The Data Manager API is in closed beta. To express interest in joining the closed beta, fill out this form.

Se usó la API de Cloud Translation para traducir esta página.

Encripte datos del usuario

A continuación, te indicamos cómo enviar datos encriptados.

Configura la interfaz de línea de comandos de Google Cloud

Instala y, luego, inicializa la interfaz de línea de comandos de Google Cloud.
Para seleccionar o crear un proyecto de Google Cloud nuevo y habilitar Cloud Key Management Service, haz clic en Habilitar Cloud KMS.

Sugerencia: Te recomendamos que uses un proyecto independiente para tus recursos de Cloud KMS que no contenga ningún otro recurso de Google Cloud.

Habilita Cloud KMS
Para configurar tu proyecto en tu entorno, usa el comando gcloud config set. Para verificar si el proyecto ya está configurado en tu entorno, ejecuta gcloud config list.

Si no se configuró ningún project o si quieres usar un proyecto diferente para tu clave, ejecuta gcloud config set:
```
gcloud config set project PROJECT_ID
```

Crear una clave

Para obtener más información, consulta la descripción general de Cloud Key Management Service.

Crea un llavero de claves.

gcloud kms keyrings create KEY_RING_NAME \
    --location KEY_RING_LOCATION

Para obtener más información, consulta Crea un llavero.

Crea una clave en el llavero de claves. El ROTATION_PERIOD indica el intervalo para rotar la clave, y el NEXT_ROTATION_TIME indica la fecha y la hora en que debe producirse la primera rotación.

Por ejemplo, para rotar la clave cada 30 días y realizar la primera rotación en 1 semana, establece ROTATION_PERIOD en 30d y NEXT_ROTATION_TIME en $(date --utc --date="next week" --iso-8601=seconds).
```
gcloud kms keys create KEY_NAME \
    --keyring KEY_RING_NAME \
    --location KEY_RING_LOCATION \
    --purpose "encryption" \
    --rotation-period ROTATION_PERIOD \
    --next-rotation-time "NEXT_ROTATION_TIME"
```
Para obtener más información, consulta Crea una clave.

Crea un proveedor de grupos de identidades para cargas de trabajo

En esta sección, se proporciona una breve descripción general de la federación de identidades para cargas de trabajo. Para obtener más información, consulta Federación de identidades para cargas de trabajo.

Crea un grupo de identidades para cargas de trabajo (WIP). El location del grupo debe ser global.
```
gcloud iam workload-identity-pools create WIP_ID \
   --location=global \
   --display-name="WIP_DISPLAY_NAME" \
   --description="WIP_DESCRIPTION"
```
Para obtener más información, consulta Administra grupos y proveedores de identidades para cargas de trabajo.

Crea un proveedor de grupos de identidades para cargas de trabajo. El argumento --attribute-condition verifica que el llamador sea una cuenta de servicio de correlación confidencial.

gcloud iam workload-identity-pools providers create-oidc PROVIDER_ID \
   --location=global \
   --workload-identity-pool=WIP_ID \
   --display-name="PROVIDER_DISPLAY_NAME" \
   --description="PROVIDER_DESCRIPTION" \
   --attribute-mapping="google.subject=assertion.sub,google.groups=[\"PROVIDER_ID\"]" \
   --attribute-condition="assertion.swname == 'CONFIDENTIAL_SPACE' &&
     'STABLE' in assertion.submods.confidential_space.support_attributes &&
     ['cfm-services@admcloud-cfm-services.iam.gserviceaccount.com'].exists(
         a, a in assertion.google_service_accounts) &&
     'ECDSA_P256_SHA256:6b1f357b59e9407fb017ca0e3e783b2bd5acbfea6c83dd82971a4150df5b25f9'
     in assertion.submods.container.image_signatures.map(sig, sig.signature_algorithm+':'+sig.key_id)" \
   --issuer-uri="https://confidentialcomputing.googleapis.com" \
   --allowed-audiences="https://sts.googleapis.com"

Otorga el rol de desencriptador de claves al proveedor del WIP.

# Grants the role to the WIP provider.
gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING_NAME \
    --location KEY_RING_LOCATION \
    --member "principalSet://iam.googleapis.com/projects/PROJECT_ID/locations/global/workloadIdentityPools/WIP_ID/group/PROVIDER_ID" \
    --role "roles/cloudkms.cryptoKeyDecrypter"

Si deseas encriptar los datos de eventos para las conversiones sin conexión y las conversiones avanzadas de clientes potenciales, otorga el rol de desencriptador de claves a la cuenta de servicio de Google datamanager-api@datamanager-ga.iam.gserviceaccount.com.

# Grants the role to the Google service account.
gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING_NAME \
    --location KEY_RING_LOCATION \
    --member "serviceAccount:datamanager-api@datamanager-ga.iam.gserviceaccount.com" \
    --role "roles/cloudkms.cryptoKeyDecrypter"

Encripta datos

La encriptación en la API de Data Manager requiere una clave de encriptación de datos (DEK). Una DEK es una clave simétrica que se usa para encriptar datos. Tu DEK se encripta con tu clave de Google Cloud KMS. Envías la DEK encriptada como parte de la solicitud.

Para preparar los datos de la solicitud para la encriptación, sigue los mismos lineamientos de formato y codificación hash que usarías para los datos sin encriptar.

No encriptes valores sin codificación hash. Por ejemplo, el region_code o el postal_code de un AddressInfo.

Una vez que los datos de cada campo se formatean y se generan sus hashes, encripta el valor con hash siguiendo estos pasos:

Codifica los bytes de hash con la codificación Base64.
Encripta el hash codificado en Base64 con tu DEK.
Codifica el resultado del proceso de encriptación con codificación hexadecimal o Base64.
Usa el valor codificado para el campo.
Configura encryption_info y encoding en la solicitud.

Para completar el último paso, modifica IngestAudienceMembersRequest o IngestEventsRequest para indicar que encriptaste tus datos:

Configura el campo encryption_info.
Establece el campo encoding en la codificación que se usa para codificar los valores de los campos encriptados.

Este es un fragmento de una solicitud con los campos de encriptación y codificación establecidos:

{
  ...
  "encryptionInfo": {
    "gcpWrappedKeyInfo": {
      "kekUri": "gcp-kms://projects/PROJECT_ID/locations/KEY_RING_LOCATION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME",
      "wipProvider": "projects/PROJECT_ID/locations/global/workloadIdentityPools/WIP_ID/providers/PROVIDER_ID",
      "keyType": "XCHACHA20_POLY1305",
      "encryptedDek": "ENCRYPTED_DEK"
    }
  },
  "encoding": "ENCODING"
}

Para usar la biblioteca y las utilidades de la API de Data Manager para crear y enviar una solicitud, consulta la muestra de código IngestAudienceMembersWithEncryption para Java o la muestra de código ingest_audience_members_with_encryption para Python.