Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Chiffrement de données et clés de chiffrement

Cet article fournit des informations sur le chiffrement des données sur Google Cloud ainsi que sur les clés de chiffrement.

Chiffrement du contenu en transit et au repos

Google Cloud active le chiffrement en transit par défaut afin de chiffrer les requêtes avant leur transmission et de protéger les données brutes à l'aide du protocole TLS (Transport Layer Security).

Une fois les données transférées vers Google Cloud pour le stockage, Google Cloud applique par défaut le chiffrement au repos. Pour mieux contrôler le chiffrement des données au repos, les clients de Google Cloud peuvent générer, utiliser, alterner et détruire des clés de chiffrement conformément à leurs propres règles en utilisant Cloud Key Management Service. Ces clés sont appelées clés de chiffrement gérées par le client (CMEK).

Pour certains régimes de conformité, Assured Workloads peut déployer un projet CMEK en même temps que votre projet de ressources lors de la création de l'environnement de charge de travail.

À la place de la CMEK, les clés de chiffrement gérées par Google sont fournies par défaut. Elles sont compatibles avec la norme FIPS-140-2, et sont compatibles avec le programme FedRAMP au niveau d'impact modéré et IL4. Les clients peuvent supprimer le projet CMEK et ne s'appuyer que sur des clés gérées par Google. Toutefois, nous vous recommandons de prendre la décision d'utiliser ou non des clés CMEK avant de créer votre environnement Assured Workloads car la suppression des clés CMEK en cours d'utilisation peut entraîner l'impossibilité d'accéder aux données ou de les récupérer.

Clés de chiffrement gérées par le client (CMEK)

Si vous avez besoin de plus de contrôle sur les clés utilisées pour chiffrer les données au repos dans un projet Google Cloud que celui fourni par le chiffrement par défaut de Google Cloud, les services Google Cloud offrent la possibilité de protéger les données à l'aide de clés de chiffrement gérées par le client dans Cloud KMS. Ces clés de chiffrement sont appelées clés de chiffrement gérées par le client (CMEK).

Pour connaître les aspects du cycle de vie et de la gestion des clés fournies par la fonctionnalité CMEK, consultez la page Clés de chiffrement gérées par le client (CMEK) de la documentation Cloud KMS. Pour accéder à un tutoriel qui vous guide dans la gestion des clés et des données chiffrées à l'aide de Cloud KMS, consultez le guide de démarrage rapide ou le codelab.

Étapes suivantes