Consultez la liste des connecteurs compatibles avec Application Integration.
Clés de chiffrement gérées par le client
Par défaut, Application Integration chiffre automatiquement les données au repos à l'aide de clés de chiffrement gérées par Google. Si vous avez des exigences réglementaires ou de conformité spécifiques liées aux clés qui protègent vos données, ou si vous souhaitez contrôler et gérer vous-même le chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK). Les clés CMEK peuvent être stockées en tant que clés logicielles, dans un cluster HSM ou en externe dans Cloud External Key Manager (Cloud EKM).
Pour en savoir plus sur les CMEK, consultez la documentation de Cloud Key Management Service.
Avant de commencer
Assurez-vous d'effectuer les tâches suivantes avant d'utiliser CMEK pour Application Integration:
- Activez l'API Cloud KMS pour le projet qui stockera vos clés de chiffrement.
- Attribuez le rôle IAM Administrateur Cloud KMS ou accordez les autorisations IAM suivantes pour le projet qui stockera vos clés de chiffrement :
cloudkms.cryptoKeys.setIamPolicy
cloudkms.keyRings.create
cloudkms.cryptoKeys.create
Pour en savoir plus sur l'attribution de rôles ou d'autorisations supplémentaires, consultez la page Accorder, modifier et révoquer les accès.
- Créez un trousseau de clés et une clé.
Ajouter un compte de service à la clé CMEK
Pour utiliser une clé CMEK dans Application Integration, vous devez vous assurer que votre compte de service par défaut a été ajouté et qu'il dispose du rôle IAM Chiffreur/Déchiffreur de CryptoKeys pour cette clé.
- Dans la console Google Cloud, accédez à la page Inventaire de clés.
- Cochez la case correspondant à la clé CMEK souhaitée.
L'onglet Autorisations s'affiche dans le volet de droite.
- Cliquez sur Ajouter un compte principal, puis saisissez l'adresse e-mail du compte de service par défaut.
- Cliquez sur Sélectionner un rôle, puis sélectionnez le rôle Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS dans la liste déroulante disponible.
- Cliquez sur Enregistrer.
Activer le chiffrement CMEK pour une région Application Integration
La fonctionnalité CMEK permet de chiffrer et de déchiffrer les données stockées sur des disques persistants dans le champ d'application de la région provisionnée.
Pour activer le chiffrement CMEK pour une région Application Integration dans votre projet Google Cloud, procédez comme suit :- Dans la console Google Cloud, accédez à la page Application Integration.
- Dans le menu de navigation, cliquez sur Régions.
La page Régions s'affiche. Elle répertorie les régions provisionnées pour Application Integration.
- Pour l'intégration existante que vous souhaitez utiliser avec des clés CMEK, cliquez sur Actions, puis sélectionnez Modifier le chiffrement.
- Dans le volet Modifier le chiffrement, développez la section Paramètres avancés.
- Sélectionnez Utiliser une clé de chiffrement gérée par le client (CMEK), puis procédez comme suit :
- Sélectionnez une clé CMEK dans la liste déroulante disponible. Les clés CMEK listées dans la liste déroulante sont basées sur la région provisionnée. Pour créer une clé, consultez Créer une clé CMEK.
- Cliquez sur Valider pour vérifier si votre compte de service par défaut dispose d'un accès cryptokey à la clé CMEK sélectionnée.
- Si la validation de la clé CMEK sélectionnée échoue, cliquez sur Attribuer pour attribuer le rôle IAM Chiffreur/Déchiffreur de CryptoKeys au compte de service par défaut.
- Cliquez sur OK.
Créer une clé CMEK
Vous pouvez créer une clé CMEK si vous ne souhaitez pas utiliser votre clé existante ou si vous n'en avez pas dans la région spécifiée.
Pour créer une clé de chiffrement symétrique, procédez comme suit dans la boîte de dialogue Créer une clé :- Sélectionnez le trousseau de clés :
- Cliquez sur Trousseau de clés, puis sélectionnez un trousseau existant dans la région spécifiée.
- Si vous souhaitez créer un trousseau de clés pour votre clé, cliquez sur le bouton Créer un trousseau, puis procédez comme suit :
- Cliquez sur Nom du trousseau de clés, puis saisissez le nom de votre trousseau de clés.
- Cliquez sur Emplacement du trousseau, puis sélectionnez l'emplacement régional de votre trousseau.
- Cliquez sur Continuer.
- Créer une clé :
- Cliquez sur Nom de la clé, puis saisissez un nom pour la nouvelle clé.
- Cliquez sur Protection level (Niveau de protection), puis sélectionnez Software (Logiciel) ou HSM.
Pour en savoir plus sur les niveaux de protection, consultez la page Niveaux de protection Cloud KMS.
- Vérifiez les informations concernant votre clé et votre trousseau de clés, puis cliquez sur Continuer.
- Cliquez sur Créer.
Quotas Cloud KMS et Application Integration
Lorsque vous utilisez des clés CMEK dans Application Integration, vos projets peuvent consommer les quotas de requêtes cryptographiques Cloud KMS. Par exemple, les clés CMEK peuvent consommer ces quotas pour chaque appel de chiffrement et de déchiffrement.
Les opérations de chiffrement et de déchiffrement utilisant des clés CMEK affectent les quotas de Cloud KMS de différentes manières :
- Pour les clés CMEK logicielles générées dans Cloud KMS, aucun quota Cloud KMS n'est consommé.
- Pour les clés CMEK matérielles (parfois appelées clés Cloud HSM), les opérations de chiffrement et de déchiffrement sont comptabilisées dans les quotas Cloud HSM du projet contenant la clé.
- Pour les clés CMEK externes, parfois appelées clés Cloud EKM, les opérations de chiffrement et de déchiffrement sont comptabilisées dans les quotas Cloud EKM du projet contenant la clé.
Pour en savoir plus, consultez la page Quotas Cloud KMS.