Cette page vous explique comment chiffrer les données dans vos instances et sauvegardes Filestore à l'aide de vos propres clés de chiffrement.
Par défaut, Google Cloud chiffre automatiquement les données au repos à l'aide de clés de chiffrement détenues et gérées par Google. Si vous avez besoin de mieux contrôler les clés protégeant vos données, vous pouvez utiliser des clés de chiffrement gérées par le client pour Filestore.
Options de clés de chiffrement gérées par le client
Cloud Key Management Service accepte les clés de chiffrement gérées par le client (CMEK) qui peuvent être stockées en tant que clés logicielles, en tant que clés matérielles dans un cluster HSM ou en externe dans Cloud External Key Manager (Cloud EKM). Plusieurs options sont disponibles.
Pour en savoir plus, consultez la page Cloud Key Management Service.
Cloud External Key Manager
La compatibilité de Cloud EKM avec Filestore est désormais en disponibilité générale (GA). Pour en savoir plus, consultez la page Cloud External Key Manager.
Perturbations du service EKM
Par nature, les clés externes sont gérées par un tiers. Dans ces circonstances, Google Cloud n'est pas responsable de leur disponibilité.
Si Cloud Key Management Service (Cloud KMS) est averti par l'EKM (External Key Manager) qu'une clé externe est inaccessible, les utilisateurs reçoivent une notification ekm_key_unreachable_detected
. Pendant une durée maximale d'une heure, les utilisateurs disposent d'un accès limité aux opérations exécutées sur l'instance. Au bout d'une heure, si l'état de la clé n'est pas modifié, les actions suivantes s'appliquent:
- La clé est désactivée.
- Toutes les opérations de chiffrement et de déchiffrement échouent.
- L'instance Filestore est suspendue.
Dans certains cas, comme un événement non planifié tel qu'un redémarrage de VM, l'accès à l'instance peut être interrompu dans un délai d'une heure.
Les principales notifications inaccessibles peuvent être affichées sur la page d'informations de l'instance Filestore:
Accéder à la page des instances Filestore
Les utilisateurs reçoivent également des notifications ekm_key_unreachable_detected
pour l'une des opérations suivantes si elles sont effectuées dans l'heure qui suit la première notification signalée:
- Rétablir un instantané
- Créer une sauvegarde d'instance
- Supprimer une sauvegarde
- Restaurer une instance à partir d'une sauvegarde
- Mettre à jour ou corriger une instance
Niveaux compatibles
Le tableau suivant présente les niveaux de service Filestore compatibles avec les clés de chiffrement gérées par le client:
Niveau | Compatibilité CMEK |
---|---|
HDD de base | Non |
SSD de base | Non |
Zonal | Oui |
Régional | Oui |
Enterprise | Oui |
Créer un trousseau et une clé à utiliser avec votre instance
Le trousseau de clés et la clé peuvent se trouver dans un projet différent de l'instance Filestore, mais ils doivent se trouver au même emplacement. Si vous possédez déjà un trousseau de clés Cloud KMS et une clé que vous souhaitez utiliser avec Filestore, passez à la section suivante. Sinon, suivez les instructions de la section Créer des clés de chiffrement symétriques pour créer un trousseau et une clé.
Accorder un accès en clé au compte de service Filestore
Pour que vous puissiez créer une instance Filestore avec une clé de chiffrement gérée par le client, le compte de service Filestore doit disposer du rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter
).
Un compte de service Filestore est créé la première fois que vous créez une instance Filestore dans le projet. Si vous ne possédez pas encore de compte de service Filestore, exécutez la commande
services identity create
suivante:gcloud beta services identity create --service=file.googleapis.com --project=INSTANCE_PROJECT_NUMBER_OR_ID
Remplacez INSTANCE_PROJECT_NUMBER_OR_ID par le numéro ou l'ID du projet dans lequel vous souhaitez créer l'instance Filestore.
