Cette page a été traduite par l'API Cloud Translation.

Utiliser les CMEK avec Dataproc sans serveur

Lorsque vous utilisez Dataproc sans serveur, les données sont stockées sur des disques une infrastructure sans serveur et dans un Cloud Storage bucket de préproduction. Ces données sont chiffrées à l'aide d'une clé de chiffrement des données (DEK, Data Encryption Key) et d'une clé de chiffrement de clé (KEK, Key Encryption Key) générées par Google. Vous pouvez utiliser une clé de chiffrement gérée par le client (CMEK) pour créer, utiliser et révoquer la clé de chiffrement de clé (KEK). Google conserve le contrôle de la clé de chiffrement des données (DEK). Pour en savoir plus sur les clés de chiffrement des données Google, consultez la page Chiffrement au repos par défaut.

Utiliser CMEK

Suivez les étapes de cette section pour chiffrer les données Dataproc sans serveur à l'aide d'une clé CMEK écrit sur le disque persistant et dans le bucket de préproduction Dataproc.

À partir du 23 avril 2024 :

Dataproc sans serveur utilise également votre clé CMEK pour chiffrer les arguments des job par lot. Le rôle IAM Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS doit être attribué au compte de service de l'agent de service Dataproc pour activer ce comportement. Si le rôle Agent de service Dataproc n'est pas associé au compte de service de l'agent de service Dataproc, ajoutez l'autorisation serviceusage.services.use à un rôle personnalisé associé au compte de service de l'agent de service Dataproc. L'API Cloud KMS doit être activée dans le projet qui exécute les ressources sans serveur Dataproc.
batches.list renvoie un champ unreachable qui liste tous les lots avec des arguments de tâche qui n'ont pas pu être déchiffrés. Vous pouvez envoyer des requêtes batches.get pour obtenir plus d'informations sur les lots inaccessibles.
La clé (CMEK) doit se trouver au même emplacement que la ressource chiffrée. Par exemple, la clé CMEK utilisée pour chiffrer un lot qui s'exécute dans la région us-central1 doit également être situé dans la région us-central1.

Créez une clé à l'aide de la méthode Cloud Key Management Service (Cloud KMS) :

Copiez le nom de la ressource.

Le nom de la ressource se construit comme suit :

projects/PROJECT_ID/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME

Activer les agents de service Compute Engine, Dataproc et Cloud Storage comptes de service pour utiliser votre clé:
1. Consultez Protéger les ressources à l'aide de clés Cloud KMS > Rôles requis. pour attribuer le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS au Compte de service de l'agent de service Compute Engine. Si ce compte de service ne figure pas dans la liste Sur la page IAM de la console Google Cloud, cliquez sur Inclure les attributions de rôles fournies par Google. pour la lister.
2. Attribuez le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS. au compte de service de l'agent de service Dataproc. Pour attribuer le rôle, vous pouvez utiliser Google Cloud CLI comme suit :
```
 gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
 --member serviceAccount:service-PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com \
 --role roles/cloudkms.cryptoKeyEncrypterDecrypter
```
  Remplacez les éléments suivants :
  
  KMS_PROJECT_ID : ID de votre projet Google Cloud exécutant Cloud KMS. Il peut également s'agir du projet qui exécute les ressources Dataproc.
  
  PROJECT_NUMBER : numéro de projet (et non ID de projet) de votre projet Google Cloud qui exécute des ressources Dataproc.
3. Activez l'API Cloud KMS sur le projet qui exécute les ressources Dataproc sans serveur.
4. Si le rôle d'agent de service Dataproc n'est pas associé au compte de service d'agent de service Dataproc, puis ajoutez l'autorisation serviceusage.services.use associé au compte de service de l'agent de service Dataproc. Si le rôle d'agent de service Dataproc est associé au compte de service de l'agent de service Dataproc, vous pouvez ignorer cette étape.
5. Suivez les étapes pour ajoutez votre clé sur le bucket.
Lorsque vous envoyez une charge de travail par lot :
1. Spécifiez votre clé dans le paramètre Batch kmsKey.
2. Indiquez le nom de votre bucket Cloud Storage dans le fichier Batch stagingBucket.