Clés de chiffrement gérées par le client
Par défaut, Integration Connectors chiffre le contenu client au repos. Integration Connectors gèrent le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.
Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris les Integration Connectors. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Cloud KMS vous permet également d'afficher les journaux d'audit et de contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.
Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Integration Connectors est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).
Avant de commencer
Avant d'utiliser CMEK pour les Integration Connectors#39;intégration, assurez-vous d'avoir effectué les tâches suivantes:
- Activez l'API Cloud KMS pour le projet qui stockera vos clés de chiffrement.
- Attribuez le rôle IAM Administrateur Cloud KMS ou accordez les autorisations IAM suivantes au projet qui stockera vos clés de chiffrement :
cloudkms.cryptoKeys.setIamPolicycloudkms.keyRings.createcloudkms.cryptoKeys.create
Pour en savoir plus sur l'attribution de rôles ou d'autorisations supplémentaires, consultez la page Accorder, modifier et révoquer des accès.
- Créez un trousseau de clés et une clé.
Ajouter un compte de service à une clé CMEK
Pour utiliser une clé CMEK dans les Integration Connectors, vous devez vous assurer que votre compte de service par défaut (au format service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com) est ajouté et attribué avec le rôle IAM Chiffreur/Déchiffreur de clés cryptographiques pour cette clé CMEK.
- Dans la console Google Cloud, accédez à la page Inventaire des clés.
- Cochez la case correspondant à la clé CMEK souhaitée.
L'onglet Autorisations s'affiche dans le volet de droite.
- Cliquez sur Ajouter un compte principal, puis saisissez l'adresse e-mail du compte de service par défaut.
- Cliquez sur Sélectionner un rôle, puis sélectionnez le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS dans la liste déroulante disponible.
- Cliquez sur Enregistrer.
Activer le chiffrement CMEK pour une région de Integration Connectors existante
Vous pouvez utiliser des CMEK pour chiffrer et déchiffrer les données compatibles stockées dans une région (également appelée emplacement). Pour activer le chiffrement CMEK pour une région Integration Connectors existante, procédez comme suit:
- Dans la console Google Cloud, accédez à la page Connecteurs d'intégration > Connexions.
Accédez à la page Toutes les connexions.
- Filtrez les connexions en fonction de l'emplacement requis.
Vous obtiendrez la liste de toutes les connexions pour l'emplacement (région) spécifié.
- Suspendre toutes les connexions dans la région.
- Accédez à la page Integration Connectors > Regions (Connecteurs d'intégration > Régions). Cette liste indique toutes les régions dans lesquelles Integration Connectors est disponible.
- Pour la région dans laquelle vous souhaitez activer CMEK, cliquez sur Modifier le chiffrement dans le menu Actions. Le volet Modifier le chiffrement s'affiche.
- Sélectionnez Clé de chiffrement gérée par le client (CMEK), puis la clé requise dans la liste déroulante Clé gérée par le client.
Vous serez peut-être invité à attribuer le rôle
cloudkms.cryptoKeyEncrypterDecrypterau compte de service. Cliquez sur Accorder. - Cliquez sur OK.
Activer le chiffrement CMEK pour une nouvelle région Integration Connectors
Vous pouvez utiliser des CMEK pour chiffrer et déchiffrer les données compatibles stockées dans une région (également appelée emplacement). Pour activer le chiffrement CMEK pour une nouvelle région de Integration Connectors, procédez comme suit:
- Dans la console Google Cloud, accédez à la page Connecteurs d'intégration > Régions.
- Cliquez sur Provisionner une nouvelle région. La page de création de région s'affiche.
- Sélectionnez la région requise dans la liste déroulante Région.
- Dans la section Paramètres avancés, sélectionnez Clé de chiffrement gérée par le client (CMEK), puis la clé requise dans la liste déroulante Clé gérée par le client.
Vous serez peut-être invité à attribuer le rôle
cloudkms.cryptoKeyEncrypterDecrypterau compte de service. Cliquez sur Accorder. - Cliquez sur OK.
Quotas Cloud KMS et Integration Connectors
Lorsque vous utilisez des clés de chiffrement gérées par le client (CMEK) dans les Integration Connectors, vos projets peuvent consommer des quotas de requêtes de chiffrement Cloud KMS. Par exemple, les clés CMEK peuvent utiliser ces quotas pour chaque appel de chiffrement et de déchiffrement.
Les opérations de chiffrement et de déchiffrement utilisant des clés CMEK affectent les quotas de Cloud KMS de différentes manières :
- Pour les clés logicielles CMEK générées dans Cloud KMS, aucun quota Cloud KMS n'est consommé.
- Pour les clés CMEK matérielles (parfois appelées clés Cloud HSM), les opérations de chiffrement et de déchiffrement sont décomptées des quotas Cloud HSM dans le projet qui contient la clé.
- Pour les clés CMEK externes (parfois appelées clés Cloud EKM), les opérations de chiffrement et de déchiffrement sont décomptées des quotas Cloud EKM dans le projet qui contient la clé.
Pour en savoir plus, consultez la page Quotas Cloud KMS.