Attribuez au compte de service Filestore le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS en exécutant la commande
projects add-iam-policy-binding
:gcloud projects add-iam-policy-binding KMS_PROJECT_NUMBER_OR_ID \ --member serviceAccount:service-INSTANCE_PROJECT_NUMBER@cloud-filer.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter
Remplacez les éléments suivants :
- KMS_PROJECT_NUMBER_OR_ID par le numéro ou l'ID du projet contenant la clé Cloud KMS que vous souhaitez utiliser.
- INSTANCE_PROJECT_NUMBER par le numéro du projet (et non l'ID) du projet dans lequel vous souhaitez créer l'instance Filestore.
Créer une instance qui utilise votre clé Cloud KMS
Console Google Cloud
Pour créer une instance qui utilise votre clé Cloud KMS pour le chiffrement des données, procédez comme suit:
Dans la console Google Cloud, accédez à la page "Instances Filestore".
Cliquez sur Créer une instance.
Sélectionnez un niveau d'instance compatible avec les CMEK, et remplissez tous les autres champs obligatoires et facultatifs comme vous le feriez normalement.
Cliquez sur Afficher les options avancées.
Cochez la case Utiliser une clé de chiffrement gérée par le client (CMEK).
Sélectionnez la clé Cloud KMS que vous souhaitez utiliser pour l'instance.
Cliquez sur Créer.
gcloud CLI
Pour créer une instance Filestore qui utilise votre clé Cloud KMS pour le chiffrement des données, spécifiez l'indicateur --kms-key
dans la commande filestore instances create
:
gcloud filestore instances create nfs-server \
--tier=<var>TIER</var> \
--location=us-central1 \
--file-share=name="vol1",capacity=1TiB \
--network=name="default" \
--kms-key=KMS_KEY
Remplacez les éléments suivants :
- TIER par un niveau Filestore compatible avec les clés de chiffrement gérées par le client.
- KMS_KEY par le nom complet de la clé Cloud KMS que vous souhaitez utiliser. Vous pouvez également spécifier chaque argument séparément au format suivant:
--kms-key=KMS_KEY : --kms-keyring=KEY_RING --kms-location=KMS_REGION --kms-project=KMS_PROJECT_NUMBER_OR_ID
Remplacez les éléments suivants :
- KMS_KEY par le nom de la clé Cloud KMS.
- KMS_PROJECT_NUMBER_OR_ID par le numéro ou l'ID du projet dans lequel la clé est créée.
- KMS_KEY_RING par le nom du trousseau de clés.
- KMS_REGION par la région du trousseau de clés. Le trousseau de clés et l'instance doivent se trouver dans la même région.
Obtenir une liste de clés
Vous pouvez obtenir la liste des clés en exécutant la commande kms keys list
:
gcloud kms keys list \
--project=KMS_PROJECT_NUMBER_OR_ID \
--keyring=KEY_RING \
--location=KMS_REGION
Remplacez les éléments suivants :
- KMS_PROJECT_NUMBER_OR_ID par le numéro ou l'ID du projet dans lequel la clé est créée.
- KEY_RING par le nom du trousseau de clés.
- KMS_REGION par la région du trousseau de clés.
La colonne Nom de la sortie donne le nom complet des clés existantes. Exemple :
projects/example-project/locations/us-central1/keyRings/example-ring/cryptoKeys/example-key
Obtenir des informations sur les clés d'instance
Les sections suivantes expliquent comment obtenir des informations sur les clés d'instance.
Répertorier les instances qui utilisent une clé Cloud KMS particulière
Vous pouvez répertorier les instances Filestore qui utilisent une clé particulière en exécutant la commande instances list
:
gcloud filestore instances list --filter="kmsKeyName=KMS_KEY"
Remplacez KMS_KEY par le nom complet de la clé que vous souhaitez utiliser.
