Ce document présente l'utilisation de Cloud Key Management Service (Cloud KMS) pour les clés de chiffrement gérées par le client (CMEK). L'utilisation d'une clé CMEK Cloud KMS vous permet la propriété et le contrôle des clés qui protègent vos données au repos dans Google Cloud.
Comparaison entre les CMEK, et les clés détenues et gérées par Google
Les clés Cloud KMS que vous créez sont des clés gérées par le client. Google les services qui utilisent vos clés disposent d'une intégration CMEK. Vous pouvez gérer ces CMEK directement ou via Cloud KMS Autokey (version preview). Les facteurs suivants différencient le chiffrement au repos par défaut de Google des gérées par le client:
Type de clé | Gérées par le client avec Autokey (bêta) | Géré par le client (manuel) | Détenu et géré par Google (par défaut) |
---|---|---|---|
Peut afficher les métadonnées de clé | Oui | Oui | Oui |
Propriété des clés1 | Client | Client | |
Peut gérer et contrôler2 clés3 | La création et l'attribution des clés sont automatisées. Le contrôle manuel par le client est entièrement pris en charge. | Client, contrôle manuel uniquement | |
Respect des exigences réglementaires pour les clés gérées par le client | Oui | Oui | Non |
Partage des clés | Propre à un client | Spécifique à un client | Les données de plusieurs clients utilisent généralement la même clé de chiffrement de clé (KEK). |
Contrôle de la rotation des clés | Oui | Oui | Non |
Règles d'administration CMEK | Oui | Oui | Non |
Consigner les accès aux clés de chiffrement et aux accès administrateur aux données | Oui | Oui | Non |
Tarifs | Variable. Pour en savoir plus, reportez-vous à la section Tarifs. Aucuns frais supplémentaires pour Autokey (Preview) | Variable (pour en savoir plus, reportez-vous à la section Tarifs) | Gratuit |
1 En termes juridiques, le propriétaire de la clé indique qui détient les droits sur la clé. Les clés appartenant au client sont soumises à des restrictions d'accès strictes. ou aucun accès de la part de Google.
2 La commande de touche permet de contrôler le type de touche et la manière dont les clés sont utilisées, en détectant les écarts et en planifiant des actions correctives si nécessaire. Vous pouvez contrôler vos clés, mais déléguer leur gestion à un tiers.
3 La gestion des clés inclut les fonctionnalités suivantes:
- Créez des clés.
- Sélectionnez le niveau de protection des clés.
- Désignez les personnes autorisées à gérer les clés.
- Contrôler l'accès aux clés
- Contrôler l'utilisation des clés
- Définissez et modifiez la période de rotation des clés, ou déclenchez une rotation des clés.
- Modifier l'état de la clé
- Détruire des versions de clé
Chiffrement par défaut avec des clés appartenant à Google et gérées par Google
Toutes les données stockées dans Google Cloud sont chiffrées au repos à l'aide de la même des systèmes de gestion de clés renforcés que Google utilise pour ses propres données chiffrées. Ces systèmes de gestion de clés fournissent des contrôles d'accès et des audits de clés stricts, et chiffrent les données utilisateur au repos à l'aide de la norme de chiffrement AES-256. Google possède et contrôle les clés utilisées pour chiffrer vos données. Vous ne pouvez pas les afficher ni les gérer ou consulter les journaux d'utilisation des clés. Les données de plusieurs clients peuvent utiliser le même clé de chiffrement de clé (KEK). Aucune installation, configuration ou gestion n'est requise.
Pour en savoir plus sur le chiffrement par défaut dans Google Cloud, consultez Chiffrement par défaut reste.
Clés de chiffrement gérées par le client (CMEK)
Les clés de chiffrement gérées par le client sont des clés de chiffrement que vous possédez. Ce vous permet de mieux contrôler les clés utilisées pour chiffrer les données au repos dans les services Google Cloud compatibles et fournit une limite cryptographique autour de vos données. Vous pouvez gérer les CMEK directement dans Cloud KMS, ou automatiser le provisionnement et l'attribution à l'aide Cloud KMS Autokey (version preview).
Les services compatibles avec les CMEK disposent d'une intégration CMEK. L'intégration CMEK est un de chiffrement côté serveur que vous pouvez utiliser à la place de la technologie de chiffrement par défaut de Google le chiffrement. Une fois CMEK configuré, les opérations de chiffrement et de déchiffrement des ressources sont gérées par l'agent de service des ressources. Comme la clé CMEK est intégrée gèrent l'accès à la ressource chiffrée, ainsi que le chiffrement et le déchiffrement peuvent se dérouler de manière transparente, sans intervention de l'utilisateur final. L'expérience d'accès aux ressources est semblable à celle du chiffrement par défaut de Google. Pour en savoir plus sur l'intégration des CMEK, consultez Avantages d'un service intégré à CMEK.
Vous pouvez utiliser un nombre illimité de versions pour chaque clé.
Pour savoir si un service est compatible avec les clés CMEK, consultez la liste des services compatibles.
L'utilisation de Cloud KMS entraîne des coûts liés au nombre de versions de clé et d'opérations cryptographiques avec ces versions de clé. Pour en savoir plus sur consultez les tarifs de Cloud Key Management Service. Aucun achat ni engagement minimum n'est requis.
Clés de chiffrement gérées par le client (CMEK) avec Autokey Cloud KMS
Cloud KMS Autokey simplifie la création et la gestion des clés CMEK en automatisant le provisionnement et l'attribution. