Activer les clés de chiffrement gérées par le client

Cette page explique comment chiffrer le contenu stocké dans des dépôts avec des clés de chiffrement gérées par le client (CMEK).

Présentation

Par défaut, Google Cloud chiffre automatiquement les données au repos à l'aide de clés de chiffrement gérées par Google. Si vous avez des exigences réglementaires ou de conformité spécifiques liées aux clés qui protègent vos données, vous pouvez créer des dépôts chiffrés avec des clés CMEK. Les métadonnées relatives à un dépôt, telles que son nom, sont chiffrées à l'aide du chiffrement par défaut de Google.

Lorsque vous activez les CMEK, les données au repos dans les dépôts sont chiffrées à l'aide d'une clé que vous gérez dans Cloud Key Management Service. Vous pouvez contrôler l'accès aux clés CMEK à l'aide d'Identity and Access Management (IAM). Si vous désactivez temporairement ou détruisez définitivement la clé CMEK, les données chiffrées avec cette clé ne sont pas accessibles.

CMEK vous permet de contrôler davantage d'aspects du cycle de vie et de la gestion de vos clés, mais entraîne également des coûts supplémentaires pour le service Cloud KMS. Les dépôts Artifact Registry et les autres ressources Google Cloud chiffrées avec CMEK peuvent également consommer le quota Cloud KMS, en fonction du type de clé que vous utilisez. Vérifiez que vous disposez d'un quota suffisant pour activer le chiffrement des secrets au niveau de la couche d'application pour vos applications et workflows.

Cloud KMS peut s'exécuter dans le même projet Google Cloud que Artifact Registry ou dans un projet distinct dans lequel vous gérez de manière centralisée les clés de plusieurs projets. Pour assurer la séparation des tâches et un meilleur contrôle de l'accès aux clés, nous vous recommandons de créer et de gérer les clés dans un projet distinct qui inclut d'autres ressources Google Cloud.

Vous attribuez une clé CMEK lorsque vous créez un dépôt. Vous ne pouvez pas modifier le mécanisme de chiffrement d'un dépôt existant. Si vous disposez d'un dépôt chiffré par CMEK, vous ne pouvez pas remplacer le mécanisme de chiffrement par le chiffrement par défaut de Google ni attribuer une autre clé Cloud KMS pour le chiffrement.

Pour plus d'informations sur CMEK en général, y compris quand et pourquoi l'activer, consultez la documentation Cloud KMS.

Créer une clé et accorder des autorisations

Les instructions suivantes expliquent comment créer une clé pour un dépôt, et comment accorder des autorisations pour chiffrer et déchiffrer les données du dépôt à l'aide de cette clé. Vous pouvez utiliser une clé créée directement dans Cloud KMS ou une clé gérée en externe que vous rendez disponible avec Cloud External Key Manager.

  1. Dans le projet Google Cloud dans lequel vous souhaitez gérer vos clés, procédez comme suit :

    1. Activez l'API Cloud KMS.

    2. Créez un trousseau de clés et une clé à l'aide de l'une des options suivantes :

      L'emplacement de la clé Cloud KMS doit correspondre à l'emplacement du dépôt que vous allez chiffrer.

  2. Si vous n'avez pas créé de dépôt dans le projet Artifact Registry, le compte de service Artifact Registry n'existe pas encore. Pour créer le compte de service, exécutez la commande suivante:

    gcloud beta services identity create --service=artifactregistry.googleapis.com --project=PROJECT

    Remplacez PROJECT par l'ID du projet sur lequel Artifact Registry est exécuté.

  3. Attribuez le rôle IAM Chiffreur/Déchiffreur de CryptoKeys (roles/cloudkms.cryptoKeyEncrypterDecrypter) au compte de service Artifact Registry. Accordez cette autorisation sur la clé que vous avez créée.

