Activer les clés de chiffrement gérées par le client

Cette page explique comment chiffrer le contenu stocké dans des dépôts avec avec des clés de chiffrement gérées par le client (CMEK).

Présentation

Par défaut, Google Cloud chiffre automatiquement les données lorsqu'elles REST à l'aide de clés appartenant à Google et gérées par Google. Si vous avez des exigences réglementaires ou de conformité spécifiques concernant les clés protéger vos données, vous pouvez créer des dépôts chiffrés avec des clés CMEK. Les métadonnées relatives à un dépôt, telles que son nom, sont chiffrées avec Chiffrement par défaut de Google.

Lorsque vous activez les CMEK, les données au repos dans les dépôts sont chiffrées à l'aide d'une clé que vous gérez dans Cloud Key Management Service. Vous pouvez contrôler l'accès à la clé CMEK à l'aide d'Identity and Access Management. Si vous désactivez temporairement ou détruisez définitivement la clé CMEK , les données chiffrées avec cette clé ne sont pas accessibles.

Les CMEK vous permettent de contrôler d'autres aspects du cycle de vie la gestion de vos clés, mais entraîne également des coûts supplémentaires pour le service Cloud KMS. aux dépôts Artifact Registry et autres Les ressources Google Cloud chiffrées avec CMEK peuvent aussi consommer Quota Cloud KMS, en fonction du type de clé que vous utilisez. Vérifier que vous disposez d'un quota suffisant pour activer les secrets au niveau de la couche d'application le chiffrement pour vos applications et workflows.

Cloud KMS peut s'exécuter dans le même projet Google Cloud que Artifact Registry ou dans un projet distinct dans lequel vous gérez de manière centralisée les clés de plusieurs projets. Pour permettre la séparation des tâches et un meilleur contrôle aux clés, nous vous recommandons de les créer et de les gérer dans un qui inclut d'autres ressources Google Cloud.

Vous attribuez une clé CMEK lorsque vous créez un dépôt. Vous ne pouvez pas modifier le mécanisme de chiffrement d'un dépôt existant. Si vous disposez d'une clé CMEK vous ne pouvez pas utiliser le mécanisme de chiffrement par défaut de Google ou attribuer une autre clé Cloud KMS pour le chiffrement.

Pour plus d'informations sur CMEK en général, y compris quand et pourquoi l'activer, consultez la documentation Cloud KMS.

Créer une clé et accorder des autorisations

Les instructions suivantes expliquent comment créer une clé pour un dépôt et accorder des autorisations pour chiffrer et déchiffrer les données du dépôt à l’aide de la clé. Toi peut utiliser une clé créée directement dans Cloud KMS mise à disposition avec Cloud External Key Manager.

  1. Dans le projet Google Cloud dans lequel vous souhaitez gérer vos clés, procédez comme suit :

    1. Activez l'API Cloud KMS.

    2. Créez un trousseau de clés et une clé à l'aide de l'une des options suivantes :

      L'emplacement de la clé Cloud KMS doit correspondre au Emplacement du dépôt du dépôt que vous allez chiffrer.

  2. Si vous n'avez pas créé de dépôt dans le projet Artifact Registry, le compte de service Artifact Registry n'existe pas encore. Pour créer le compte de service, exécutez la commande suivante:

    gcloud beta services identity create --service=artifactregistry.googleapis.com --project=PROJECT

    Remplacez PROJECT par l'ID du projet dans lequel Artifact Registry est en cours d'exécution.

  3. Accordez le rôle IAM Chiffreur/Déchiffreur de CryptoKeys. (roles/cloudkms.cryptoKeyEncrypterDecrypter) vers Artifact Registry de service géré. Accordez cette autorisation pour la clé que vous avez créée.

    Console

    1. Accédez à la page Clés de chiffrement.

      Ouvrez la page Cloud KMS.

    2. Sélectionnez la clé que vous avez créée.

    3. Accordez l'accès au compte de service Artifact Registry:

      1. Sélectionnez AFFICHER LE PANNEAU D'INFORMATIONS.
      2. Cliquez sur ADD MEMBER (AJOUTER UN MEMBRE).
      3. Ajoutez le compte de service Artifact Registry. Le compte de service service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com, où PROJECT-NUMBER est le numéro du projet Google Cloud dans lequel Artifact Registry est en cours d'exécution.
      4. Dans Rôle, sélectionnez Cloud KMS > Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS.
      5. Cliquez sur ENREGISTRER.

