Présentation d'Autokey

Cloud KMS Autokey simplifie la création et l'utilisation de clés de chiffrement gérées par le client (CMEK) en automatisant le provisionnement et l'attribution. Avec Autokey, il n'est pas nécessaire de planifier et de provisionner vos trousseaux, vos clés et vos comptes de service avant d'en avoir besoin. Au lieu de cela, Autokey génère vos clés à la demande lors de la création de vos ressources, en s'appuyant sur des autorisations déléguées à la place des administrateurs Cloud KMS.

L'utilisation de clés générées par Autokey peut vous aider à vous conformer aux normes du secteur et aux pratiques recommandées pour la sécurité des données, y compris le niveau de protection HSM, la séparation des tâches, la rotation des clés, l'emplacement et la spécificité des clés. Autokey crée des clés qui suivent à la fois les consignes générales et les consignes spécifiques au type de ressource pour les services Google Cloud qui s'intègrent à Cloud KMS Autokey. Une fois créées, les clés demandées à l'aide d'Autokey fonctionnent de la même manière que les autres clés Cloud HSM avec les mêmes paramètres.

Autokey peut également simplifier l'utilisation de Terraform pour la gestion des clés, en supprimant la nécessité d'exécuter l'Infrastructure as Code avec des droits élevés de création de clés.

Pour utiliser Autokey, vous devez disposer d'une ressource Organisation contenant une ressource de dossier. Pour en savoir plus sur les ressources d'organisation et de dossier, consultez la section Hiérarchie des ressources.

Cloud KMS Autokey est disponible dans tous les emplacements Google Cloud où Cloud HSM est disponible. Pour en savoir plus sur les emplacements Cloud KMS, consultez la page Emplacements Cloud KMS. L'utilisation de Cloud KMS Autokey ne génère aucun coût supplémentaire. Les clés créées à l'aide d'Autokey sont facturées au même prix que les autres clés Cloud HSM. Pour en savoir plus sur la tarification, consultez la page Tarifs de Cloud Key Management Service.

Fonctionnement d'Autokey

Cette section explique le fonctionnement de Cloud KMS Autokey. Les rôles utilisateur suivants participent à ce processus:

Administrateur de la sécurité

L'administrateur de sécurité est un utilisateur chargé de gérer la sécurité au niveau du dossier ou de l'organisation.

Développeur Autokey

Le développeur Autokey est un utilisateur chargé de créer des ressources à l'aide de Cloud KMS Autokey.

Administrateur Cloud KMS

L'administrateur Cloud KMS est un utilisateur chargé de gérer les ressources Cloud KMS. Ce rôle a moins de responsabilités lors de l'utilisation d'Autokey que de clés créées manuellement.

Les agents de service suivants participent également à ce processus:

Agent de service Cloud KMS

Agent de service pour Cloud KMS dans un projet de clé donné. Autokey dépend du fait que cet agent de service dispose de droits élevés pour créer des clés et des trousseaux de clés Cloud KMS, ainsi que pour définir une stratégie IAM sur les clés, en accordant des autorisations de chiffrement et de déchiffrement pour chaque agent de service de ressources.

Agent de service des ressources

Agent de service d'un service et d'un projet de ressources donnés. Cet agent de service doit disposer d'autorisations de chiffrement et de déchiffrement sur les clés Cloud KMS avant de pouvoir utiliser cette clé pour assurer la protection CMEK sur une ressource. Autokey crée l'agent de service de ressources si nécessaire et lui accorde les autorisations nécessaires pour utiliser la clé Cloud KMS.

L'administrateur de la sécurité active Cloud KMS Autokey

Pour que vous puissiez utiliser Autokey, l'administrateur de la sécurité doit effectuer les tâches de configuration ponctuelles suivantes:

1. Activez Cloud KMS Autokey sur un dossier de ressources, puis identifiez le projet Cloud KMS qui contiendra les ressources Autokey de ce dossier.

2. Créez l'agent de service Cloud KMS, puis accordez-lui des droits de création et d'attribution de clés.

3. Accordez des rôles utilisateur Autokey aux développeurs Autokey.

Une fois la configuration terminée, les développeurs Autokey peuvent désormais déclencher la création de clés Cloud HSM à la demande. Pour afficher les instructions de configuration complètes pour Cloud KMS Autokey, consultez la page Activer Cloud KMS Autokey.

Les développeurs Autokey utilisent Cloud KMS Autokey

Une fois Autokey configuré, les développeurs Autokey autorisés peuvent créer des ressources protégées à l'aide de clés créées pour eux à la demande. Les détails du processus de création de ressources dépendent de la ressource que vous créez, mais il suit les étapes suivantes:

1. Le développeur Autokey commence à créer une ressource dans un service Google Cloud compatible. Lors de la création d'une ressource, le développeur demande une nouvelle clé à l'agent de service Autokey.

2. L'agent de service Autokey reçoit la requête du développeur et effectue les étapes suivantes:

   1. Créez un trousseau de clés dans le projet de clé à l'emplacement sélectionné, sauf si celui-ci existe déjà.
   2. Dans le trousseau de clés, créez une clé avec le niveau de précision approprié pour le type de ressource, sauf si une clé de ce type existe déjà.
   3. Créez le compte de service par projet et par service, sauf si ce compte de service existe déjà.
   4. Accordez des autorisations de chiffrement et de déchiffrement par projet et par compte de service sur la clé.
   5. Fournissez les détails de la clé au développeur pour qu'il puisse terminer la création de la ressource.

3. Une fois les détails de la clé renvoyés par l'agent de service Autokey, le développeur peut immédiatement terminer la création de la ressource protégée.

Cloud KMS Autokey crée des clés dotées des attributs décrits dans la section suivante. Ce flux de création de clés préserve la séparation des tâches. L'administrateur Cloud KMS conserve une visibilité et un contrôle complets sur les clés créées par Autokey.

Pour commencer à utiliser Autokey après l'avoir activée sur un dossier, consultez la page Créer des ressources protégées à l'aide de Cloud KMS Autokey.

À propos des clés créées par Autokey

Les clés créées par Cloud KMS Autokey possèdent les attributs suivants:

• Niveau de protection: HSM
• Algorithme: AES-256 GCM

• Période de rotation: un an

  Une fois qu'une clé est créée par Autokey, un administrateur Cloud KMS peut modifier la période de rotation par défaut.

• Séparation des tâches:

  • Le compte de service du service dispose automatiquement d'autorisations de chiffrement et de déchiffrement sur la clé.
  • Les autorisations d'administrateur Cloud KMS s'appliquent comme d'habitude aux clés créées par Autokey. Les administrateurs Cloud KMS peuvent afficher, mettre à jour, activer ou désactiver et détruire les clés créées par Autokey. Les administrateurs Cloud KMS ne disposent pas d'autorisations de chiffrement et de déchiffrement.
  • Les développeurs Autokey ne peuvent demander que la création et l'attribution de clés. Ils ne peuvent ni afficher, ni gérer les clés.

• Spécificité ou précision des clés: les clés créées par Autokey ont une précision qui varie selon le type de ressource. Pour en savoir plus sur la précision des clés, consultez la section Services compatibles sur cette page.

• Emplacement: Autokey crée des clés au même emplacement que la ressource à protéger.

  Si vous devez créer des ressources protégées par des clés CMEK dans des emplacements où Cloud HSM n'est pas disponible, vous devez créer votre CMEK manuellement.

• État de la version de clé: les clés nouvellement créées qui sont demandées via Autokey sont créées en tant que version de clé primaire à l'état activé.

• Nom du trousseau de clés: toutes les clés créées par Autokey sont créées dans un trousseau appelé autokey dans le projet Autokey de l'emplacement sélectionné. Les trousseaux de clés de votre projet Autokey sont créés lorsqu'un développeur Autokey demande la première clé dans un emplacement donné.

• Attribution de noms aux clés: les clés créées par Autokey respectent la convention d'attribution de noms suivante:

  PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
  

• Comme toutes les clés Cloud KMS, les clés créées par Autokey ne peuvent pas être exportées.

• Comme toutes les clés Cloud KMS utilisées dans les services intégrés CMEK compatibles avec le suivi des clés, les clés créées par Autokey sont suivies dans le tableau de bord Cloud KMS.

Appliquer Autokey

Si vous souhaitez imposer l'utilisation d'Autokey dans un dossier, vous pouvez le faire en combinant le contrôle des accès IAM avec les règles d'administration CMEK. Cette opération consiste à supprimer les autorisations de création de clés pour les comptes principaux autres que l'agent de service Autokey, puis à exiger que toutes les ressources soient protégées par une clé CMEK à l'aide du projet de clé Autokey. Pour obtenir des instructions détaillées sur l'application forcée d'Autokey, consultez la section Appliquer l'utilisation d'Autokey.

Services compatibles

Le tableau suivant répertorie les services compatibles avec Cloud KMS Autokey:

Service	Ressources protégées	Précision des clés
Cloud Storage	storage.googleapis.com/Bucket Les objets contenus dans un bucket de stockage utilisent la clé par défaut du bucket. Autokey ne crée pas de clés pour les ressources storage.object.	Une clé par bucket
Compute Engine	compute.googleapis.com/Disk compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/MachineImage Les instantanés utilisent la clé du disque dont vous créez un instantané. Autokey ne crée pas de clés pour les ressources compute.snapshot.	Une clé par ressource
BigQuery	bigquery.googleapis.com/Dataset Autokey crée des clés par défaut pour les ensembles de données. Les tables, modèles, requêtes et tables temporaires d'un ensemble de données utilisent la clé par défaut de l'ensemble de données. Autokey ne crée pas de clés pour les ressources BigQuery autres que les ensembles de données. Pour protéger les ressources qui ne font pas partie d'un ensemble de données, vous devez créer vos propres clés par défaut au niveau du projet ou de l'organisation.	Une clé par ressource
Secret Manager	secretmanager.googleapis.com/Secret Secret Manager n'est compatible avec Cloud KMS Autokey que lorsque vous créez des ressources à l'aide de Terraform ou de l'API REST.	Une clé par emplacement dans un projet

Limites

• Vous ne pouvez pas effacer une ressource AutokeyConfig. Vous pouvez désactiver Autokey sur le dossier en mettant à jour AutokeyConfig pour définir enabled=false, mais le projet de clé configuré reste dans AutokeyConfig. Vous pouvez modifier le projet de clé configuré en mettant à jour le AutokeyConfig.
• La gcloud CLI n'est pas disponible pour les ressources Autokey.
• Les identifiants de clés ne figurent pas dans l'inventaire des éléments cloud.

Étapes suivantes

• Pour commencer à utiliser Cloud KMS Autokey, un administrateur de sécurité doit activer Cloud KMS Autokey.
• Pour utiliser Cloud KMS Autokey après son activation, un développeur peut créer des ressources protégées par des clés CMEK à l'aide d'Autokey.