"

Actualizar configuración de CMEK

Crea nuevas claves simétricas de KMS en la multirregión global de Cloud KMS.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Otorga a la identidad del servicio acceso de Secret Manager para encriptar y desencriptar con la nueva clave CMEK. Este comando le otorga a Cloud KMS Rol de encriptador / desencriptador (roles/cloudkms.cryptoKeyEncrypterDecrypter) en el my-other-key de Cloud KMS para la identidad del servicio.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "global" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Para modificar la configuración de CMEK en un Secret, actualiza la replicación en el Secret con los nuevos nombres de los recursos de la clave de Cloud KMS.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud secrets replication update "SECRET_ID" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --project "SM_PROJECT_ID"

API

En estos ejemplos, se usa curl para demostrar el uso de la API. Puedes generar tokens de acceso con gcloud auth print-access-token. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/SECRET_ID?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication": {
    "automatic":{
      "customerManagedEncryption":{
        "kmsKeyName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
      }
    }
  }
}
EOF

CMEK con replicación administrada por el usuario

En esta sección, se abordan los secretos configurados con una replicación administrada por el usuario política de la empresa. Con una política de replicación administrada por el usuario, puedes controlar la ubicación de Google Cloud en la que se almacena el Secret. Los Secrets son siempre accesibles desde cada ubicación de Google Cloud.

Los Secrets con una política de replicación administrada por el usuario deben usar claves de Cloud KMS que se asignan con exactitud a las ubicaciones en las que se almacenan las versiones del Secret. El ejemplos de esta guía almacenan un secreto en dos ubicaciones distintas: us-east1, us- central1. Las solicitudes para acceder al secreto se enrutan a una de estas ubicaciones.

En cada una de las dos regiones, crea un llavero de claves y una clave de Cloud KMS con para fines de encriptación o usan una clave existente. En este ejemplo, se crea un nuevo el llavero de claves llamado "secret-manager-cmek" y, luego, crea una clave "my-cmek-key" en cada región.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1"
gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"
gcloud kms keyrings create "secret-manager-cmek" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1"
gcloud kms keys create "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Otorga a la identidad del servicio el permiso de Secret Manager para encriptar y desencriptar con la clave CMEK otorgando el rol del encriptador Rol desencriptador (roles/cloudkms.cryptoKeyEncrypterDecrypter) para cada uno de los CMEK de forma individual o para todas las claves del proyecto.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"
gcloud kms keys add-iam-policy-binding "my-cmek-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Crea un Secret con CMEK habilitadas y una replicación administrada por el usuario. El nombre del recurso de se almacena como metadatos en el Secret.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

cat <<EOF > ./replication-policy.json
{
  "userManaged":{
    "replicas":[
      {
        "location":"us-east1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
        }
      },
      {
        "location":"us-central1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
        }
      }
    ]
  }
}
EOF
gcloud secrets create "my-ummr-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

API

En estos ejemplos, se usa curl para demostrar el uso de la API. Puedes generar tokens de acceso con gcloud auth print-access-token. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

Establece el valor de replication.userManaged.replicas.customerManagedEncryption.kmsKeyName al los nombres de los recursos de las claves CMEK.

curl "https://secretmanager.googleapis.com/v1/projects/SM_PROJECT_ID/secrets?secretId=my-ummr-secret" \
--request "POST" \
--header "Content-Type: application/json" \
--header "Authorization: Bearer ACCESS_TOKEN" \
--data-binary @- <<EOF
{
  "replication":{
    "userManaged":{
      "replicas":[
        {
          "location":"us-east1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
          }
        },
        {
          "location":"us-central1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
          }
        }
      ]
    }
  }
}
EOF

Ahora, cada vez que se crea una versión del Secret en ese Secret, se encripta automáticamente con la clave antes de que se escriba almacenamiento persistente, siempre que la identidad del servicio tenga acceso a la clave CMEK. Si la identidad del servicio pierde el acceso o si la clave deja de estar disponible, se genera una si intentas crear una nueva versión del secreto o acceder a una existente, se mostrará .

Agrega una nueva versión del secreto. Ten en cuenta que no especificas el nombre del recurso de la clave; se lee desde los metadatos del Secret.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

echo -n "SECRET_DATA" | gcloud secrets versions add "my-ummr-secret" \
    --project "SM_PROJECT_ID" \
    --data-file -

Se crea la versión del Secret, incluso si el emisor no tiene acceso directo a usa la clave CMEK. La identidad del servicio para Secret Manager, en lugar de el emisor, es responsable de encriptar y desencriptar los secretos durante la lectura o escribirlos.

