Utiliser les CMEK avec Dataproc sans serveur

Lorsque vous utilisez Dataproc sans serveur, les données sont stockées sur des disques de l'infrastructure sans serveur sous-jacente et dans un bucket de préproduction Cloud Storage. Ces données sont chiffrées à l'aide d'une clé de chiffrement des données (DEK, Data Encryption Key) et d'une clé de chiffrement de clé (KEK, Key Encryption Key) générées par Google. Vous pouvez utiliser une clé de chiffrement gérée par le client (CMEK) pour créer, utiliser et révoquer la clé de chiffrement de clé (KEK). Google conserve le contrôle de la clé de chiffrement des données (DEK). Pour en savoir plus sur les clés de chiffrement des données Google, consultez la page Chiffrement au repos par défaut.

Utiliser CMEK

Suivez les étapes de cette section pour chiffrer les données que Dataproc sans serveur écrit sur le disque persistant et dans le bucket de préproduction Dataproc à l'aide de CMEK.

  1. Créez une clé à l'aide du service Cloud Key Management Service (Cloud KMS).

  2. Copiez le nom de la ressource.

    Copiez le nom de la ressource.
    Le nom de la ressource se construit comme suit:
    projects/PROJECT_ID/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
    

  3. Autorisez les comptes de service Compute Engine, Dataproc et Cloud Storage Service Agent à utiliser votre clé:

    1. Consultez Protéger des ressources à l'aide de clés Cloud KMS > Rôles requis pour attribuer le rôle Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS au compte de service de l'agent de service Compute Engine. Si ce compte de service ne figure pas sur la page IAM de la console Google Cloud , cliquez sur Inclure les attributions de rôles fournies par Google pour l'afficher.
    2. Attribuez le rôle Cloud KMS CryptoKey Encrypter/Decrypter (Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS) au compte de service de l'agent de service Dataproc. Pour attribuer le rôle, vous pouvez utiliser Google Cloud CLI comme suit :

       gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
       --member serviceAccount:service-PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com \
       --role roles/cloudkms.cryptoKeyEncrypterDecrypter
      

      Remplacez les éléments suivants :

      KMS_PROJECT_ID: ID de votre projet Google Cloud exécutant Cloud KMS. Il peut également s'agir du projet qui exécute les ressources Dataproc.

      PROJECT_NUMBER: numéro de votre projet Google Cloud qui exécute les ressources Dataproc, et non son ID

    3. Activez l'API Cloud KMS sur le projet qui exécute les ressources sans serveur Dataproc.

    4. Si le rôle Agent de service Dataproc n'est pas associé au compte de service Agent de service Dataproc, ajoutez l'autorisation serviceusage.services.use au rôle personnalisé associé au compte de service Agent de service Dataproc. Si le rôle d'agent de service Dataproc est associé au compte de service de l'agent de service Dataproc, vous pouvez ignorer cette étape.

    5. Suivez la procédure pour ajouter votre clé au bucket.

  4. Lorsque vous envoyez une charge de travail par lot:

    1. Spécifiez votre clé dans le paramètre Batch kmsKey.
    2. Spécifiez le nom de votre bucket Cloud Storage dans le paramètre Batch stagingBucket.