    4. Répétez l'étape précédente pour accorder l'accès au compte créer des dépôts.

    5. Revenez à la page Clés de chiffrement, puis sélectionnez à nouveau la clé.

    6. Sélectionnez AFFICHER LE PANNEAU D'INFORMATIONS. Vous devriez voir les rôles Colonne Rôle/Membre.

    gcloud

    1. Exécutez la commande suivante pour accorder l'accès à Artifact Registry compte de service:

      gcloud kms keys add-iam-policy-binding [--project=PROJECT] \
       KEY --location LOCATION --keyring=KEYRING \
       --member serviceAccount:service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com \
       --role roles/cloudkms.cryptoKeyEncrypterDecrypter

      • PROJECT est l'ID du projet contenant la clé.
      • KEY est le nom de la clé.
      • LOCATION correspond à l'emplacement de la clé. L'emplacement de clé doit correspondre à l'emplacement de dépôt du dépôt que vous chiffrez.
      • KEYRING est le nom du trousseau de clés ;
      • PROJECT-NUMBER est le numéro de projet du Projet Google Cloud qui exécute Artifact Registry.

    2. Répétez l'étape précédente pour accorder l'accès au compte créer des dépôts.

    Pour plus d'informations sur cette commande, consultez la documentation gcloud kms keys add-iam-policy-binding.

Vous pouvez maintenant créer un dépôt et spécifier la clé à utiliser pour le chiffrement.

Supprimer un accès

Il existe plusieurs façons de supprimer l'accès à un dépôt chiffré par CMEK :

Nous vous recommandons de révoquer les autorisations d'Artifact Registry compte de service avant de désactiver ou de détruire une clé. Les modifications apportées aux autorisations sont cohérentes en quelques secondes. Vous pouvez donc observer l'impact de la désactivation ou la destruction d'une clé.

Lorsque vous désactivez ou détruisez la clé de chiffrement d'un dépôt, vous perdez d'afficher ou de récupérer des données d'artefact. Toutes les données d'artefact stockées le dépôt devient inaccessible, y compris les artefacts de compilation, les fichiers binaires arbitraires des données (blobs) et des fichiers manifestes tels qu'un manifeste Docker ou un fichier de package npm. Utilisateurs disposant du rôle Lecteur Artifact Registry ou Lecteur peut toujours afficher les métadonnées de l'artefact, telles que son nom, la version ou la balise.

Les utilisateurs dotés du rôle Administrateur Artifact Registry ou de Propriétaire peuvent supprimer le dépôt.

Règles d'administration CMEK

Artifact Registry est compatible avec les contraintes liées aux règles d'administration qui peut nécessiter une protection CMEK.

Les règles peuvent limiter les CryptoKeys Cloud KMS pouvant être utilisées Protection CMEK

  • Lorsque l'API Artifact Registry figure dans la liste des services de la règle Deny contrainte constraints/gcp.restrictNonCmekServices, Artifact Registry refuse de créer des dépôts non protégés par des clés CMEK.

  • Lorsque constraints/gcp.restrictCmekCryptoKeyProjects est configuré, Artifact Registry crée des dépôts protégés par CMEK protégées par une CryptoKey d'un projet, d'un dossier ou d'une organisation autorisés.

Pub/Sub gère les mêmes contraintes. Lorsque vous activez API Artifact Registry dans un projet Google Cloud, Artifact Registry tente de créer automatiquement un sujet Pub/Sub avec l'ID de sujet gcr à l'aide de clés appartenant à Google et gérées par Google. Lorsque l'API Pub/Sub figure dans la liste des règles Deny pour la contrainte constraints/gcp.restrictNonCmekServices, Pub/Sub refuse créer le sujet. Pour créer le sujet gcr avec chiffrement CMEK, consultez la Instructions pour chiffrer les sujets Pub/Sub

Pour en savoir plus sur la configuration des règles d'administration, consultez Règles d'administration CMEK.

Étape suivante