Del mismo modo, no necesitas acceso directo a la clave CMEK para acceder Secret. La identidad del servicio accede a la clave y encripta o desencripta el secreto. por ti.

Accede a la versión del Secret que acabas de crear.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud secrets versions access "latest" \
    --project "SM_PROJECT_ID" \
    --secret "my-ummr-secret"

Actualizar configuración de CMEK

Crea dos claves simétricas de KMS nuevas en las mismas regiones que el secreto.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"
gcloud kms keys create "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --purpose "encryption"

Otorga a la identidad del servicio acceso de Secret Manager para encriptar y desencriptar con las nuevas claves CMEK. Este comando le otorga a Cloud KMS Rol de encriptador / desencriptador (roles/cloudkms.cryptoKeyEncrypterDecrypter) en el my-other-key claves de Cloud KMS para la identidad del servicio.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-east1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"
gcloud kms keys add-iam-policy-binding "my-other-key" \
    --project "KMS_PROJECT_ID" \
    --location "us-central1" \
    --keyring "secret-manager-cmek" \
    --member "serviceAccount:SM_SERVICE_IDENTITY" \
    --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Para modificar la configuración de CMEK en un Secret, actualiza la replicación en el Secret con los nuevos nombres de los recursos de la clave de Cloud KMS.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud secrets replication update "my-ummr-secret" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --location us-east1 \
    --project "SM_PROJECT_ID"
gcloud secrets replication update "my-ummr-secret" \
    --set-kms-key "projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key" \
    --location us-central1 \
    --project "SM_PROJECT_ID"

Para actualizar varias claves de un secreto simultáneamente, puedes obtener y configurar la política de replicación a través de un archivo.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud secrets replication get "my-ummr-secret" \
    --project "SM_PROJECT_ID" \
    --format=json > ./replication-policy.json

Actualiza el archivo para que refleje la configuración de CMEK deseada en tu entorno Editor. Luego, establece la política nueva:

gcloud secrets replication set "my-ummr-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

API

En estos ejemplos, se usa curl para demostrar el uso de la API. Puedes generar tokens de acceso con gcloud auth print-access-token. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/my-ummr-secret?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication":{
    "userManaged":{
      "replicas":[
        {
          "location":"us-east1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-east1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
          }
        },
        {
          "location":"us-central1",
          "customerManagedEncryption":{
            "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek/cryptoKeys/my-other-key"
          }
        }]
      }
    }
  }
EOF

Ver la configuración de CMEK de la versión del Secret

Para inspeccionar los metadatos de una versión del Secret, incluso si la versión Habilitada para CMEK y el nombre de recurso de la versión de clave de CMEK, consulta sus metadatos.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud secrets versions describe "latest" \
    --secret "SECRET_ID" \
    --project "SM_PROJECT_ID"

API

En estos ejemplos, se usa curl para demostrar el uso de la API. Puedes generar tokens de acceso con gcloud auth print-access-token. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

curl "https://secretmanager.googleapis.com/v1/projects/SM_PROJECT_ID/secrets/SECRET_ID/versions/latest" \
    --request "GET" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json"

Esto muestra el nombre completo del recurso de Cloud KMS de la versión de clave que se usó para encriptar la versión del secreto.

{
  "name": "projects/PROJECT_NUMBER/secrets/SECRET_ID/versions/1",
  "createTime": "2021-07-...",
  "state": "ENABLED",
  "replicationStatus": {
    "automatic": {
      "customerManagedEncryption": {
        "kmsKeyVersionName": "projects/KMS_PROJECT_ID/locations/global/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key/cryptoKeyVersions/1"
      }
    }
  }
}

Agrega una clave de Cloud EKM a una política de CMEK

En esta sección, se explica cómo agregar una clave de Cloud EKM a una política de CMEK. Estos permiten usar una clave de Cloud EKM para encriptar o desencriptar Secrets.

Dado que Cloud EKM no es compatible actualmente con la multirregión global, Las claves de Cloud EKM solo se pueden usar con Secrets configurados para replicación administrada.