    Console

    1. Accédez à la page Clés de chiffrement.

      Ouvrir la page Cloud KMS

    2. Sélectionnez la clé que vous avez créée.

    3. Accordez l'accès au compte de service Artifact Registry:

      1. Sélectionnez AFFICHER LE PANNEAU D'INFORMATIONS.
      2. Cliquez sur ADD MEMBER (AJOUTER UN MEMBRE).
      3. Ajoutez le compte de service Artifact Registry. Le compte de service est service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com, où PROJECT-NUMBER correspond au numéro du projet Google Cloud dans lequel Artifact Registry est exécuté.
      4. Dans Rôle, sélectionnez Cloud KMS > Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS.
      5. Cliquez sur ENREGISTRER.

    4. Répétez l'étape précédente pour accorder l'accès au compte qui créera des dépôts.

    5. Revenez à la page Clés de chiffrement, puis sélectionnez à nouveau la clé.

    6. Sélectionnez AFFICHER LE PANNEAU D'INFORMATIONS. Les rôles doivent s'afficher dans la colonne Rôle/Membre.

    gcloud

    1. Exécutez la commande suivante pour accorder l'accès au compte de service Artifact Registry:

      gcloud kms keys add-iam-policy-binding [--project=PROJECT] \
       KEY --location LOCATION --keyring=KEYRING \
       --member serviceAccount:service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com \
       --role roles/cloudkms.cryptoKeyEncrypterDecrypter

    2. Répétez l'étape précédente pour accorder l'accès au compte qui créera des dépôts.

    Pour plus d'informations sur cette commande, consultez la documentation gcloud kms keys add-iam-policy-binding.

Vous pouvez maintenant créer un dépôt et spécifier la clé à utiliser pour le chiffrement.

Supprimer un accès

Il existe plusieurs façons de supprimer l'accès à un dépôt chiffré par CMEK :

Nous vous recommandons de révoquer les autorisations du compte de service Artifact Registry avant de désactiver ou de détruire une clé. Les modifications apportées aux autorisations sont cohérentes en quelques secondes. Vous pouvez donc observer les conséquences de la désactivation ou de la destruction d'une clé.

Lorsque vous désactivez ou détruisez la clé de chiffrement d'un dépôt, vous ne pouvez plus afficher ni récupérer les données d'artefact. Toutes les données d'artefact stockées dans le dépôt deviennent inaccessibles, y compris les artefacts compilés, les données binaires arbitraires (blobs) et les fichiers manifestes tels qu'un fichier manifeste Docker ou un fichier de package npm. Les utilisateurs disposant du rôle de lecteur Artifact Registry ou du rôle de lecteur peuvent toujours afficher les métadonnées d'artefact telles que le nom, la version ou le tag de l'artefact.

Les utilisateurs dotés du rôle Administrateur Artifact Registry ou de Propriétaire peuvent supprimer le dépôt.

Règles d'administration CMEK

Artifact Registry est compatible avec les contraintes de règles d'administration pouvant nécessiter une protection CMEK.

Les règles permettent de limiter les CryptoKeys Cloud KMS pouvant être utilisées pour la protection des CMEK.

  • Lorsque l'API Artifact Registry figure dans la liste de stratégies Deny des services de la contrainte constraints/gcp.restrictNonCmekServices, Artifact Registry refuse de créer des dépôts qui ne sont pas protégés par des clés CMEK.

  • Lorsque la commande constraints/gcp.restrictCmekCryptoKeyProjects est configurée, Artifact Registry crée des dépôts protégés par une CryptoKey CMEK d'un projet, d'un dossier ou d'une organisation autorisés.

Pub/Sub accepte les mêmes contraintes. Lorsque vous activez l'API Artifact Registry dans un projet Google Cloud, Artifact Registry tente de créer automatiquement un sujet Pub/Sub avec l'ID de sujet gcr à l'aide de clés de chiffrement gérées par Google. Lorsque l'API Pub/Sub figure dans la liste des stratégies Deny pour la contrainte constraints/gcp.restrictNonCmekServices, Pub/Sub refuse de créer le sujet. Pour créer le sujet gcr avec un chiffrement CMEK, consultez les instructions Pub/Sub pour chiffrer des sujets.

Pour en savoir plus sur la configuration des règles d'administration, consultez la page Règles d'administration CMEK.

Étape suivante