Exemple :
gcloud filestore instances list \
--filter="kmsKeyName=projects/example-project/locations/us-central1/keyRings/example-ring/cryptoKeys/example-key"
Le résultat ressemble à ceci:
INSTANCE_NAME LOCATION TIER CAPACITY_GB FILE_SHARE_NAME IP_ADDRESS STATE CREATE_TIME
nfs-server us-central1 ENTERPRISE 1024 vol1 10.166.108.2 READY 2021-08-12T11:38:56
Obtenir des informations sur les clés Cloud KMS d'une instance
Utilisez l'une des méthodes suivantes pour obtenir des informations sur la clé Cloud KMS pour une instance Filestore:
Console Google Cloud
Accéder à la page des instances Filestore
Cliquez sur l'identifiant de l'instance pour ouvrir la page d'informations de l'instance.
Cliquez sur l'onglet Vue d'ensemble.
Si l'instance chiffre des données à l'aide d'une clé Cloud KMS au lieu d'une clé détenue et gérée par Google, le nom de la clé s'affiche dans le champ Clé de chiffrement.
gcloud CLI
Exécutez la commande instances describe
suivante :
gcloud filestore instances describe INSTANCE_ID \
--location=INSTANCE_LOCATION
Remplacez les éléments suivants :
- INSTANCE_ID par l'ID de l'instance Filestore pour laquelle vous souhaitez obtenir des informations.
- INSTANCE_LOCATION par la région ou la zone où se trouve l'instance.
Le résultat ressemble à ceci:
createTime: '2021-08-12T11:38:56.851157387Z'
fileShares:
- capacityGb: '1024'
name: vol1
kmsKeyName: projects/example-project/locations/us-central1/keyRings/example-ring/cryptoKeys/example-key
labels:
key: val
name: projects/consumer-project/locations/us-central1/instances/nfs-server
networks:
- ipAddresses:
- 10.0.100.2
modes:
- MODE_IPV4
network: network
reservedIpRange: 10.166.108.0/23
state: READY
tier: ENTERPRISE
Désactiver ou détruire une clé Cloud KMS utilisée par une instance
Si un changement d'état de la clé Cloud KMS est détecté, l'instance arrête automatiquement de diffuser les données. Voici quelques exemples :
- Désactiver une clé ou une version de clé
- Détruire une clé ou une version de clé
- Modifier les autorisations d'une clé
Cette détection se produit généralement dans les minutes qui suivent le changement d'état de la clé, mais dans certains cas, elle peut prendre jusqu'à une heure.
Une fois l'instance arrêtée, tout accès aux données de partage de fichiers et aux instantanés est bloqué. Les instances arrêtées continuent d'être facturées jusqu'à leur suppression.
Démarrer une instance arrêtée
Si une instance Filestore arrêtée utilise une clé Cloud KMS pour le chiffrement des données, toutes les versions de clé de la clé doivent être activées ou restaurées avant de redémarrer l'instance.
Une fois l'état de la clé Cloud KMS activé, l'instance détecte automatiquement les modifications de clé et redémarre sans aucune autre action, généralement dans les 20 minutes.
Compatibilité des CMEK avec les chaînes de sauvegarde
Vous pouvez utiliser des clés CMEK pour chiffrer non seulement vos instances Filestore, mais aussi vos chaînes de sauvegarde.
Les chaînes de sauvegarde résident dans un seul bucket et une seule région. Pour stocker et chiffrer des données de sauvegarde dans une région extérieure à l'instance source, les utilisateurs doivent appliquer deux clés CMEK distinctes: une pour l'instance et une pour la chaîne de sauvegarde. Certaines conditions s'appliquent:
Une clé CMEK doit se trouver dans la même région que la chaîne de sauvegarde qu'elle chiffre.
Une seule clé CMEK est appliquée au bucket où la chaîne de sauvegarde est stockée. Elle ne peut pas être combinée ni remplacée.
Pour créer une sauvegarde à l'aide d'une nouvelle clé CMEK, vous devez d'abord supprimer l'intégralité de la chaîne de sauvegarde existante.
Les CMEK ne sont pas compatibles avec les sauvegardes de niveau de base.
Pour en savoir plus, consultez la section Sauvegardes.
Étapes suivantes
- Découvrez comment appliquer une règle d'administration CMEK.
- En savoir plus sur CMEK
- Découvrez le chiffrement en transit dans Google Cloud.