Chiffrer des données avec des clés de chiffrement gérées par le client

Par défaut, Filestore chiffre le contenu client au repos. Filestore gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.

Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Filestore. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Cloud KMS vous permet également d'afficher les journaux d'audit et de contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.

Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Filestore est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).

Les clés CMEK sont compatibles avec les instances et les sauvegardes Filestore.

Options CMEK

Filestore est compatible avec les CMEK stockées en tant que clés logicielles, en tant que clés matérielles dans un cluster HSM et en tant que clés stockées en externe dans Cloud External Key Manager (Cloud EKM).

Pour en savoir plus, consultez Cloud Key Management Service.

Interruptions du service EKM

Par conception, les clés externes sont gérées par un tiers. Dans ce cas, Google Cloud n'est pas responsable de la disponibilité des clés.

Si le service Cloud Key Management Service (Cloud KMS) est informé par le gestionnaire de clés externes (EKM) qu'une clé externe est inaccessible, les utilisateurs reçoivent une notification ekm_key_unreachable_detected. Pendant une heure maximum, les utilisateurs ont un accès limité aux opérations sur l'instance. Au bout d'une heure, si l'état de la clé n'a pas changé, les actions suivantes s'appliquent:

  • La clé est désactivée.
  • Toutes les opérations de chiffrement et de déchiffrement échouent.
  • L'instance Filestore est suspendue.

Dans certains cas, comme en cas d'événement imprévu tel qu'un redémarrage de VM, l'accès à l'instance peut être interrompu avant une heure.

Vous pouvez consulter les notifications de clés inaccessibles sur la page d'informations de l'instance Filestore:

Accéder à la page des instances Filestore

Les utilisateurs reçoivent également des notifications ekm_key_unreachable_detected pour toutes les opérations suivantes si elles sont effectuées dans l'heure suivant la première notification signalée:

Niveaux compatibles

Le tableau suivant présente les niveaux de service Filestore compatibles avec les CMEK:

Niveau Compatibilité avec CMEK
HDD de base Non
SSD de base Non
Zonal Oui
Régional Oui
Entreprise Oui

Créer un trousseau et une clé à utiliser avec votre instance

Le trousseau de clés et la clé peuvent se trouver dans un projet différent de l'instance Filestore, mais ils doivent se trouver au même emplacement. Si vous possédez déjà un trousseau de clés Cloud KMS et une clé que vous souhaitez utiliser avec Filestore, passez à la section suivante. Sinon, suivez les instructions de la section Créer des clés de chiffrement symétriques pour créer un trousseau et une clé.

Accorder un accès en clé au compte de service Filestore

Pour que vous puissiez créer une instance Filestore qui utilise une clé CMEK, le compte de service Filestore doit disposer du rôle Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter).

  1. Un compte de service Filestore est créé la première fois que vous créez une instance Filestore dans le projet. Si vous ne possédez pas encore de compte de service Filestore, exécutez la commande services identity create suivante:

    gcloud beta services identity create --service=file.googleapis.com --project=INSTANCE_PROJECT_NUMBER_OR_ID
    

    Remplacez INSTANCE_PROJECT_NUMBER_OR_ID par le numéro ou l'ID du projet dans lequel vous souhaitez créer l'instance Filestore.

  2. Attribuez le rôle Chiffreur/Déchiffreur de CryptoKey Cloud KMS au compte de service Filestore en exécutant la commande projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding KMS_PROJECT_NUMBER_OR_ID \
        --member serviceAccount:service-INSTANCE_PROJECT_NUMBER@cloud-filer.iam.gserviceaccount.com \
        --role roles/cloudkms.cryptoKeyEncrypterDecrypter
    

    Remplacez les éléments suivants :

    • KMS_PROJECT_NUMBER_OR_ID par le numéro ou l'ID du projet contenant la clé Cloud KMS que vous souhaitez utiliser.
    • INSTANCE_PROJECT_NUMBER par le numéro du projet (et non l'ID) du projet dans lequel vous souhaitez créer l'instance Filestore.

