1. Introducción
Descripción general
Cloud Functions es una solución de procesamiento ligera para que los desarrolladores creen funciones individuales y de un solo propósito que respondan a eventos de Cloud sin necesidad de administrar un servidor o un entorno de ejecución.
Puedes usar las claves de encriptación administradas por el cliente (CMEK) de Cloud Key Management Service para proteger Cloud Functions y los datos en reposo relacionados. Implementar una función con una CMEK protege los datos asociados a ella mediante el uso de una clave de encriptación que está bajo tu control total. Este tipo de encriptación te permite cumplir con los requisitos de cumplimiento en ciertos sectores, como los servicios financieros. Debido a que la clave es de tu propiedad y Google no la controla, nadie (incluido tú) puede acceder a los datos protegidos por estas claves de encriptación cuando las claves están inhabilitadas o destruidas.
En Cloud Functions, CMEK encripta lo siguiente:
- El código fuente de la función que Google subió para la implementación y almacenó en Cloud Storage para usarlo en el proceso de compilación.
- Los resultados del proceso de compilación de la función, incluida la imagen de contenedor creada a partir del código fuente de tu función y cada instancia de la función que se implementa.
- Datos en reposo para canales de transporte de eventos internos (solo 1ª gen.).
Puedes encontrar más información sobre qué datos se encriptan en la documentación de CMEK de Cloud Functions.
Qué compilarás
En este codelab, se muestra cómo implementar una Cloud Function (ya sea de 1ª o 2ª gen.) que se encripta con CMEK. En este codelab, se usa una Cloud Function pública, es decir, una que no requiere autenticación, con fines de demostración. Puedes invocar una función autenticada habilitada para CMEK como cualquier otra Cloud Function que requiera autenticación.
Qué aprenderás
- Cómo crear una clave de CMEK en un llavero de claves simétricas existente
- Cómo crear un repositorio de Artifact Registry
- Cómo configurar CMEK en una Cloud Function para la 1ª y la 2ª gen.
2. Configuración y requisitos
Requisitos previos
- Accediste a Cloud Console.
- Ya implementaste una Cloud Function activada por HTTP (para verificar que tienes los roles y las APIs adecuados habilitados).
Activar Cloud Shell
- En la consola de Cloud, haz clic en Activar Cloud Shell
.
Si es la primera vez que inicias Cloud Shell, aparecerá una pantalla intermedia en la que se describirá qué es. Si viste una pantalla intermedia, haz clic en Continuar.
El aprovisionamiento y la conexión a Cloud Shell solo tomará unos minutos.
Esta máquina virtual está cargada con todas las herramientas de desarrollo necesarias. Ofrece un directorio principal persistente de 5 GB y se ejecuta en Google Cloud, lo que permite mejorar considerablemente el rendimiento de la red y la autenticación. Gran parte de tu trabajo en este codelab, si no todo, se puede hacer con un navegador.
Una vez que te conectes a Cloud Shell, deberías ver que ya te autenticaste y que el proyecto ya se configuró con el ID de tu proyecto.
- En Cloud Shell, ejecuta el siguiente comando para confirmar que tienes la autenticación:
gcloud auth list
Resultado del comando
Credentialed Accounts
ACTIVE ACCOUNT
* <my_account>@<my_domain.com>
To set the active account, run:
$ gcloud config set account `ACCOUNT`
- En Cloud Shell, ejecuta el siguiente comando para confirmar que el comando gcloud conoce tu proyecto:
gcloud config list project
Resultado del comando
[core] project = <PROJECT_ID>
De lo contrario, puede configurarlo con este comando:
gcloud config set project <PROJECT_ID>
Resultado del comando
Updated property [core/project].
3. Crea un llavero de claves y una clave nuevos para Cloud Functions
Para asegurarte de que la API de Cloud KMS esté habilitada, ejecuta el siguiente comando:
gcloud services enable cloudkms.googleapis.com
Primero, crea variables de entorno para contener el nombre del llavero de claves, el nombre de la clave, la región y otras variables que se usan en este codelab.
KEYRING_NAME="keyring-functions" REGION="us-central1" KEY_NAME="key-encrypted-function" PROJECT_ID=$(gcloud config get-value project) PROJECT_NUMBER="$(gcloud projects describe $PROJECT_ID --format='value(projectNumber)')" USER_EMAIL="$(gcloud config list account --format "value(core.account)")"
Luego, crea un llavero de claves, que es el recurso raíz para las claves y las versiones de claves de Cloud KMS.
gcloud kms keyrings create $KEYRING_NAME --location $REGION
Por último, ahora puedes crear una clave simétrica en tu nuevo llavero de claves dentro de Cloud KMS.
gcloud kms keys create $KEY_NAME --keyring $KEYRING_NAME --location $REGION --purpose "encryption"
4. Crea un repositorio de Artifact Registry con formato de Docker habilitado para CMEK
En esta sección, crearás un repositorio con formato de Docker en Artifact Registry que tenga CMEK habilitada. Esta clave será la misma que se usará para implementar tu Cloud Function.
