Consultez les connecteurs compatibles avec Application Integration.

Clés de chiffrement gérées par le client

Par défaut, l'intégration d'applications chiffre automatiquement les données au repos à l'aide de clés de chiffrement gérées par Google. Si vous avez des exigences réglementaires ou de conformité spécifiques concernant les clés qui protègent vos données, ou si vous souhaitez contrôler et gérer vous-même le chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK). Les clés CMEK peuvent être stockées sous forme de clés logicielles, dans un cluster HSM ou en externe dans Cloud External Key Manager (Cloud EKM).

Pour en savoir plus sur le chiffrement CMEK, consultez la documentation de Cloud Key Management Service.

Avant de commencer

Assurez-vous d'avoir effectué les tâches suivantes avant d'utiliser CMEK pour l'intégration d'applications:

1. Activez l'API Cloud KMS pour le projet qui stockera vos clés de chiffrement.

   Activer l'API Cloud KMS

2. Attribuez le rôle IAM Administrateur Cloud KMS ou accordez les autorisations IAM suivantes au projet qui stockera vos clés de chiffrement :
   • cloudkms.cryptoKeys.setIamPolicy
   • cloudkms.keyRings.create
   • cloudkms.cryptoKeys.create

   Pour en savoir plus sur l'attribution de rôles ou d'autorisations supplémentaires, consultez la page Accorder, modifier et révoquer des accès.

3. Créez un trousseau de clés et une clé.

Ajouter un compte de service à une clé CMEK

Pour utiliser une clé CMEK dans Application Integration, vous devez vous assurer que votre compte de service par défaut est ajouté et attribué au rôle IAM Chiffreur/Déchiffreur de CryptoKeys pour cette clé CMEK.

1. Dans la console Google Cloud, accédez à la page Inventaire des clés.

   Accéder à la page "Inventaire des clés"

2. Cochez la case correspondant à la clé CMEK souhaitée.

   L'onglet Autorisations s'affiche dans le volet de droite.

3. Cliquez sur Ajouter un compte principal, puis saisissez l'adresse e-mail du compte de service par défaut.
4. Cliquez sur Sélectionner un rôle, puis sélectionnez le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS dans la liste déroulante disponible.
5. Cliquez sur Enregistrer.

Activer le chiffrement CMEK pour une région d'intégration d'applications

Le CMEK peut être utilisé pour chiffrer et déchiffrer les données stockées sur les PD dans le champ d'application de la région provisionnée.

Pour activer le chiffrement CMEK pour une région d'intégration d'applications dans votre projet Google Cloud, procédez comme suit :

1. Dans la console Google Cloud, accédez à la page Application Integration.

   Accéder à Application Integration

2. Dans le menu de navigation, cliquez sur Régions.

   La page Regions (Régions) s'affiche, listant les régions provisionnées pour l'intégration d'applications.

3. Pour l'intégration existante pour laquelle vous souhaitez utiliser une CMEK, cliquez sur  more_vert Actions, puis sélectionnez Modifier le chiffrement.
4. Dans le volet Modifier le chiffrement, développez la section Paramètres avancés.
5. Sélectionnez Utiliser une clé de chiffrement gérée par le client (CMEK), puis procédez comme suit :
   1. Sélectionnez une clé CMEK dans la liste déroulante disponible. Les clés CMEK listées dans le menu déroulant sont basées sur la région provisionnée. Pour créer une clé, consultez Créer une clé CMEK.
   2. Cliquez sur Vérifier pour vérifier si votre compte de service par défaut dispose d'un accès à la clé CMEK sélectionnée.
   3. Si la validation de la clé CMEK sélectionnée échoue, cliquez sur Accorder pour attribuer le rôle IAM Chiffreur/Déchiffreur de clés cryptographiques au compte de service par défaut.
6. Cliquez sur OK.

Créer une clé CMEK

Vous pouvez créer une clé CMEK si vous ne souhaitez pas utiliser votre clé existante ou si vous n'en avez pas dans la région spécifiée.

Pour créer une clé de chiffrement symétrique, procédez comme suit dans la boîte de dialogue Create a new key (Créer une clé) :

1. Sélectionnez "Trousseau de clés" :
   1. Cliquez sur Trousseau de clés, puis sélectionnez un trousseau de clés existant dans la région spécifiée.
   2. Si vous souhaitez créer un trousseau de clés pour votre clé, cliquez sur le bouton d'activation Créer un trousseau de clés, puis procédez comme suit :
      1. Cliquez sur Nom du trousseau, puis saisissez un nom pour votre trousseau de clés.
      2. Cliquez sur Emplacement du trousseau de clés, puis sélectionnez l'emplacement régional de votre trousseau de clés.
   3. Cliquez sur Continuer.
2. Créer une clé :
   1. Cliquez sur Nom de la clé, puis saisissez un nom pour votre nouvelle clé.
   2. Cliquez sur Niveau de protection, puis sélectionnez Logiciel ou HSM.

      Pour en savoir plus sur les niveaux de protection, consultez Niveaux de protection Cloud KMS.

3. Vérifiez les informations sur votre clé et votre trousseau, puis cliquez sur Continuer.
4. Cliquez sur Créer.

Quotas Cloud KMS et Application Integration

Lorsque vous utilisez des clés de chiffrement gérées par le client (CMEK) dans l'intégration d'applications, vos projets peuvent consommer des quotas de requêtes de chiffrement Cloud KMS. Par exemple, les clés CMEK peuvent utiliser ces quotas pour chaque appel de chiffrement et de déchiffrement.

Les opérations de chiffrement et de déchiffrement utilisant des clés CMEK affectent les quotas de Cloud KMS de différentes manières :

• Pour les clés logicielles CMEK générées dans Cloud KMS, aucun quota Cloud KMS n'est consommé.
• Pour les clés CMEK matérielles (parfois appelées clés Cloud HSM), les opérations de chiffrement et de déchiffrement sont décomptées des quotas Cloud HSM dans le projet qui contient la clé.
• Pour les clés CMEK externes (parfois appelées clés Cloud EKM), les opérations de chiffrement et de déchiffrement sont décomptées des quotas Cloud EKM dans le projet qui contient la clé.

Pour en savoir plus, consultez la page Quotas Cloud KMS.