Créer une instance qui utilise votre clé Cloud KMS

Console Google Cloud

Pour créer une instance qui utilise votre clé Cloud KMS pour le chiffrement des données:

  1. Dans la console Google Cloud, accédez à la page Instances Filestore.

    Accéder à la page des instances Filestore

  2. Cliquez sur Créer une instance.

  3. Sélectionnez un niveau d'instance compatible avec les CMEK, puis remplissez tous les autres champs obligatoires et facultatifs comme vous le feriez habituellement.

  4. Cliquez sur Afficher les options avancées.

  5. Cochez la case Utiliser une clé de chiffrement gérée par le client (CMEK).

  6. Sélectionnez la clé Cloud KMS que vous souhaitez utiliser pour l'instance.

  7. Cliquez sur Créer.

CLI gcloud

Pour créer une instance Filestore qui utilise votre clé Cloud KMS pour le chiffrement des données, spécifiez l'indicateur --kms-key dans la commande filestore instances create:

gcloud filestore instances create nfs-server \
    --tier=<var>TIER</var> \
    --location=us-central1 \
    --file-share=name="vol1",capacity=1TiB \
    --network=name="default" \
    --kms-key=KMS_KEY

Remplacez les éléments suivants :

  • TIER avec un niveau Filestore compatible avec les clés CMEK.
  • KMS_KEY par le nom complet de la clé Cloud KMS que vous souhaitez utiliser. Vous pouvez également spécifier chaque argument séparément au format:
--kms-key=KMS_KEY : --kms-keyring=KEY_RING --kms-location=KMS_REGION --kms-project=KMS_PROJECT_NUMBER_OR_ID

Remplacez les éléments suivants :

  • KMS_KEY par le nom de la clé Cloud KMS.
  • KMS_PROJECT_NUMBER_OR_ID par le numéro ou l'ID du projet dans lequel la clé est créée.
  • KMS_KEY_RING par le nom du trousseau de clés.
  • KMS_REGION par la région du trousseau de clés. Le trousseau de clés et l'instance doivent se trouver dans la même région.

Obtenir une liste de clés

Vous pouvez obtenir la liste des clés en exécutant la commande kms keys list:

  gcloud kms keys list \
  --project=KMS_PROJECT_NUMBER_OR_ID \
  --keyring=KEY_RING \
  --location=KMS_REGION

Remplacez les éléments suivants :

  • KMS_PROJECT_NUMBER_OR_ID par le numéro ou l'ID du projet dans lequel la clé est créée.
  • KEY_RING par le nom du trousseau de clés.
  • KMS_REGION par la région du trousseau de clés.

La colonne Nom de la sortie donne le nom complet des clés existantes. Exemple :

projects/example-project/locations/us-central1/keyRings/example-ring/cryptoKeys/example-key

Obtenir des informations sur les clés d'instance

Les sections suivantes expliquent comment obtenir des informations sur les clés d'instance.

Répertorier les instances qui utilisent une clé Cloud KMS particulière

Vous pouvez répertorier les instances Filestore qui utilisent une clé particulière en exécutant la commande instances list:

gcloud filestore instances list --filter="kmsKeyName=KMS_KEY"

Remplacez KMS_KEY par le nom complet de la clé que vous souhaitez utiliser.