Primero, necesitarás la cuenta de servicio de Artifact Registry. Para crearla, ejecuta este comando:
gcloud beta services identity create --service=artifactregistry.googleapis.com --project=$PROJECT_ID
Usa el siguiente comando para otorgar el rol de IAM de encriptador/desencriptador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) a la cuenta de servicio de Artifact Registry para que tenga permisos para la clave:
gcloud kms keys add-iam-policy-binding \ $KEY_NAME --location $REGION --keyring=$KEYRING_NAME \ --member serviceAccount:service-$PROJECT_NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter
Otorga el rol al principal que creará el repositorio en Artifact Registry, por ejemplo, tu cuenta activa actual. Para verificar tu cuenta activa actual, ejecuta gcloud auth list.
gcloud kms keys add-iam-policy-binding \
$KEY_NAME --location $REGION --keyring=$KEYRING_NAME \
--member user:$USER_EMAIL \
--role roles/cloudkms.cryptoKeyEncrypterDecrypter
Ahora puedes crear un repositorio con formato de Docker que esté habilitado para CMEK.
Nota: La región debe ser la misma que la clave de CMEK.
REPO_NAME=my-cmek-encrypted-repo
KEY_FULLPATH=projects/"$PROJECT_ID"/locations/"$REGION"/keyRings/"$KEYRING_NAME"/cryptoKeys/"$KEY_NAME"
gcloud artifacts repositories create $REPO_NAME \
--repository-format=docker \
--location=$REGION \
--kms-key=$KEY_FULLPATH \
--async
Puedes ver tu nuevo repositorio de Artifact Registry ejecutando este comando:
gcloud artifacts repositories describe $REPO_NAME --location=$REGION
5. Otorga a las cuentas de servicio acceso a la clave (2ª gen.)
En esta sección, se explica cómo crear cuentas de servicio para funciones de 2ª gen. Si creas una función de 1ª gen., continúa con la siguiente sección.
Debes otorgar a varios agentes de servicio acceso a la clave otorgando el rol de IAM de encriptador/desencriptador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter). Estos agentes de servicio se usan para obtener acceso al código fuente almacenado en Cloud Storage, almacenar imágenes de funciones en un repositorio protegido por CMEK en Artifact Registry y para implementar una Cloud Function encriptada con CMEK.
Pasos para las funciones de 2ª gen.
- Otorga al agente de servicio de Cloud Run acceso a la clave:
CLOUDRUN_SA=service-$PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com gcloud kms keys add-iam-policy-binding $KEY_NAME \ --keyring=$KEYRING_NAME \ --location=$REGION \ --member=serviceAccount:$CLOUDRUN_SA \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
- Otorga al agente de servicio de Eventarc acceso a la clave:
EVENTARC_SA=service-$PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com gcloud kms keys add-iam-policy-binding $KEY_NAME \ --keyring=$KEYRING_NAME \ --location=$REGION \ --member=serviceAccount:$EVENTARC_SA \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
- Otorga al agente de servicio de Artifact Registry acceso a la clave:
AR_SA=service-$PROJECT_NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com gcloud kms keys add-iam-policy-binding $KEY_NAME \ --keyring=$KEYRING_NAME \ --location=$REGION \ --member=serviceAccount:$AR_SA \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
- Otorga a los agentes de servicio de Cloud Storage acceso a la clave:
STORAGE_SA=service-$PROJECT_NUMBER@gs-project-accounts.iam.gserviceaccount.com gcloud kms keys add-iam-policy-binding $KEY_NAME \ --keyring=$KEYRING_NAME \ --location=$REGION \ --member=serviceAccount:$STORAGE_SA \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
En la siguiente sección, verás cómo crear e implementar una función encriptada con CMEK.
6. Otorga a las cuentas de servicio acceso a la clave (1ª gen.)
En esta sección, se explica cómo crear cuentas de servicio para funciones de 1ª gen. Si ya creaste cuentas de servicio para una función de 2ª gen., continúa con la siguiente sección.
