Esta es documentación heredada y es posible que no esté completa. Si eres un especialista en marketing, consulta el sitio de especialistas en marketing para ver la documentación más reciente. Si eres socio de medición, consulta el sitio de Socios de medición.

Se usó la API de Cloud Translation para traducir esta página.

Habilitar claves de encriptación administradas por el cliente

Las claves de encriptación administradas por el cliente (CMEK) te permiten controlar las claves de encriptación que se usan para proteger tus datos de Google Cloud en reposo. En este artículo, se explica cómo configurar y administrar CMEK en el Centro de datos de anuncios.

El Administrador de datos de anuncios encripta los datos en reposo con claves administradas por Google. A menos que tengas requisitos específicos que requieran el uso de CMEK, la encriptación predeterminada de Google es la mejor opción.

Para usar CMEK, debes cumplir con los siguientes requisitos:

Usa Cloud Key Management Service (KMS).
Si ya configuraste un proyecto de administrador y lo actualizaste a la nueva cuenta de servicio

Más información sobre CMEK

Habilita CMEK

En la página de Cloud KMS, crea una clave simétrica.
1. Puedes crear la clave en cualquier proyecto de Google Cloud.
2. Asegúrate de crear la clave en una ubicación de Cloud KMS compatible. Según los lineamientos de Cloud KMS, no se recomienda usar la región "global" debido a posibles limitaciones de rendimiento. Si no recuerdas tu región, comunícate con el equipo de asistencia de Ads Data Hub.
  Región del CDA Ubicaciones de Cloud KMS
  EE.UU. EE.UU.
  UE europa
  asia-northeast1 asia, asia-northeast1
  australia-southeast1 australia-southeast1
En la página de Cloud Identity and Access Management (IAM), otorga a la cuenta de servicio del Centro de Datos de Anuncios el rol de encriptador o desencriptador de CryptoKey de Cloud KMS (roles/cloudkms.cryptoKeyEncrypter). Como alternativa, otorga permiso a la cuenta de servicio del Centro de Datos de Anuncios directamente a la clave en la página de Cloud KMS.
En la IU del Centro de Datos de Anuncios, haz lo siguiente:
1. Ve a la pestaña Configuración.
2. En “Encriptación administrada por el cliente”, haz clic en Editar.
3. Activa la opción "Encriptación administrada por el cliente".
4. Pega el ID de recurso de la clave. Nota: Debe ser el ID de recurso completo de la clave, no una versión específica. Obtén más información para obtener un ID de recurso de Cloud KMS
5. Haz clic en Guardar.

Región del CDA	Ubicaciones de Cloud KMS
EE.UU.	EE.UU.
UE	europa
asia-northeast1	asia, asia-northeast1
australia-southeast1	australia-southeast1

Administrar claves

Rota una clave

La rotación de claves es una práctica de seguridad común. Consulta las instrucciones para rotar claves en la página de Cloud KMS aquí.

El Centro de Datos de Anuncios no rota automáticamente la clave de encriptación cuando se rota la clave de Cloud KMS asociada a la cuenta. Las tablas existentes continúan usando la versión de clave con la que se crearon. Las tablas nuevas usan la versión actual de la clave.

Cambiar teclas

Puedes cambiar a una clave nueva en lugar de rotar una clave existente. Esto es útil cuando necesitas destruir una clave o realizar cambios significativos en la administración de claves, como cambiar a un nivel de protección diferente.

Para cambiar a una clave nueva, sigue las instrucciones que se indican en Habilita CMEK. Precaución: Si modificas o destruyes la clave anterior antes de que se complete la actualización, es posible que se pierdan datos de forma permanente.

Cómo revocar permisos, inhabilitar o destruir una clave

Sigue las instrucciones de la documentación de Google Cloud para realizar las siguientes acciones:

Revoca los permisos de la cuenta de servicio del Centro de Datos de Anuncios.
- Esta acción se aplica de inmediato. No podrás ejecutar consultas en el Centro de Datos de Anuncios hasta que resuelvas el problema, y es posible que tus tablas y modelos temporales sufran una pérdida de datos irrecuperable.
Inhabilita una clave.
- Esta acción puede tardar hasta 3 horas en aparecer en el Centro de Datos de Anuncios. Hasta entonces, puedes seguir ejecutando consultas con la clave inhabilitada en el CDA.
Destruye una clave.
- Importante: Inhabilita CMEK antes de destruir la clave. De lo contrario, no podrás ejecutar consultas en el Centro de Datos de Anuncios hasta que resuelvas el problema, y es posible que tus tablas y modelos temporales sufran una pérdida de datos irrecuperable.

Inhabilita CMEK

Es importante que inhabilites la CMEK antes de borrar las claves activas. De lo contrario, perderás el acceso a los datos que se encriptaron con las claves que borraste.

Para inhabilitar CMEK, sigue estos pasos:

Navega a la pestaña Configuración en el Centro de Datos de Anuncios.
En “Encriptación administrada por el cliente”, haz clic en Editar.
Desactiva la opción "Encriptación administrada por el cliente".
Haz clic en Guardar.

Habilitar claves de encriptación administradas por el cliente Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.