Utiliser des clés de chiffrement gérées par le client (CMEK)

Par défaut, Eventarc chiffre le contenu client au repos. Eventarc gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.

Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Eventarc. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Cloud KMS vous permet également d'afficher les journaux d'audit et de contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.

Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Eventarc est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).

Les clés de chiffrement gérées par le client sont stockées sous forme de clés logicielles, dans un cluster Cloud HSM ou en externe à l'aide de Cloud External Key Manager.

Éléments protégés par CMEK

Vous pouvez configurer le chiffrement CMEK pour chiffrer les messages d'événement qui transitent par les ressources Eventarc Advanced suivantes:

  • MessageBus : bus Eventarc Advanced
  • Pipeline : pipeline Eventarc Advanced
  • GoogleApiSource : ressource Eventarc Advanced représentant un abonnement aux événements de l'API Google pour un bus spécifique

Pour en savoir plus, consultez la présentation d'Eventarc Advanced.

Lorsque vous activez CMEK pour une ressource, il protège les données associées à la ressource dans cette région à l'aide d'une clé de chiffrement à laquelle vous seul pouvez accéder.

Cloud KMS et Eventarc sont des services régionalisés. La région de la clé Cloud KMS et de la ressource Eventarc Advanced protégée doivent être identiques.

Avant de commencer

Avant d'utiliser cette fonctionnalité dans Eventarc, vous devez effectuer les actions suivantes:

Console

  1. Enable the Cloud KMS and Eventarc APIs.

    Enable the APIs

  2. Créez un trousseau de clés.
  3. Créez une clé pour un trousseau de clés spécifié.

gcloud

  1. Mettez à jour les composants gcloud.
    gcloud components update
  2. Activez les API Cloud KMS et Eventarc pour le projet qui stockera vos clés de chiffrement. 
    gcloud services enable cloudkms.googleapis.com eventarc.googleapis.com
  3. Créez un trousseau de clés.
  4. Créez une clé pour un trousseau de clés spécifié.

Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help.

Accorder au compte de service Eventarc l'accès à une clé

Pour permettre au compte de service Eventarc d'accéder à la clé Cloud KMS, ajoutez-le en tant que compte principal de clé et attribuez-lui le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS:

Console

Lorsque vous activez CMEK pour un bus ou un pipeline à l'aide de la console Google Cloud, vous êtes invité à attribuer le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS au compte de service. Pour en savoir plus, consultez les sections Activer CMEK pour un bus ou Activer CMEK pour un pipeline dans ce document.

gcloud

 gcloud kms keys add-iam-policy-binding KEY_NAME \
     --keyring KEY_RING \
     --location REGION \
     --member serviceAccount:SERVICE_AGENT_EMAIL \
     --role roles/cloudkms.cryptoKeyEncrypterDecrypter

Remplacez les éléments suivants :

  • KEY_NAME: nom de la clé (par exemple, my-key)
  • KEY_RING: nom du trousseau de clés (par exemple, my-keyring)
  • REGION: emplacement de la clé (par exemple, us-central1)

  • SERVICE_AGENT_EMAIL: adresse e-mail du compte de service avec le rôle eventarc.serviceAgent

    Par exemple, service-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com. Pour plus d'informations, consultez la page Agents de service.

Activer CMEK pour un bus

Lorsque vous activez le chiffrement CMEK pour un bus Eventarc Advanced, tous les messages qui transitent par le bus sont entièrement chiffrés avec cette clé CMEK.

Console

  1. Dans la console Google Cloud, accédez à la page Eventarc > Bus.

    Accéder à "Bus"

  2. Vous pouvez créer un bus ou, si vous mettez à jour un bus, cliquer sur son nom.

  3. Sur la page Détails du bus, cliquez sur Modifier.

  4. Sur la page Modifier le bus, sous Chiffrement, sélectionnez Clé Cloud KMS.

  5. Dans la liste Type de clé, sélectionnez une méthode pour gérer vos clés.

    Vous pouvez gérer vos clés manuellement ou utiliser Autokey, qui vous permet de générer des trousseaux et des clés à la demande. Si l'option Autokey est désactivée, cela indique qu'elle n'est pas encore intégrée au type de ressource actuel.

