Activer les clés de chiffrement gérées par le client

Cette page explique comment chiffrer le contenu stocké dans des dépôts à l'aide de clés de chiffrement gérées par le client (CMEK).

Présentation

Par défaut, Google Cloud chiffre automatiquement les données au repos à l'aide de clés détenues et gérées par Google. Si vous avez des exigences réglementaires ou de conformité spécifiques liées aux clés qui protègent vos données, vous pouvez créer des dépôts chiffrés avec des clés CMEK. Les métadonnées relatives à un dépôt, telles que son nom, sont chiffrées avec le chiffrement par défaut de Google.

Lorsque vous activez CMEK, les données au repos dans les dépôts sont chiffrées à l'aide d'une clé que vous gérez dans Cloud Key Management Service. Vous pouvez contrôler l'accès à la clé CMEK à l'aide d'Identity and Access Management. Si vous désactivez temporairement ou détruisez définitivement la clé CMEK, les données chiffrées avec cette clé ne sont plus accessibles.

CMEK vous permet de contrôler davantage d'aspects du cycle de vie et de la gestion de vos clés, mais entraîne également des coûts supplémentaires pour le service Cloud KMS. Les dépôts Artifact Registry et les autres ressources Google Cloud chiffrées avec CMEK peuvent également consommer le quota Cloud KMS, selon le type de clé que vous utilisez. Vérifiez que vous disposez d'un quota suffisant pour activer le chiffrement des secrets au niveau de la couche d'application pour vos applications et vos workflows.

Cloud KMS peut s'exécuter dans le même projet Google Cloud que Artifact Registry ou dans un projet distinct dans lequel vous gérez de manière centralisée les clés de plusieurs projets. Pour permettre la séparation des tâches et un meilleur contrôle de l'accès aux clés, nous vous recommandons de créer et de gérer les clés dans un projet distinct incluant d'autres ressources Google Cloud.

Vous attribuez une clé CMEK lorsque vous créez un dépôt. Vous ne pouvez pas modifier le mécanisme de chiffrement d'un dépôt existant. Si vous disposez d'un dépôt chiffré par CMEK, vous ne pouvez pas remplacer le mécanisme de chiffrement par le chiffrement Google par défaut ni attribuer une autre clé Cloud KMS pour le chiffrement.

Pour plus d'informations sur CMEK en général, y compris quand et pourquoi l'activer, consultez la documentation Cloud KMS.

Créer une clé et accorder des autorisations

Les instructions suivantes expliquent comment créer une clé pour un dépôt et accorder des autorisations pour chiffrer et déchiffrer les données du dépôt à l'aide de la clé. Vous pouvez utiliser une clé créée directement dans Cloud KMS ou une clé gérée en externe que vous mettez à disposition avec Cloud External Key Manager.

  1. Dans le projet Google Cloud dans lequel vous souhaitez gérer vos clés, procédez comme suit :

    1. Activez l'API Cloud KMS.

    2. Créez un trousseau de clés et une clé à l'aide de l'une des options suivantes :

      L'emplacement de la clé Cloud KMS doit correspondre à l'emplacement du dépôt que vous allez chiffrer.

  2. Si vous n'avez pas créé de dépôt dans le projet Artifact Registry, le compte de service Artifact Registry n'existe pas encore. Pour créer le compte de service, exécutez la commande suivante:

    gcloud beta services identity create --service=artifactregistry.googleapis.com --project=PROJECT

    Remplacez PROJECT par l'ID du projet dans lequel Artifact Registry est exécuté.

  3. Attribuez le rôle IAM Chiffreur/Déchiffreur de CryptoKeys (roles/cloudkms.cryptoKeyEncrypterDecrypter) au compte de service Artifact Registry. Accordez cette autorisation pour la clé que vous avez créée.

    Console

    1. Accédez à la page Clés de chiffrement.

      Ouvrir la page Cloud KMS

    2. Sélectionnez la clé que vous avez créée.

    3. Accordez l'accès au compte de service Artifact Registry:

      1. Sélectionnez AFFICHER LE PANNEAU D'INFORMATIONS.
      2. Cliquez sur ADD MEMBER (AJOUTER UN MEMBRE).
      3. Ajoutez le compte de service Artifact Registry. Le compte de service est service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com, où PROJECT-NUMBER est le numéro du projet Google Cloud sur lequel Artifact Registry est exécuté.
      4. Dans Rôle, sélectionnez Cloud KMS > Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS.
      5. Cliquez sur ENREGISTRER.

    4. Répétez l'étape précédente pour accorder l'accès au compte qui créera des dépôts.

    5. Revenez à la page Clés de chiffrement, puis sélectionnez à nouveau la clé.

    6. Sélectionnez AFFICHER LE PANNEAU D'INFORMATIONS. Les rôles s'affichent dans la colonne Rôle/Membre.

    gcloud

    1. Exécutez la commande suivante pour accorder l'accès au compte de service Artifact Registry:

      gcloud kms keys add-iam-policy-binding [--project=PROJECT] \
       KEY --location LOCATION --keyring=KEYRING \
       --member serviceAccount:service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com \
       --role roles/cloudkms.cryptoKeyEncrypterDecrypter

      • PROJECT est l'ID du projet contenant la clé.
      • KEY est le nom de la clé.
      • LOCATION correspond à l'emplacement de la clé. L'emplacement de clé doit correspondre à l'emplacement de dépôt du dépôt que vous chiffrez.
      • KEYRING est le nom du trousseau de clés ;
      • PROJECT-NUMBER est le numéro du projet Google Cloud qui exécute Artifact Registry.

    2. Répétez l'étape précédente pour accorder l'accès au compte qui créera des dépôts.

    Pour plus d'informations sur cette commande, consultez la documentation gcloud kms keys add-iam-policy-binding.

Vous pouvez maintenant créer un dépôt et spécifier la clé à utiliser pour le chiffrement.

Supprimer un accès

Il existe plusieurs façons de supprimer l'accès à un dépôt chiffré par CMEK :

Nous vous recommandons de révoquer les autorisations du compte de service Artifact Registry avant de désactiver ou de détruire une clé. Les modifications apportées aux autorisations sont cohérentes en quelques secondes. Vous pouvez donc observer les conséquences de la désactivation ou de la destruction d'une clé.

Lorsque vous désactivez ou détruisez la clé de chiffrement d'un dépôt, vous perdez la possibilité d'afficher ou de récupérer les données d'artefact. Toutes les données d'artefact stockées dans le dépôt deviennent inaccessibles, y compris les artefacts compilés, les données binaires arbitraires (blobs) et les fichiers manifestes tels qu'un fichier manifeste Docker ou un fichier de package npm. Les utilisateurs disposant du rôle Lecteur Artifact Registry ou Lecteur peuvent toujours afficher les métadonnées des artefacts, telles que leur nom, leur version ou leur tag.

Les utilisateurs dotés du rôle Administrateur Artifact Registry ou de Propriétaire peuvent supprimer le dépôt.

Règles d'administration CMEK

Artifact Registry est compatible avec les contraintes de règle d'administration pouvant nécessiter une protection CMEK.

Les stratégies peuvent limiter les CryptoKeys Cloud KMS pouvant être utilisées pour la protection CMEK.

  • Lorsque l'API Artifact Registry figure dans la liste des services de stratégie Deny de la contrainte constraints/gcp.restrictNonCmekServices, Artifact Registry refuse de créer des dépôts non protégés par des clés CMEK.

  • Lorsque constraints/gcp.restrictCmekCryptoKeyProjects est configuré, Artifact Registry crée des dépôts protégés par une clé CMEK qui sont protégés par une CryptoKey provenant d'un projet, d'un dossier ou d'une organisation autorisés.

Pub/Sub gère les mêmes contraintes. Lorsque vous activez l'API Artifact Registry dans un projet Google Cloud, Artifact Registry tente de créer automatiquement un sujet Pub/Sub avec l'ID de sujet gcr à l'aide de clés détenues et gérées par Google. Lorsque l'API Pub/Sub figure dans la liste des règles Deny pour la contrainte constraints/gcp.restrictNonCmekServices, Pub/Sub refuse de créer le sujet. Pour créer le sujet gcr avec le chiffrement CMEK, consultez les instructions de chiffrement des sujets Pub/Sub.

Pour en savoir plus sur la configuration des règles d'administration, consultez la page Règles d'administration CMEK.

Étape suivante