Debes otorgar a varios agentes de servicio acceso a la clave otorgando el rol de IAM de encriptador/desencriptador de CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter). Estos agentes de servicio se usan para obtener acceso al código fuente almacenado en Cloud Storage, almacenar imágenes de funciones en un repositorio protegido por CMEK en Artifact Registry y para implementar una Cloud Function encriptada con CMEK.
Pasos para las funciones de 1ª gen.
- Otorga al agente de servicio de Cloud Functions acceso a la clave:
FUNCTION_SA=service-$PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com gcloud kms keys add-iam-policy-binding $KEY_NAME \ --keyring=$KEYRING_NAME \ --location=$REGION \ --member=serviceAccount:$FUNCTION_SA \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
- Otorga al agente de servicio de Artifact Registry acceso a la clave:
AR_SA=service-$PROJECT_NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com gcloud kms keys add-iam-policy-binding $KEY_NAME \ --keyring=$KEYRING_NAME \ --location=$REGION \ --member=serviceAccount:$AR_SA \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
- Otorga a los agentes de servicio de Cloud Storage acceso a la clave:
STORAGE_SA=service-$PROJECT_NUMBER@gs-project-accounts.iam.gserviceaccount.com gcloud kms keys add-iam-policy-binding $KEY_NAME \ --keyring=$KEYRING_NAME \ --location=$REGION \ --member=serviceAccount:$STORAGE_SA \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
En la siguiente sección, verás cómo crear e implementar una función encriptada con CMEK.
7. Crea una función encriptada con CMEK (2ª gen.)
En esta sección, se explica cómo crear funciones de 2ª gen. Puedes continuar con la siguiente sección para obtener instrucciones de 1ª gen.
Ahora que tienes un repositorio de Artifact Registry configurado con CMEK habilitadas y otorgaste a Cloud Functions acceso a tu clave, puedes implementar una función que esté encriptada con tu clave de CMEK.
Pasos para las funciones de 2ª gen.:
Crea el código fuente de la función
Aunque este codelab usa Node.js, puedes usar cualquier entorno de ejecución compatible.
Primero, crea un directorio y ábrelo con el comando cd.
mkdir ~/cmek-function-2ndgen && cd $_
Luego, crea el archivo package.json.
touch package.json
echo '{
"dependencies": {
"@google-cloud/functions-framework": "^2.1.0"
}
}
' > package.json
A continuación, crea el archivo fuente index.js.
touch index.js
echo 'const functions = require("@google-cloud/functions-framework");
functions.http("helloWorld", (req, res) => {
res.send(`Hello ${req.query.name || req.body.name || "World"}!`);
});' > index.js
Implementa la Cloud Function de 2ª gen. con encriptación de CMEK
Nota: En el siguiente ejemplo, se muestra cómo implementar una función con fuentes de tu directorio actual. Asegúrate de estar en el mismo directorio que el código fuente de tu función.
FUNCTION_NAME=protect-me-cmek-2ndgen ENTRY_POINT=helloWorld REPO_FULLPATH=projects/"$PROJECT_ID"/locations/"$REGION"/repositories/$REPO_NAME gcloud beta functions deploy $FUNCTION_NAME \ --gen2 \ --region $REGION \ --kms-key $KEY_FULLPATH \ --docker-repository $REPO_FULLPATH \ --source . \ --trigger-http \ --allow-unauthenticated \ --runtime nodejs16 \ --entry-point $ENTRY_POINT
Para ver la clave de CMEK en el resultado, ejecuta este comando:
gcloud functions describe $FUNCTION_NAME –region $REGION | grep kmsKeyName
Prueba la función de 2ª gen.
Para probar tu función, hazle un curl:
FUNCTION_URL="$(gcloud functions describe $FUNCTION_NAME --region $REGION --format='get(serviceConfig.uri)')" curl $FUNCTION_URL
que da como resultado lo siguiente:
Hello World!
Mientras la clave de encriptación esté habilitada, la función mostrará éxito al llamador. Sin embargo, una vez que se inhabilite la clave de encriptación, el llamador recibirá un error.
En la siguiente sección, verás qué sucede cuando invocas la función después de que se inhabilita la clave.
8. Crea una función encriptada con CMEK (1ª gen.)
En esta sección, se explica cómo crear funciones de 1ª gen. Si ya creaste una función de 2ª gen., continúa con la siguiente sección.
Ahora que tienes un repositorio de Artifact Registry configurado con CMEK habilitadas y otorgaste a Cloud Functions acceso a tu clave, puedes implementar una función que esté encriptada con tu clave de CMEK.
Pasos para las funciones de 1ª gen.:
Crea el código fuente de la función de 1ª gen.
Aunque este codelab usa Node.js, puedes usar cualquier entorno de ejecución compatible.
Primero, crea un directorio y ábrelo con el comando cd.
mkdir ~/cmek-function-1stgen && cd $_
Luego, crea el archivo package.json.
touch package.json
echo '{
"name": "function-cmek-codelab",
"version": "0.0.1"
}' > package.json
A continuación, crea el archivo fuente index.js.
touch index.js
echo "exports.helloWorld = (req, res) => {
let message = req.query.message || req.body.message || 'Hello World!';
res.status(200).send(message);
};" > index.js
Implementa la Cloud Function de 1ª gen. con encriptación de CMEK
Nota: En el siguiente ejemplo, se muestra cómo implementar una función con fuentes de tu directorio actual. Asegúrate de estar en el mismo directorio que el código fuente de tu función.
FUNCTION_NAME=protect-me-cmek-1stgen ENTRY_POINT=helloWorld REPO_FULLPATH=projects/"$PROJECT_ID"/locations/"$REGION"/repositories/$REPO_NAME gcloud functions deploy $FUNCTION_NAME \ --region $REGION \ --kms-key $KEY_FULLPATH \ --docker-repository $REPO_FULLPATH \ --source . \ --trigger-http \ --allow-unauthenticated \ --runtime nodejs16 \ --entry-point $ENTRY_POINT
Para ver la clave de CMEK en el resultado, ejecuta este comando:
gcloud functions describe $FUNCTION_NAME –region $REGION | grep kmsKeyName
Prueba la función de 1ª gen.
Para probar tu función, hazle un curl:
FUNCTION_URL="$(gcloud functions describe $FUNCTION_NAME --region $REGION --format='get(httpsTrigger.url)')" curl $FUNCTION_URL
que da como resultado lo siguiente:
Hello World!
Mientras la clave de encriptación esté habilitada, la función mostrará éxito al llamador. Sin embargo, una vez que se inhabilite la clave de encriptación, el llamador recibirá un error.
En la siguiente sección, verás qué sucede cuando invocas la función después de que se inhabilita la clave.
9. Invoca una función encriptada con CMEK en la que se inhabilitó la clave de encriptación
En esta sección final, invalidarás la clave y volverás a invocar la función para ver el error resultante.
Inhabilita la clave de encriptación
Puedes ejecutar este comando para inhabilitar la clave. Como este codelab solo crea una versión de la clave, inhabilitarás la versión 1.
gcloud kms keys versions disable 1 \
--key=$KEY_NAME \
--keyring=$KEYRING_NAME \
--location=$REGION
Deberías ver la información resultante:
algorithm: GOOGLE_SYMMETRIC_ENCRYPTION createTime: '2023-04-11T03:30:49.111832653Z' generateTime: '2023-04-11T03:30:49.111832653Z' name: projects/dogfood-gcf-saraford/locations/us-central1/keyRings/myKeyRing/cryptoKeys/encrypted-function/cryptoKeyVersions/1 protectionLevel: SOFTWARE state: DISABLED
Invoca la función con una clave inhabilitada
Ahora, vuelve a curl la función.
curl $FUNCTION_URL
Esta vez no recibirás una respuesta de Hello World.
En los registros de Cloud Functions, verás
User's CMEK key has been disabled. CMEK key: projects/<PROJECT-NAME>/locations/us-central1/keyRings/myKeyRing/cryptoKeys/encrypted-function
Intenta ver los recursos cuando la clave de CMEK está inhabilitada
En esta sección, verás que los siguientes recursos dejan de estar disponibles cuando se inhabilita la clave de CMEK:
- Código fuente de la función
- Imagen de contenedor creada a partir de tu código fuente
Por ejemplo, si visitas la pestaña Fuente de Cloud Functions, se muestra un error mientras se recupera el archivo. Recibirás un error similar si intentas ver el archivo .zip que contiene el código fuente directamente en Cloud Storage.
Además, no tendrás acceso para usar la imagen de contenedor de la función desde Artifact Registry. Por ejemplo, si intentas implementar esa imagen de contenedor en Cloud Run, recibirás un error que indica que no se encontró la imagen.
Consulta los documentos de CMEK Functions para obtener una lista completa de los recursos encriptados.
10. Felicitaciones
¡Felicitaciones! Completaste el codelab.
Temas abordados
- Cómo crear una clave de CMEK en un llavero de claves simétricas existente
- Cómo crear un repositorio de Artifact Registry
- Cómo configurar CMEK en una Cloud Function
Para obtener más información
Puedes encontrar más información sobre Cloud Functions y CMEK en los siguientes vínculos: