Ediciones compatibles con esta función: Frontline Plus, Enterprise Plus, Education Standard y Education Plus. Comparar tu edición
Si configuraste tu servicio de claves de encriptación externo para la encriptación del cliente (CSE) de Google Workspace, debes agregarlo a la Consola del administrador. Esto conecta Google Workspace al servicio para que pueda encriptar contenido con tus claves de encriptación.
Para obtener más información sobre los servicios de claves externos, consulta Cómo configurar tu servicio de claves para la encriptación del cliente.
Si es necesario, puedes agregar varios servicios de claves, por ejemplo, para migrar contenido encriptado de un servicio de claves a otro o asignar diferentes servicios de claves a usuarios específicos.
Nota: En el caso de la CSE de Gmail, puedes usar claves de encriptación de hardware en lugar de un servicio de claves. Requiere tener el complemento de Assured Controls o Assured Controls Plus. Para obtener más información, consulta Solo Gmail: Configura y administra la encriptación con claves de hardware.
Cómo agregar un servicio de claves
Antes de comenzar
Si es la primera vez que agregas un servicio de claves
Aparecerá un mensaje para recordarte que asignes un servicio de claves predeterminado para tu unidad organizativa de nivel superior. Puedes hacerlo en cualquier momento para asegurarte de que la encriptación esté disponible para todos los usuarios que necesiten encriptar o desencriptar contenido. Si deseas obtener más detalles, consulta Cómo asignar el servicio de claves predeterminado para tu organización.
Si agregas un segundo servicio de claves
Deberás convertir el servicio actual en el servicio de copia de seguridad. La copia de seguridad encripta el mismo contenido que el segundo servicio de claves y es necesaria si deseas migrar contenido encriptado al segundo servicio. Para obtener más detalles, consulta Acerca del servicio de claves con copia de seguridad a continuación.
Si ya tienes al menos 2 servicios de claves y agregas otro
Deberás quitar el servicio de copia de seguridad del servicio principal actual y, luego, elegir una copia de seguridad para el servicio nuevo. O bien, puedes agregar el servicio nuevo sin copia de seguridad. Para obtener más información, consulta Agregar un servicio de claves nuevo cuando otro servicio tiene una copia de seguridad a continuación.
Considera una convención de nombres para varios servicios clave
Establece una convención de nombres para que puedas identificar fácilmente los servicios clave y para qué servicios y usuarios los aplicarás. Por ejemplo, es posible que desees que el nombre indique la región, la unidad organizativa y el servicio clave:
- NORTHAM-R&D-Key-service1
- EUROPE-HR-Key-service2
Acerca del servicio de claves con copia de seguridad
Si agregas más de un servicio de claves a la Consola del administrador, uno de ellos debe ser la copia de seguridad de otro.
El servicio de copia de seguridad se usa para migrar contenido
Si deseas migrar contenido encriptado a un nuevo servicio de claves, es decir, volver a encriptar el contenido encriptado por tu servicio actual, debes hacer que el servicio de claves actual sea la copia de seguridad de tu servicio nuevo. Dado que el servicio de claves secundario encripta el mismo contenido que su servicio principal, garantiza que se pueda acceder al contenido si hay un problema durante la migración de contenido. Para obtener detalles sobre la migración, consulta Cómo migrar contenido encriptado a un nuevo servicio de claves.
Importante: Si usas un servicio de claves secundario, solo puedes tener un servicio de claves a la vez.
Excepción para la CSE de Gmail
Si agregas un servicio de claves nuevo y conviertes tu servicio actual en la copia de seguridad con la Consola del administrador, solo el servicio de copia de seguridad encriptará el correo electrónico, no el servicio de claves nuevo. Para cambiar los servicios de claves de Gmail, debes usar la API de Gmail para subir certificados nuevos y los metadatos de las claves privadas encapsulados por el servicio nuevo. Para obtener detalles sobre cómo cambiar a otro servicio de claves para la CSE de Gmail, consulta Cómo cambiar a otro servicio de claves para la CSE de Gmail.
Agrega un servicio de claves externo
-
En la Consola del administrador de Google, ve a Menú
DatosCumplimientoEncriptación del cliente.Debes acceder como administrador avanzado para realizar esta tarea.
- En Encriptación con servicio de claves externo, realiza una de las siguientes acciones:
- Si es el primer servicio de claves que agregas, haz clic en Agregar servicio de claves externo.
- Si agregas un servicio de claves adicional, haz clic en Agregar.
- Ingresa la siguiente información del servicio de claves con el que te registraste (o que compilaste con la API de CSE):
Nombre: Ingresa el nombre que desees. Este nombre aparece en algunos mensajes a los usuarios si Google Workspace no puede acceder a tu servicio de claves externo, por lo que sabrán que el problema es con el servicio de encriptación y no con el servicio de Google que están usando.
