Cette page a été traduite par l'API Cloud Translation.

Utiliser des CMEK avec Dataproc sans serveur

Lorsque vous utilisez Dataproc sans serveur, les données sont stockées sur des disques de l'infrastructure sans serveur sous-jacente et dans un bucket de préproduction Cloud Storage. Ces données sont chiffrées à l'aide d'une clé de chiffrement des données (DEK) et d'une clé de chiffrement de clé (KEK) générées par Google. Vous pouvez utiliser une clé de chiffrement gérée par le client (CMEK) pour créer, utiliser et révoquer la clé de chiffrement de clé (KEK). Google conserve le contrôle de la clé de chiffrement des données (DEK). Pour en savoir plus sur les clés de chiffrement des données Google, consultez la page Chiffrement par défaut au repos.

Utiliser CMEK

Suivez les étapes de cette section pour utiliser une clé CMEK afin de chiffrer les données que Dataproc sans serveur écrit sur le disque persistant et dans le bucket de préproduction Dataproc.

À partir du 23 avril 2024 :

Dataproc sans serveur utilise également votre clé CMEK pour chiffrer les arguments des job par lot. Le rôle IAM Chiffreur/Déchiffreur de CryptoKeys Cloud KMS doit être attribué au compte de service de l'agent de service Dataproc pour permettre ce comportement. Si le rôle Agent de service Dataproc n'est pas associé au compte de service de l'agent de service Dataproc, ajoutez l'autorisation serviceusage.services.use à un rôle personnalisé associé au compte de l'agent de service Dataproc . L'API Cloud KMS doit être activée sur le projet qui exécute les ressources Dataproc sans serveur.
batches.list renvoie un champ unreachable qui répertorie tous les lots contenant des arguments de tâche qui n'ont pas pu être déchiffrés. Vous pouvez émettre des requêtes batches.get pour obtenir plus d'informations sur les lots inaccessibles.
La clé (CMEK) doit se trouver au même emplacement que la ressource chiffrée. Par exemple, la clé CMEK utilisée pour chiffrer un lot exécuté dans la région us-central1 doit également se trouver dans la région us-central1.

Créez une clé à l'aide de Cloud Key Management Service (Cloud KMS).

Copiez le nom de la ressource.

Le nom de la ressource se construit comme suit :

projects/PROJECT_ID/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME

Activez les comptes de service de l'agent de service Compute Engine, Dataproc et Cloud Storage pour utiliser votre clé:
1. Consultez la page Protéger les ressources à l'aide de clés Cloud KMS > Rôles requis pour attribuer le rôle Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS au compte de service de l'agent de service Compute Engine. Si ce compte de service ne figure pas sur la page IAM de la console Google Cloud, cliquez sur Inclure les attributions de rôles fournies par Google pour le répertorier.
2. Attribuez le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS au compte de service de l'agent de service Dataproc. Pour attribuer le rôle, vous pouvez utiliser Google Cloud CLI comme suit :
```
 gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
 --member serviceAccount:service-PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com \
 --role roles/cloudkms.cryptoKeyEncrypterDecrypter
```
  Remplacez les éléments suivants :
  
  KMS_PROJECT_ID: ID de votre projet Google Cloud qui exécute Cloud KMS. Il peut également s'agir du projet qui exécute les ressources Dataproc.
  
  PROJECT_NUMBER: numéro de projet (et non l'ID) de votre projet Google Cloud qui exécute des ressources Dataproc.
3. Activez l'API Cloud KMS sur le projet qui exécute les ressources Dataproc sans serveur.
4. Si le rôle Agent de service Dataproc n'est pas associé au compte de service Agent de service Dataproc, ajoutez l'autorisation serviceusage.services.use au rôle personnalisé associé au compte de service de l'agent de service Dataproc. Si le rôle Agent de service Dataproc est associé au compte de service Agent de service Dataproc, vous pouvez ignorer cette étape.
5. Suivez les étapes pour ajouter votre clé au bucket.
Lorsque vous envoyez une charge de travail par lot:
1. Spécifiez votre clé dans le paramètre kmsKey Batch.
2. Indiquez le nom de votre bucket Cloud Storage dans le paramètre Batch stagingBucket.