  6. Dans la liste Sélectionner une clé Cloud KMS, sélectionnez une clé.

  7. (Facultatif) Pour saisir manuellement le nom de ressource de la clé, dans la liste Sélectionner une clé Cloud KMS, cliquez sur Saisir la clé manuellement, puis saisissez le nom de clé au format spécifié.

  8. Si vous y êtes invité, attribuez le rôle cloudkms.cryptoKeyEncrypterDecrypter à l'agent de service Eventarc.

  9. Cliquez sur Enregistrer.

gcloud

Utilisez la commande gcloud beta eventarc message-buses update pour activer CMEK pour votre bus:

gcloud beta eventarc message-buses update BUS_NAME \
    --location=REGION \
    --crypto-key=KEY

Remplacez les éléments suivants :

  • BUS_NAME: l'ID ou l'identifiant complet de votre bus
  • REGION: un emplacement Eventarc Advanced compatible

  • KEY: nom complet de la clé Cloud KMS au format projects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME

    Le REGION de la clé doit correspondre à l'emplacement du bus à protéger.

Vérifier l'utilisation de Cloud KMS

Vérifiez que le bus est désormais compatible avec CMEK.

Console

  1. Dans la console Google Cloud, accédez à la page Eventarc > Bus.

    Accéder à "Bus"

  2. Cliquez sur le nom du bus que vous avez protégé à l'aide de CMEK.

  3. Sur la page Détails du bus, l'état Chiffrement indique la clé de chiffrement gérée par le client utilisée. Vous pouvez cliquer sur la clé pour y accéder dans Security Command Center.

    Sinon, le message d'état est Event messages encrypted using Google-managed encryption keys.

gcloud

Utilisez la commande gcloud beta eventarc message-buses describe pour décrire votre bus:

 gcloud beta eventarc message-buses describe BUS_NAME \
     --location=REGION

La sortie devrait ressembler à ce qui suit :

 cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
 name: projects/PROJECT_ID/locations/REGION/messageBuses/BUS_NAME
 updateTime: '2022-06-28T17:24:56.365866104Z'

La valeur cryptokeyName affiche la clé Cloud KMS utilisée pour le bus.

Désactiver CMEK pour un bus

Vous pouvez désactiver la protection CMEK associée à un bus. Les événements distribués via le bus sont toujours protégés par Google-owned and Google-managed encryption keys.

Console

  1. Dans la console Google Cloud, accédez à la page Eventarc > Bus.

    Accéder à "Bus"

  2. Cliquez sur le nom du bus.

  3. Sur la page Détails du bus, cliquez sur Modifier.

  4. Sur la page Modifier le bus, pour Chiffrement, sélectionnez Clé de chiffrement gérée par Google.

  5. Cliquez sur Enregistrer.

gcloud

Utilisez la commande gcloud beta eventarc message-buses update pour désactiver le chiffrement CMEK pour votre bus:

gcloud beta eventarc message-buses update BUS_NAME \
    --location=REGION \
    --clear-crypto-key

Activer CMEK pour un pipeline

Lorsque vous activez le chiffrement CMEK pour un pipeline Eventarc Advanced, tous les messages qui transitent par le pipeline sont entièrement chiffrés avec cette clé CMEK.

Console

  1. Dans la console Google Cloud, accédez à la page Eventarc > Pipelines.

    Accéder à la page Pipelines

  2. Vous pouvez créer un pipeline ou, si vous mettez à jour un pipeline, cliquer sur son nom.

  3. Sur la page Détails du pipeline, cliquez sur Modifier.

  4. Sur la page Modifier le pipeline, sous Chiffrement, sélectionnez Clé Cloud KMS.

  5. Dans la liste Type de clé, sélectionnez une méthode pour gérer vos clés.

    Vous pouvez gérer vos clés manuellement ou utiliser Autokey, qui vous permet de générer des trousseaux et des clés à la demande. Si l'option Autokey est désactivée, cela indique qu'elle n'est pas encore intégrée au type de ressource actuel.

  6. Dans la liste Sélectionner une clé Cloud KMS, sélectionnez une clé.

  7. (Facultatif) Pour saisir manuellement le nom de ressource de la clé, dans la liste Sélectionner une clé Cloud KMS, cliquez sur Saisir la clé manuellement, puis saisissez le nom de clé au format spécifié.

  8. Si vous y êtes invité, attribuez le rôle cloudkms.cryptoKeyEncrypterDecrypter à l'agent de service Eventarc.

  9. Cliquez sur Enregistrer.

gcloud

Utilisez la commande gcloud beta eventarc pipelines update pour activer le chiffrement CMEK pour un pipeline:

 gcloud beta eventarc pipelines update PIPELINE_NAME \
     --location=REGION \
     --crypto-key=KEY

Remplacez les éléments suivants :

  • PIPELINE_NAME: ID ou identifiant complet de votre pipeline
  • REGION: un emplacement Eventarc Advanced compatible

  • KEY: nom complet de la clé Cloud KMS au format projects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME

    Le REGION de la clé doit correspondre à l'emplacement du pipeline à protéger.

Vérifier l'utilisation de Cloud KMS

Vérifiez que le pipeline est désormais compatible avec CMEK.

Console

  1. Dans la console Google Cloud, accédez à la page Eventarc > Pipelines.

    Accéder à la page Pipelines

  2. Cliquez sur le nom du pipeline que vous avez protégé à l'aide du chiffrement CMEK.

  3. Sur la page Détails du pipeline, l'état Chiffrement indique la clé de chiffrement gérée par le client utilisée. Vous pouvez cliquer sur la clé pour y accéder dans Security Command Center.

    Sinon, le message d'état est Event messages encrypted using Google-managed encryption keys.

gcloud

Utilisez la commande gcloud beta eventarc pipelines describe pour vérifier CMEK pour votre pipeline:

 gcloud beta eventarc pipelines describe PIPELINE_NAME \
     --location=REGION

La sortie devrait ressembler à ce qui suit :

 createTime: '2022-06-28T18:05:52.403999904Z'
 cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
 destinations: ...
 name: projects/PROJECT_ID/locations/REGION/pipelines/PIPELINE_NAME
 uid: 5ea277f9-b4b7-4e7f-a8e0-6ca9d7204fa3
 updateTime: '2022-06-28T18:09:18.650727516Z'

La valeur cryptokeyName affiche la clé Cloud KMS utilisée pour le pipeline.

Désactiver le chiffrement CMEK pour un pipeline

Vous pouvez désactiver la protection CMEK associée à un pipeline. Les événements distribués via le pipeline sont toujours protégés par Google-owned and Google-managed encryption keys.

Console

  1. Dans la console Google Cloud, accédez à la page Eventarc > Pipelines.

    Accéder à la page Pipelines

  2. Cliquez sur le nom du pipeline.

  3. Sur la page Détails du pipeline, cliquez sur Modifier.

  4. Sur la page Modifier le pipeline, pour Chiffrement, sélectionnez Clé de chiffrement gérée par Google.

  5. Cliquez sur Enregistrer.

gcloud

Utilisez la commande gcloud beta eventarc pipelines update pour désactiver le chiffrement CMEK pour votre pipeline:

gcloud beta eventarc pipelines update PIPELINE_NAME \
    --location=REGION \
    --clear-crypto-key

Activer CMEK pour les sources d'API Google

Lorsque vous activez le chiffrement CMEK pour une ressource GoogleApiSource, tous les messages collectés pour cette ressource sont entièrement chiffrés avec la clé CMEK.

Console

  1. Dans la console Google Cloud, accédez à la page Eventarc > Bus.

    Accéder à "Bus"

  2. Vous pouvez créer un bus ou, si vous mettez à jour un bus, cliquer sur son nom.

  3. Sur la page Détails du bus, cliquez sur Modifier.

  4. Pour ajouter une source de messages, cliquez sur  Ajouter une source.

    Si une source de messages existe déjà, vous devez d'abord la supprimer, puis ajouter une nouvelle source de messages.

  5. Dans le volet Ajouter une source de message, pour le fournisseur de messages de l'API Google, acceptez la valeur par défaut google-api-source.

  6. Pour Chiffrement, sélectionnez Clé Cloud KMS, puis procédez comme suit:

    1. Dans la liste Type de clé, sélectionnez une méthode pour gérer vos clés.

      Vous pouvez gérer vos clés manuellement ou utiliser Autokey, qui vous permet de générer des trousseaux de clés et des clés à la demande. Si l'option Autokey est désactivée, cela indique qu'elle n'est pas encore intégrée au type de ressource actuel.

    2. Dans Sélectionner une clé Cloud KMS, sélectionnez une clé.

      Vous devez sélectionner une région avant de pouvoir afficher vos clés gérées par le client.

    3. (Facultatif) Pour saisir manuellement le nom de ressource de la clé, dans la liste Sélectionner une clé Cloud KMS, cliquez sur Saisir la clé manuellement, puis saisissez le nom de clé au format spécifié.

    4. Si vous y êtes invité, attribuez le rôle cloudkms.cryptoKeyEncrypterDecrypter à l'agent de service Eventarc.

  7. Cliquez sur Créer.

    Cela permet de collecter automatiquement les événements provenant directement de sources Google, et tous les messages d'événement sont entièrement chiffrés avec la clé CMEK.

    Seuls les événements des ressources du même Google Cloud projet que leGoogleApiSource sont publiés. Pour en savoir plus, consultez la section Publier des événements à partir de sources Google.

  8. Cliquez sur Enregistrer.

gcloud

Utilisez la commande gcloud beta eventarc google-api-sources update pour activer CMEK pour votre ressource GoogleApiSource:

gcloud beta eventarc google-api-sources update GOOGLE_API_SOURCE_NAME \
    --location=REGION \
    --crypto-key=KEY

Remplacez les éléments suivants :

  • GOOGLE_API_SOURCE_NAME: ID ou identifiant complet de votre ressource GoogleApiSource
  • REGION: un emplacement Eventarc Advanced compatible

  • KEY: nom complet de la clé Cloud KMS au format projects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME

    Le REGION de la clé doit correspondre à l'emplacement de la ressource à protéger.

Vérifier l'utilisation de Cloud KMS

Vérifiez que la ressource est désormais compatible avec CMEK.

Console

  1. Dans la console Google Cloud, accédez à la page Eventarc > Bus.

    Accéder à "Bus"

  2. Cliquez sur le nom du bus dont vous avez protégé la source de messages à l'aide d'une clé Cloud KMS.

  3. Sur la page Détails du bus, cliquez sur Modifier.

    La clé qui chiffre votre source de message doit être listée. Vous pouvez cliquer sur la clé pour y accéder dans Security Command Center.

    Sinon, le message d'état Encryption (Chiffrement) est Event messages encrypted using Google-managed encryption keys.

gcloud

Utilisez la commande gcloud beta eventarc google-api-sources describe pour vérifier la CMEK de votre ressource GoogleApiSource:

  gcloud beta eventarc google-api-sources describe GOOGLE_API_SOURCE_NAME \
      --location=REGION

La sortie devrait ressembler à ce qui suit :

  createTime: '2022-06-28T18:05:52.403999904Z'
  cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
  destination: projects/PROJECT_ID/locations/REGION/messageBuses/BUS_NAME
  name: projects/PROJECT_ID/locations/REGION/googleApiSources/GOOGLE_API_SOURCE_NAME
  uid: 5ea277f9-b4b7-4e7f-a8e0-6ca9d7204fa3
  updateTime: '2022-06-28T18:09:18.650727516Z'

La valeur cryptokeyName affiche la clé Cloud KMS utilisée pour le pipeline.

Désactiver CMEK pour les sources d'API Google

Vous pouvez désactiver la protection CMEK associée aux sources d'API Google. Les événements collectés via la ressource GoogleApiSource sont toujours protégés par Google-owned and Google-managed encryption keys.

Console

  1. Dans la console Google Cloud, accédez à la page Eventarc > Bus.

    Accéder à "Bus"

  2. Cliquez sur le nom du bus dont vous avez protégé la source de message à l'aide de CMEK.

  3. Sur la page Détails du bus, cliquez sur Modifier.

  4. Pour supprimer la source de message chiffrée par une clé Cloud KMS, cliquez sur  Supprimer la ressource.

  5. Si nécessaire, ajoutez à nouveau la source du message.

gcloud

Utilisez la commande gcloud beta eventarc google-api-sources update pour désactiver le chiffrement CMEK pour votre ressource GoogleApiSource:

gcloud beta eventarc google-api-sources update GOOGLE_API_SOURCE_NAME \
    --location=REGION \
    --clear-crypto-key

Appliquer une règle d'administration CMEK

Eventarc s'intègre à deux contraintes de règle d'administration pour garantir l'utilisation des CMEK dans l'ensemble d'une organisation:

  • constraints/gcp.restrictNonCmekServices permet d'exiger la protection CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects permet de limiter les clés Cloud KMS utilisées pour la protection CMEK.

Cette intégration vous permet de spécifier les exigences de conformité en matière de chiffrement suivantes pour les ressources Eventarc de votre organisation:

Éléments à prendre en compte lors de l'application de règles d'administration

Avant d'appliquer des règles d'administration CMEK, vous devez connaître les points suivants.

  • Préparez-vous à un retard de propagation

    Après avoir défini ou mis à jour une règle d'administration, la prise en compte de la nouvelle règle peut prendre jusqu'à 15 minutes.

  • Tenir compte des ressources existantes

    Les ressources existantes ne sont pas soumises aux règles d'administration nouvellement créées. Par exemple, une règle d'administration ne s'applique pas rétroactivement aux pipelines existants. Ces ressources restent accessibles sans CMEK et, le cas échéant, sont toujours chiffrées avec des clés existantes.

  • Vérifier les autorisations requises pour définir une règle d'administration

    L'autorisation de définir ou de mettre à jour la règle d'administration peut s'avérer difficile à obtenir à des fins de test. Vous devez disposer du rôle Administrateur des règles d'administration, qui ne peut être accordé qu'au niveau de l'organisation (et non au niveau du projet ou du dossier).

    Bien que le rôle doit être accordé au niveau de l'organisation, il est toujours possible de spécifier une stratégie qui ne s'applique qu'à un projet ou un dossier spécifique.

Exiger des CMEK pour les nouvelles ressources Eventarc

Vous pouvez utiliser la contrainte constraints/gcp.restrictNonCmekServices pour exiger que les CMEK soient utilisées pour protéger les nouvelles ressources Eventarc d'une organisation.

Si cette règle d'administration est définie, toutes les requêtes de création de ressources sans clé Cloud KMS spécifiée échouent.

Une fois cette règle définie, elle ne s'applique qu'aux nouvelles ressources du projet. Toutes les ressources existantes sans clé Cloud KMS appliquée continuent d'exister et sont accessibles sans problème.

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page Règles d'administration

  2. Utilisez le filtre pour rechercher la contrainte suivante:

    constraints/gcp.restrictNonCmekServices

  3. Dans la colonne "Nom", cliquez sur Restreindre les services autorisés à créer des ressources sans CMEK.

  4. Cliquez sur Gérer la règle.

  5. Sur la page Modifier la règle, sous Source de la règle, sélectionnez Remplacer la règle parente.

  6. Sous Règles, cliquez sur Ajouter une règle.

  7. Dans la liste Valeurs de règles, sélectionnez Personnalisé.

  8. Dans la liste Policy type (Type de règle), sélectionnez Deny (Refuser).

  9. Dans le champ Valeurs personnalisées, saisissez les valeurs suivantes:

    is:eventarc.googleapis.com

  10. Cliquez sur OK, puis sur Définir la règle.

gcloud

  1. Créez un fichier temporaire /tmp/policy.yaml pour stocker la règle :

      name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
  spec:
    rules:
    - values:
        deniedValues:
        - is:eventarc.googleapis.com

    Remplacez PROJECT_ID par l'ID du projet auquel vous appliquez cette contrainte.

  2. Exécutez la commande org-policies set-policy :

    gcloud org-policies set-policy /tmp/policy.yaml

Pour vérifier que la stratégie est appliquée, vous pouvez essayer de créer un pipeline Eventarc Advanced dans le projet. Le processus échoue, sauf si vous spécifiez une clé Cloud KMS.

Restreindre les clés Cloud KMS pour un projet Eventarc

La contrainte constraints/gcp.restrictCmekCryptoKeyProjects vous permet de restreindre les clés Cloud KMS que vous pouvez utiliser pour protéger une ressource dans un projet Eventarc.

Par exemple, vous pouvez spécifier une règle semblable à la suivante: "Pour les ressources Eventarc applicables dans projects/my-company-data-project, les clés Cloud KMS utilisées dans ce projet doivent provenir de projects/my-company-central-keys OU projects/team-specific-keys."