URL: Tu servicio de claves te proporciona esta URL. Antes de ingresar esta URL, verifica que se pueda acceder a ella desde Internet.
- Si agregaste un segundo servicio de claves, haz clic en Seleccionar llave secundaria y elige un servicio de llave secundaria disponible. Esto te permite migrar el contenido encriptado al nuevo servicio de claves.
Para obtener detalles sobre cómo migrar contenido a un nuevo servicio de claves, consulta Asigna servicios de claves para la encriptación del cliente.
- Si ya tienes al menos 2 servicios de claves y agregaste otro, elige si quieres agregar el nuevo servicio de claves sin copia de seguridad. Para obtener detalles sobre tus opciones, consulta Cómo agregar un servicio de claves nuevo cuando otro servicio tiene una copia de seguridad a continuación.
También puedes hacer clic en Cancelar para cerrar el diálogo Agregar servicio de claves externo sin elegir una opción.
- Para asegurarte de que Google Workspace pueda comunicarse con el servicio de claves externo, haz clic en Probar conexión.
- Si la conexión se realiza correctamente, haz clic en Agregar o Agregar servicio en la esquina inferior derecha de la página.
Si es el primer servicio de claves que agregaste, haz lo siguiente:
- Aparecerá un mensaje para recordarte que asignes un servicio de claves predeterminado para tu unidad organizativa de nivel superior. Puedes hacerlo en cualquier momento para asegurarte de que la encriptación esté disponible para todos los usuarios que necesiten encriptar o desencriptar contenido. Si deseas obtener más detalles, consulta Cómo asignar el servicio de claves predeterminado para tu organización.
- Asegúrate de conectar Google Workspace a tu proveedor de identidad (IdP) para usar la encriptación del cliente.
Agregar un servicio de claves nuevo cuando otro servicio tiene una copia de seguridad
Si ya agregaste al menos 2 servicios de claves a la Consola del administrador, uno de ellos será la copia de seguridad del otro. Si agregas otro servicio de claves, no podrás elegir un servicio de copia de seguridad para él, ya que solo un servicio de claves a la vez puede tener una copia de seguridad. Por lo tanto, cuando agregues el servicio de claves nuevo, deberás elegir una opción según cómo quieras usarlo.
Cómo cambiar de un servicio de claves existente al nuevo
Cuando agregues un servicio de claves nuevo, elige la opción Quitar copia de seguridad de servicio de claves y, luego, haz clic en Quitar copia de seguridad.
Ahora puedes agregar el nuevo servicio de claves y elegir un servicio de copia de seguridad. Después, puedes migrar el contenido encriptado al nuevo servicio de claves. Para obtener más detalles, consulta Migra contenido encriptado a un nuevo servicio de claves.
Recomendación: Elige esta opción solo si el servicio de claves actual no tiene problemas para encriptar contenido. Además, si se usa el servicio de claves de respaldo para migrar contenido a tu servicio principal actual, asegúrate de que la migración esté completa, ya que, cuando quites la copia de seguridad, la migración se detendrá de inmediato. Para obtener más detalles, consulta Migra contenido encriptado a un nuevo servicio de claves.
Para usar el nuevo servicio de claves sin migrar datos encriptados
Cuando agregues un servicio de claves nuevo, elige la opción Agregar un servicio de claves sin copia de seguridad y, luego, haz clic en Agregar servicio.
Recomendación: Elige esta opción solo si deseas usar este servicio de claves para una unidad organizativa o un grupo que aún no tenga contenido encriptado por otro servicio de claves. Si el contenido ya está encriptado, deberás conservar el servicio de claves existente para garantizar que se pueda acceder al contenido encriptado.
Cómo editar un servicio de claves
Cómo cambiar el nombre de un servicio de claves
-
En la Consola del administrador de Google, ve a Menú
DatosCumplimientoEncriptación del cliente.Debes acceder como administrador avanzado para realizar esta tarea.
- En Servicio de claves externo, haz clic en el nombre del servicio de claves que deseas cambiar.
- Edita el nombre del servicio de claves.
- Haz clic en Continuar.
Cómo cambiar la URL de un servicio de claves
Si tus usuarios tienen problemas para acceder al contenido encriptado por un servicio de claves, pídele al servicio de claves una nueva URL de encriptación. Luego, reemplaza la URL anterior por la nueva en la Consola del administrador para permitir que los usuarios recuperen su contenido.
Si los usuarios no pueden encriptar contenido nuevo con un servicio de claves, puedes intentar asignar un servicio de claves diferente a las organizaciones o los grupos que tengan problemas.
Para cambiar la URL de un servicio de claves, sigue estos pasos:
-
En la Consola del administrador de Google, ve a Menú
DatosCumplimientoEncriptación del cliente.Debes acceder como administrador avanzado para realizar esta tarea.
- En Servicio de claves externo, haz clic en el nombre del servicio de claves cuya URL deseas cambiar.
- Haz clic en ¿Tienes problemas?Agregar una URL nueva.
- Para asegurarte de que Google Workspace pueda comunicarse con el servicio de claves externo, haz clic en Probar conexión.
- Si la conexión se realiza correctamente, haz clic en Continuar en la esquina inferior derecha de la página.
Cómo quitar la copia de seguridad de un servicio de claves
Es posible que desees quitar el servicio de claves con copia de seguridad de otro servicio de claves en los siguientes casos:
- Ya no lo necesitas para migrar contenido.
- Quieres agregar otro servicio de claves y necesitas elegir un servicio de copia de seguridad para poder migrar el contenido encriptado al nuevo servicio.
Para obtener detalles sobre la migración de contenido, consulta Migra contenido encriptado a un nuevo servicio de claves.
Para quitar el servicio de claves con copia de seguridad, haz lo siguiente:
-
En la Consola del administrador de Google, ve a Menú
DatosCumplimientoEncriptación del cliente.Debes acceder como administrador avanzado para realizar esta tarea.
- En Servicio de claves externo, haz clic en el nombre del servicio de claves para el que deseas quitar la copia de seguridad.
- Haz clic en Quitar copia de seguridad.
- Marca las casillas en Para quitar la copia de seguridad, confirma que comprendes lo siguiente.
- Haz clic en Quitar copia de seguridad.
Inhabilita un servicio de claves que tiene copia de seguridad
Puedes inhabilitar un servicio de claves si tiene asignado un servicio de claves de copia de seguridad. Por ejemplo, es posible que desees inhabilitar un servicio de claves y usar su copia de seguridad si los usuarios tienen problemas para acceder al contenido encriptado o encriptar contenido nuevo. Dado que el servicio de claves que quieres inhabilitar tiene una copia de seguridad, se podrá seguir accediendo al contenido encriptado del cliente.
Para inhabilitar un servicio de claves y usar su copia de seguridad, haz lo siguiente:
-
En la Consola del administrador de Google, ve a Menú
DatosCumplimientoEncriptación del cliente.Debes acceder como administrador avanzado para realizar esta tarea.
- En Servicio de claves externo, haz clic en el nombre del servicio de claves para el que deseas quitar la copia de seguridad.
- Haz clic en Inhabilitar y usar la copia de seguridad.
- Marca las casillas en Si inhabilito esta opción, comprendo lo siguiente.
- Haz clic en Inhabilitar y usar la copia de seguridad.
Si tienes problemas con un servicio de claves
Los usuarios no pueden acceder al contenido encriptado
Es posible que haya un problema con la clave que se usa para desencriptar el contenido. Comunícate con tu servicio de claves para solicitar una URL nueva. Para obtener detalles sobre cómo cambiar la URL de un servicio de claves, consulta Cómo cambiar la URL de un servicio de claves más arriba.
O bien, si el servicio de claves tiene un servicio de copia de seguridad, intenta usar la copia de seguridad. Para obtener más detalles, consulta Cómo inhabilitar un servicio de claves que tiene una copia de seguridad más arriba.
Los usuarios no pueden encriptar contenido nuevo
Es posible que haya un problema con la clave que se usa para encriptar el contenido. Comunícate con tu servicio de claves actual para solicitar una nueva URL. Para obtener detalles sobre cómo cambiar la URL de un servicio de claves, consulta Cómo cambiar la URL de un servicio de claves más arriba.
Como alternativa, puedes probar lo siguiente:
- Reemplaza el servicio de claves actual por otro. Ve a Migrar contenido encriptado a un nuevo servicio de claves.
- Si el servicio de claves tiene un servicio de copia de seguridad, intenta usar la copia de seguridad. Para obtener más detalles, consulta Cómo inhabilitar un servicio de claves que tiene copia de seguridad más arriba.
Después de la migración al nuevo servicio de claves, los usuarios no pueden acceder al contenido encriptado ni encriptar contenido nuevo
Intenta usar el servicio de claves secundario. Para obtener más información, consulta Cómo inhabilitar un servicio de claves que tiene una copia de seguridad.
Si los usuarios aún no pueden acceder al contenido encriptado ni encriptar contenido nuevo, hay un problema con la clave de copia de seguridad. Comunícate con tu servicio de llaves para obtener ayuda.