Crea una clave simétrica en la región us-central1 de Cloud KMS (o cualquier excepto por global). En este ejemplo, se crea un llavero de claves nuevo llamado secret-manager-cmek-ekm y, luego, crea una clave nueva llamada my-ekm-key en la clave. de Google.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

Crea un llavero de claves nuevo:

gcloud kms keyrings create "secret-manager-cmek-ekm" \
  --project "KMS_PROJECT_ID" \
  --location "us-central1"

Crea una clave en ese llavero de claves:

gcloud kms keys create "my-ekm-key" \
  --keyring "secret-manager-cmek-ekm" \
  --location "us-central1" \
  --purpose "encryption" \
  --protection-level "external" \
  --skip-initial-version-creation \
  --default-algorithm "external-symmetric-encryption"

A continuación, crea una versión nueva de my-ekm-key con el URI externo de la clave. Si quieres obtener más información sobre URIs externos para claves de Cloud EKM, consulta Cómo crear una clave externa.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud kms keys versions create \
  --key "my-ekm-key" \
  --keyring "secret-manager-cmek-ekm" \
  --location "us-central1" \
  --external-key-uri EXTERNAL_KEY_URI \
  --primary

Otorga a la identidad del servicio acceso de Secret Manager para encriptar y desencriptar con la clave externa. Este comando le otorga a Cloud KMS Rol de encriptador / desencriptador (roles/cloudkms.cryptoKeyEncrypterDecrypter) activado my-ekm-key a la identidad del servicio.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud kms keys add-iam-policy-binding "my-ekm-key" \
  --project "KMS_PROJECT_ID" \
  --location "us-central1" \
  --keyring "secret-manager-cmek-ekm" \
  --member "serviceAccount:SM_SERVICE_IDENTITY" \
  --role "roles/cloudkms.cryptoKeyEncrypterDecrypter"

Crea un secreto con CMEK habilitadas que use una clave de Cloud EKM.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

cat <<EOF > ./replication-policy.json
{
  "userManaged":{
    "replicas":[
      {
        "location":"us-central1",
        "customerManagedEncryption":{
          "kmsKeyName":"projects/KMS_PROJECT_ID/locations/us-central1/keyRings/secret-manager-cmek-ekm/cryptoKeys/my-ekm-key"
        }
      }
    ]
  }
}
EOF
gcloud secrets create "my-ekm-secret" \
    --replication-policy-file ./replication-policy.json \
    --project "SM_PROJECT_ID"

Ahora, cada vez que se crea una versión del secreto en my-ekm-secret, el nombre de la versión se encripta automáticamente con la clave de Cloud EKM antes de que se escriba y el almacenamiento persistente, siempre que la identidad del servicio tenga acceso a la clave. Si la identidad del servicio pierde el acceso o si la clave deja de estar disponible, se genera una si intentas crear una nueva versión del secreto o acceder a una existente, se mostrará .

Agrega una nueva versión del secreto. Ten en cuenta que el nombre del recurso de la clave se lee desde el los metadatos del Secret.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

echo -n "SECRET_DATA" | gcloud secrets versions add "my-ekm-secret" \
    --project "SM_PROJECT_ID" \
    --data-file -

Se crea la versión del Secret, incluso si el emisor no tiene acceso directo a usar la clave. La identidad del servicio para Secret Manager, en lugar del es responsable de encriptar y desencriptar los Secrets cuando lee o escribirlos.

Accede a la versión del Secret que acabas de crear. Aquí es donde la identidad del servicio accede a la clave y encripta o desencripta el Secret por ti.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud secrets versions access "latest" \
  --project "SM_PROJECT_ID" \
  --secret "my-ekm-secret"

Inhabilita CMEK

Actualiza la política de replicación para quitar la configuración de CMEK de un Secret.

gcloud

Para usar Secret Manager en la línea de comandos, primero Instala o actualiza a la versión 378.0.0 o posterior de Google Cloud CLI. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

gcloud secrets replication update "SECRET_ID" --remove-cmek \
    --project "SM_PROJECT_ID"

API

En estos ejemplos, se usa curl para demostrar el uso de la API. Puedes generar tokens de acceso con gcloud auth print-access-token. En Compute Engine o GKE, debes autenticarte con el permiso cloud-platform.

curl "https://secretmanager.googleapis.com/v1/projects/${SM_PROJECT_ID}/secrets/SECRET_ID?updateMask=replication" \
    --request "PATCH" \
    --header "Authorization: Bearer ACCESS_TOKEN" \
    --header "Content-Type: application/json" \
    --data-binary @- <<EOF
{
  "replication":{
    "automatic":{}
  }
}
EOF

¿Qué sigue?

  • Más información sobre CMEK.