Créer une charge de travail de disque persistant
Ce guide vous explique comment configurer des clés de chiffrement dans l'environnement Assured Workloads à l'aide de la console Google Cloud, puis comment utiliser ces clés pour sécuriser le disque persistant. Pour en savoir plus sur Assured Workloads, consultez la page Présentation d'Assured Workloads.
Avant de commencer
Vous devez être propriétaire du projet, être administrateur de l'organisation ou disposer d'un accès de sécurité au projet. Pour les nouveaux utilisateurs, consultez la section Premiers pas avec Assured Workloads.
Choisissez une stratégie de chiffrement.
Dans l'environnement Assured Workloads, créez un dossier compatible avec votre régime de conformité comme suit :
Sélectionnez l'ID du projet contenant vos clés CMEK Assured Workloads. Si vous avez choisi IL4 ou CJIS comme conformité, ce projet est créé par défaut.
Créez la clé :
Pour créer la clé CMEK, procédez comme suit :
Dans la console Google Cloud, accédez à "Clés de chiffrement" :
Sélectionnez le projet CMEK Assured Workloads. Par défaut, cet ID de projet commence par
cmek-.Cliquez sur votre trousseau de clés.
Cliquez sur Create Key (Créer une clé).
Dans la liste déroulante Quel type de clé souhaitez-vous créer ?, sélectionnez Clé générée.
Dans Nom de la clé, saisissez le nom de la clé.
Dans la liste déroulante Niveau de protection, sélectionnez Logiciel.
Dans la liste déroulante Objectif, sélectionnez Chiffrement/déchiffrement symétrique.
Dans la liste déroulante Période de rotation, sélectionnez 90 jours.
Facultatif : Pour ajouter un libellé, procédez comme suit :
- Cliquez sur Ajouter un libellé.
- Saisissez une clé dans le champ de texte Clé.
- Saisissez une valeur dans le champ de texte Valeur.
Cliquez sur Créer.
Vous pouvez voir que la clé a été créée.
Obtenir l'ID de ressource de votre clé CMEK
- Dans la console Google Cloud, dans le sélecteur de projet, sélectionnez l'ID du projet contenant vos clés CMEK. Par défaut, si Assured Workloads crée ce projet, il ajoute l'ID du projet
cmek-en tant que préfixe. Dans Sécurité, accédez à Clés cryptographiques :
Sous Trousseaux de clés, cliquez sur le nom du trousseau.
Dans l'onglet Clés de Détails du trousseau, cliquez sur le nom de la clé.
Cliquez sur l'icône more_vertPlus à droite du nom de la clé.
Cliquez sur Copier le nom de la ressource.
La chaîne de ressource est formatée comme suit :
projects/SECURITY_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
Chiffrer un disque persistant avec un ID de ressource CMEK
Accédez à la page Instances de VM.
Dans le Sélecteur de projet, sélectionnez le projet de ressources Assured Workloads dans lequel vous souhaitez créer la ressource de disque persistant.
Cochez la case et cliquez sur le nom de l'instance à laquelle vous souhaitez ajouter un disque.
Dans la section Informations sur l'instance de VM, cliquez sur Modifier.
Sous Disques supplémentaires, cliquez sur Ajouter un disque.
Spécifiez un nom pour le disque, configurez les propriétés du disque et sélectionnez Vide comme Type de source.
Sous Chiffrement, cliquez sur Clé de chiffrement gérée par le client (CMEK).
- Si vous ne voyez pas votre clé, sélectionnez Vous ne trouvez pas votre clé ? Saisissez l'ID de ressource de la clé. La boîte de dialogue "Saisissez l'ID de ressource de la clé" s'affiche.
- Suivez les instructions de la section Obtenir l'ID de ressource de votre clé CMEK, présentée précédemment dans ce guide.
- Collez la clé dans le champ ID de ressource de la clé.
- Cliquez sur Accorder.
- Cliquez sur Terminé pour terminer la configuration du disque.
Si vous n'avez pas créé de projet CMEK lors de la configuration d'Assured Workloads, procédez comme suit :
- Sélectionnez Clé de chiffrement gérée par Google.
- Cliquez sur OK.
Cliquez sur Enregistrer pour appliquer les modifications apportées à l'instance et ajouter le nouveau disque.
Étapes suivantes
- Apprenez à supprimer un environnement de charge de travail.