Créer et obtenir une clé CMEK

Si vous utilisez des clés de chiffrement gérées par le client (CMEK) pour chiffrer vos ressources Assured Workloads, cette page vous explique comment créer et obtenir ces clés. Découvrez les options de chiffrement Assured Workloads.

Avant de commencer

  1. Vous devez être propriétaire du projet, être administrateur de l'organisation ou disposer d'un accès de sécurité au projet. Pour les nouveaux utilisateurs, consultez la section Premiers pas avec Assured Workloads.

  2. Choisissez un régime de conformité et une stratégie de chiffrement.

  3. Créez un dossier pour votre environnement Assured Workloads.

  4. Dans l'environnement Assured Workloads, créez un projet compatible avec votre régime de conformité comme suit :

  5. Sélectionnez l'ID du projet contenant vos clés CMEK Assured Workloads. Si vous avez choisi IL4 (Bêta) ou CJIS comme régime de conformité, ce projet commence par défaut par cmek-.

Créez la clé :

Pour créer la clé CMEK, procédez comme suit :

  1. Dans Google Cloud Console, accédez à la page "Clés cryptographiques" :

    Accéder à la page Clés cryptographiques

  2. Sélectionnez le projet CMEK Assured Workloads. Par défaut, cet ID de projet commence par cmek-.

  3. Cliquez sur votre trousseau de clés.

  4. Cliquez sur Create Key (Créer une clé).

  5. Dans la liste déroulante Quel type de clé souhaitez-vous créer ?, sélectionnez Clé générée.

  6. Dans Nom de la clé, saisissez le nom de la clé.

  7. Dans la liste déroulante Niveau de protection, sélectionnez Logiciel.

  8. Dans la liste déroulante Objectif, sélectionnez Chiffrement/déchiffrement symétrique.

  9. Dans la liste déroulante Période de rotation, sélectionnez 90 jours.

  10. Facultatif : Pour ajouter un libellé, procédez comme suit :

    1. Cliquez sur Ajouter un libellé.
    2. Saisissez une clé dans le champ de texte Clé.
    3. Saisissez une valeur dans le champ de texte Valeur.
  11. Cliquez sur Créer.

Vous pouvez voir que la clé a été créée.

Obtenir l'ID de ressource de votre clé CMEK

  1. Dans Google Cloud Console, dans le Sélecteur de projet, sélectionnez l'ID du projet contenant vos clés CMEK. Par défaut, si Assured Workloads crée ce projet, il ajoute l'ID du projet cmek- en tant que préfixe.
  2. Dans Sécurité, accédez à Clés cryptographiques :

    Accéder à la page Clés cryptographiques

  3. Sous Trousseaux de clés, cliquez sur le nom du trousseau.

  4. Dans l'onglet Clés de Détails du trousseau, cliquez sur le nom de la clé.

  5. Cliquez sur l'icône Plus à droite du nom de la clé.

  6. Cliquez sur Copier le nom de la ressource.

    La chaîne de ressource est formatée comme suit :

     projects/SECURITY_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
    

Étape suivante