Présentation d'Autokey

Cloud KMS Autokey simplifie la création et l'utilisation du chiffrement géré par le client (CMEK) en automatisant le provisionnement et l'attribution. Avec Il n'est pas nécessaire que la clé automatique, vos trousseaux, vos clés et vos comptes de service planifiées et provisionnées avant qu'elles ne soient nécessaires. Autokey génère vos clés à la demande à mesure que vos ressources sont créées, en s'appuyant sur des autorisations déléguées à la place des administrateurs Cloud KMS.

L'utilisation de clés générées par Autokey peut vous aider à vous aligner de manière cohérente les normes du secteur et les pratiques recommandées pour la sécurité des données, y compris le Niveau de protection HSM, séparation des tâches, rotation des clés, emplacement et clé de la spécificité. Autokey crée des clés qui respectent les deux consignes générales et consignes spécifiques au type de ressource des services Google Cloud qui s'intègrent à Cloud KMS Autokey. Une fois créées, les clés demandé à l'aide de la fonction Autokey de manière identique clés Cloud HSM avec les mêmes paramètres.

Autokey peut aussi simplifier l'utilisation de Terraform pour la gestion des clés, supprimant la nécessité d'exécuter l'Infrastructure as Code avec des créations de clés élevées de droits.

Pour utiliser Autokey, vous devez disposer d'une ressource Organisation contenant ressource de dossier. Pour en savoir plus sur les ressources Organisation et Dossier, consultez la page Hiérarchie des ressources.

Cloud KMS Autokey est disponible dans tous les emplacements Google Cloud où Cloud HSM est disponible. Pour en savoir plus sur Cloud KMS, consultez la page Emplacements Cloud KMS. Il n'y a aucun des frais supplémentaires pour l'utilisation de Cloud KMS Autokey. Clés créées avec Les tarifs d'Autokey sont identiques à ceux des autres clés Cloud HSM. Pour Pour plus d'informations sur la tarification, consultez la page Tarifs de Cloud Key Management Service.

Fonctionnement d'Autokey

Cette section explique le fonctionnement de Cloud KMS Autokey. Les rôles utilisateur suivants à ce processus:

Administrateur de la sécurité

L'administrateur de la sécurité est un utilisateur responsable pour gérer la sécurité au niveau d'un dossier ou d'une organisation.

Développeur Autokey

Le développeur Autokey est un utilisateur chargé de créer des ressources à l'aide de Cloud KMS Autokey.

Administrateur Cloud KMS

L'administrateur Cloud KMS est un responsable de la gestion des ressources Cloud KMS. Ce rôle a moins de responsabilités lors de l'utilisation d'Autokey créées manuellement.

Les agents de service suivants participent également à ce processus:

Agent de service Cloud KMS

L'agent de service de Cloud KMS dans un projet clé donné. Autokey dépend de ce que cet agent de service des droits élevés pour créer des clés et des trousseaux de clés Cloud KMS, et pour définir une stratégie IAM sur les clés, et accorder ainsi les autorisations autorisations pour chaque agent de service des ressources.

Agent de service des ressources

Agent de service d'un service donné projet de ressources. Cet agent de service doit disposer de droits de chiffrement et de déchiffrement sur n'importe quelle clé Cloud KMS avant de pouvoir l'utiliser Protection CMEK sur une ressource. Autokey crée le service de ressources octroie les autorisations nécessaires pour utiliser Cloud KMS.

L'administrateur de la sécurité active Cloud KMS Autokey

Pour que vous puissiez utiliser Autokey, l'administrateur de la sécurité doit effectuer les tâches de configuration ponctuelles suivantes:

1. Activez Cloud KMS Autokey sur un dossier de ressources et identifiez le Projet Cloud KMS contenant des ressources Autokey pour dans ce dossier.

2. Créez l'agent de service Cloud KMS, puis accordez-lui de créer des clés et d'attribuer des droits à l'agent de service.

3. Accordez des rôles utilisateur Autokey aux développeurs Autokey.

Une fois la configuration terminée, les développeurs Autokey peuvent déclencher Création de clés Cloud HSM à la demande. Afin d'afficher les instructions de configuration complètes pour Cloud KMS Autokey, consultez la page Activer Cloud KMS Autokey.

Les développeurs Autokey utilisent Cloud KMS Autokey

Une fois Autokey configuré, vous pouvez autoriser Autokey Les développeurs peuvent désormais créer des ressources protégées à l'aide de clés créées pour eux à la demande. Les détails du processus de création de ressources dépendent de la ressource que vous créez, mais le processus suit ce flux:

1. Le développeur Autokey commence à créer une ressource dans un environnement service Google Cloud. Lors de la création de la ressource, le développeur demande une nouvelle clé à partir de l'agent de service Autokey.

2. L'agent de service Autokey reçoit la requête du développeur et effectue les étapes suivantes:

   1. Créez un trousseau de clés dans le projet de clé à l'emplacement sélectionné, sauf si ce trousseau de clés existe déjà.
   2. Créez une clé dans le trousseau de clés avec le niveau de précision approprié pour le type de ressource, sauf si une clé de ce type existe déjà.
   3. Créez le compte de service par projet et par service, sauf si ce service ce compte existe déjà.
   4. Accorder au chiffrement et au déchiffrement par projet et par compte de service sur la clé.
   5. Fournissez les informations clés au développeur pour qu'il puisse terminer la création ressource.

3. Avec les détails de la clé renvoyés par le service Autokey le développeur peut immédiatement terminer la création de la ressource protégée.

Cloud KMS Autokey crée des clés dotées des attributs décrits dans les dans la section suivante. Ce processus de création de clés préserve séparation des tâches. L'API Cloud KMS l'administrateur conserve la visibilité et le contrôle complets sur les clés créées par Autokey.

Pour commencer à utiliser Autokey après l'avoir activé sur un dossier, consultez Créez des ressources protégées à l'aide de Cloud KMS Autokey.

À propos des clés créées par Autokey

Les clés créées par Cloud KMS Autokey possèdent les attributs suivants:

• Niveau de protection: HSM
• Algorithme: AES-256 GCM

• Période de rotation: un an

  Une fois qu'une clé est créée par Autokey, un service Cloud KMS l'administrateur peut modifier la période de rotation par défaut.

• Séparation des tâches:

  • Le compte de service du service se voit automatiquement attribuer les autorisations de déchiffrement sur la clé.
  • Les autorisations d'administrateur Cloud KMS s'appliquent comme d'habitude aux clés créé par Autokey. Les administrateurs Cloud KMS peuvent afficher, mettre à jour, activer ou désactiver et détruire les clés créées par Autokey. Les administrateurs Cloud KMS n'ont pas accès les autorisations de chiffrement et de déchiffrement.
  • Les développeurs Autokey ne peuvent demander que la création de clés l'attribution. Ils ne peuvent ni afficher, ni gérer les clés.

• Spécificité ou précision des clés: les clés créées par Autokey ont un qui varie selon le type de ressource. Pour en savoir plus sur les services niveau de détail des clés, consultez la section Services compatibles .

• Emplacement: Autokey crée des clés au même emplacement que la ressource à protéger.

  Si vous devez créer des ressources protégées par des clés CMEK dans des emplacements Cloud HSM n'est pas disponible. Vous devez créer votre clé CMEK manuellement.

• État de la version de clé: clés nouvellement créées demandées à l'aide d'Autokey sont créées en tant que version de clé primaire à l'état activé.

• Nom du trousseau de clés: toutes les clés créées par Autokey sont créées dans un trousseau de clés nommé autokey dans le projet Autokey dans le bucket l'emplacement. Des trousseaux de clés dans votre projet Autokey sont créés lorsqu'un Le développeur Autokey demande la première clé à un emplacement donné.

• Attribution de noms aux clés: les clés créées par Autokey respectent la convention d'attribution de noms suivante:

  PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
  

• Comme toutes les clés Cloud KMS, les clés créées par Autokey ne peuvent pas exportées.

• Comme toutes les clés Cloud KMS utilisées dans les services CMEK intégrés compatibles avec le suivi des clés, qui consiste à créer des clés Les clés Autokey font l'objet d'un suivi dans le tableau de bord Cloud KMS.

Appliquer Autokey

Vous pouvez imposer l'utilisation d'Autokey au sein d'un dossier. en combinant le contrôle des accès IAM avec des règles d'administration CMEK. Cela consiste à supprimer les autorisations de création de clés pour les comptes principaux autres que à l'agent de service Autokey, puis exige que toutes les ressources soient protégées par une CMEK via le projet de clé Autokey. Pour obtenir des pour appliquer l'utilisation d'Autokey, consultez la section Appliquer Utilisation d'Autokey

Services compatibles

Le tableau suivant répertorie les services compatibles avec Cloud KMS Autokey:

Service	Ressources protégées	Précision des clés
Cloud Storage	storage.googleapis.com/Bucket Les objets dans un bucket de stockage utilisent la clé par défaut du bucket. Autokey ne crée pas clés pour les ressources storage.object.	Une clé par bucket
Compute Engine	compute.googleapis.com/Disk compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/MachineImage Les instantanés utilisent la clé du disque dont vous créez un instantané. Autokey ne crée pas de clés pour compute.snapshot ressources.	Une clé par ressource
BigQuery	bigquery.googleapis.com/Dataset Autokey crée des clés par défaut pour les ensembles de données. Tables, modèles, les requêtes et les tableaux temporaires d'un ensemble de données utilisent . Autokey ne crée pas de clés pour les ressources BigQuery autres que les jeux de données. Pour protéger les ressources qui ne font pas partie vous devez créer vos propres clés par défaut au niveau du projet au niveau de l'organisation.	Une clé par ressource
Secret Manager	secretmanager.googleapis.com/Secret Secret Manager n'est compatible qu'avec Cloud KMS Autokey lorsque vous créez des ressources à l'aide de Terraform ou de l'API REST.	Une clé par emplacement dans un projet

Limites

• Vous ne pouvez pas effacer une ressource AutokeyConfig. Vous pouvez désactiver Autokey sur le dossier en mettant à jour AutokeyConfig pour définir enabled=false, mais le projet de clé configuré reste dans le AutokeyConfig Vous pouvez modifier le projet de clé configuré en mettant à jour le AutokeyConfig.
• La gcloud CLI n'est pas disponible pour les ressources Autokey.
• Les identifiants de clés ne figurent pas dans l'inventaire des éléments cloud.

Étape suivante

• Pour commencer à utiliser Cloud KMS Autokey, un administrateur de sécurité Vous devez activer Cloud KMS Autokey.
• Pour utiliser Cloud KMS Autokey après son activation, un développeur peut Créer des ressources protégées par des clés CMEK à l'aide d'Autokey