Console

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page Règles d'administration

  2. Utilisez le filtre pour rechercher la contrainte suivante:

    constraints/gcp.restrictCmekCryptoKeyProjects

  3. Dans la colonne "Nom", cliquez sur Limiter les projets pouvant fournir des clés CryptoKeys KMS pour CMEK.

  4. Cliquez sur Gérer la règle.

  5. Sur la page Modifier la règle, sous Source de la règle, sélectionnez Remplacer la règle parente.

  6. Sous Règles, cliquez sur Ajouter une règle.

  7. Dans la liste Valeurs de règles, sélectionnez Personnalisé.

  8. Dans la liste Type de règle, sélectionnez Autoriser.

  9. Dans le champ Valeurs personnalisées, saisissez les valeurs suivantes:

    under:projects/KMS_PROJECT_ID

    Remplacez KMS_PROJECT_ID par l'ID du projet dans lequel se trouvent les clés Cloud KMS que vous souhaitez utiliser.

    Par exemple, under:projects/my-kms-project.

  10. Cliquez sur OK, puis sur Définir la règle.

gcloud

  1. Créez un fichier temporaire /tmp/policy.yaml pour stocker la règle :

      name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
  spec:
    rules:
    - values:
        allowedValues:
        - under:projects/KMS_PROJECT_ID

    Remplacez les éléments suivants

    • PROJECT_ID: ID du projet auquel vous appliquez cette contrainte.
    • KMS_PROJECT_ID: ID du projet dans lequel se trouvent les clés Cloud KMS que vous souhaitez utiliser.

  2. Exécutez la commande org-policies set-policy :

    gcloud org-policies set-policy /tmp/policy.yaml

Pour vérifier que la règle a bien été appliquée, vous pouvez essayer de créer un pipeline Eventarc Advanced à l'aide d'une clé Cloud KMS d'un autre projet. Le processus échoue.

Désactiver et activer des clés Cloud KMS

Une version de clé stocke le matériel de clé cryptographique que vous utilisez pour chiffrer, déchiffrer, signer et valider les données. Vous pouvez désactiver cette version de clé pour que les données chiffrées avec la clé ne soient pas accessibles.

Lorsque Eventarc ne peut pas accéder aux clés Cloud KMS, le routage des événements échoue avec des erreurs FAILED_PRECONDITION et la distribution des événements s'arrête. Vous pouvez activer une clé à l'état Désactivée afin que les données chiffrées soient à nouveau accessibles.

Désactiver des clés Cloud KMS

Pour empêcher Eventarc d'utiliser la clé pour chiffrer ou déchiffrer vos données d'événement, effectuez l'une des opérations suivantes :

  • Nous vous recommandons de désactiver la version de clé que vous avez configurée pour le bus ou le pipeline. Cela n'affecte que le bus ou le pipeline Eventarc Advanced associé à la clé spécifique.
  • (Facultatif) Révoquez le rôle cloudkms.cryptoKeyEncrypterDecrypter du compte de service Eventarc. Cela affecte toutes les ressources Eventarc du projet qui sont compatibles avec les événements chiffrés à l'aide de CMEK.

Même si aucune de ces opérations ne garantit une révocation immédiate des accès, les modifications de la gestion de l'authentification et des accès (IAM) se propagent généralement plus rapidement. Pour en savoir plus, consultez les pages Cohérence des ressources Cloud KMS et Propagation des modifications d'accès.

Réactiver des clés Cloud KMS

Pour reprendre la diffusion et l'acheminement des événements, rétablissez l'accès à Cloud KMS.

Journalisation et dépannage des audits

Cloud KMS génère des journaux d'audit Cloud lorsque les clés sont activées, désactivées ou utilisées par les ressources Eventarc Advanced pour chiffrer et déchiffrer les messages. Pour en savoir plus, consultez la page Informations sur la journalisation d'audit Cloud KMS.

Pour résoudre les problèmes que vous pouvez rencontrer lors de l'utilisation de clés gérées en externe via Cloud External Key Manager (Cloud EKM), consultez la documentation de référence sur les erreurs Cloud EKM.

Tarifs

L'intégration du bus n'entraîne pas de coûts supplémentaires, outre les frais liés aux opérations de clés qui sont facturés dans le cadre de votre Google Cloud projet. L'utilisation de CMEK pour un pipeline entraîne des frais d'accès au service Cloud KMS en fonction de la tarification Pub/Sub.

Pour en savoir plus sur les informations tarifaires les plus récentes, consultez la page Tarifs de Cloud KMS.

Étape suivante