Exemple :

gcloud filestore instances list \
    --filter="kmsKeyName=projects/example-project/locations/us-central1/keyRings/example-ring/cryptoKeys/example-key"

Le résultat ressemble à ceci:

INSTANCE_NAME LOCATION    TIER       CAPACITY_GB FILE_SHARE_NAME IP_ADDRESS   STATE CREATE_TIME
nfs-server    us-central1 ENTERPRISE 1024        vol1            10.166.108.2 READY 2021-08-12T11:38:56

Obtenir des informations sur les clés Cloud KMS d'une instance

Utilisez l'une des méthodes suivantes pour obtenir des informations sur les clés Cloud KMS d'une instance Filestore:

Console Google Cloud

  1. Accéder à la page des instances Filestore

    Accéder à la page des instances Filestore

  2. Cliquez sur l'identifiant de l'instance pour ouvrir la page d'informations de l'instance.

  3. Cliquez sur l'onglet Vue d'ensemble.

Si l'instance chiffre les données à l'aide d'une clé Cloud KMS au lieu d'une clé appartenant à Google et gérée par Google, le nom de la clé s'affiche dans le champ Clé de chiffrement.

CLI gcloud

Exécutez la commande instances describe suivante :

gcloud filestore instances describe INSTANCE_ID \
   --location=INSTANCE_LOCATION

Remplacez les éléments suivants :

  • INSTANCE_ID par l'ID de l'instance Filestore pour laquelle vous souhaitez obtenir des informations.
  • INSTANCE_LOCATION par la région ou la zone où se trouve l'instance.

Le résultat ressemble à ceci:

createTime: '2021-08-12T11:38:56.851157387Z'
fileShares:
- capacityGb: '1024'
  name: vol1
kmsKeyName: projects/example-project/locations/us-central1/keyRings/example-ring/cryptoKeys/example-key
labels:
  key: val
name: projects/consumer-project/locations/us-central1/instances/nfs-server
networks:
- ipAddresses:
  - 10.0.100.2
  modes:
  - MODE_IPV4
  network: network
  reservedIpRange: 10.166.108.0/23
state: READY
tier: ENTERPRISE

Désactiver ou détruire une clé Cloud KMS utilisée par une instance

Si un changement de l'état de la clé Cloud KMS est détecté, l'instance arrête automatiquement de diffuser les données. Voici quelques exemples :

  • Désactivation d'une clé ou d'une version de clé
  • Détruire une clé ou une version de clé
  • Modifier les autorisations d'une clé

Cette détection se produit généralement dans les quelques minutes qui suivent le changement d'état de la clé, mais peut parfois prendre jusqu'à une heure.

Une fois l'instance arrêtée, tout accès aux données de partage de fichiers et aux instantanés est bloqué. Les instances arrêtées continuent d'être facturées jusqu'à leur suppression.

Démarrer une instance arrêtée

Si une instance Filestore arrêtée utilise une clé Cloud KMS pour le chiffrement des données, toutes les versions de la clé doivent être activées ou restaurées avant de redémarrer l'instance.

Une fois l'état de la clé Cloud KMS activé, l'instance détecte automatiquement les modifications de la clé et redémarre sans aucune action supplémentaire, généralement dans les 20 minutes.

Compatibilité CMEK avec les chaînes de sauvegarde

Vous pouvez utiliser des clés CMEK pour chiffrer non seulement vos instances Filestore, mais aussi vos chaînes de sauvegarde.

Les chaînes de sauvegarde se trouvent dans un seul bucket et une seule région. Pour stocker et chiffrer des données de sauvegarde dans une région en dehors de l'instance source, les utilisateurs doivent appliquer deux CMEK distincts: un pour l'instance et un pour la chaîne de sauvegarde. Certaines conditions s'appliquent:

  • Une clé CMEK doit se trouver dans la même région que la chaîne de sauvegarde qu'elle chiffre.

  • Une seule CMEK est appliquée au bucket où la chaîne de sauvegarde est stockée et ne peut pas être combinée ni remplacée.

  • Pour créer une sauvegarde à l'aide d'un nouveau CMEK, vous devez d'abord supprimer l'ensemble de la chaîne de sauvegarde existante.

La compatibilité CMEK n'est pas disponible pour les sauvegardes de niveau de base.

Pour en savoir plus, consultez la section Sauvegardes.

Étape suivante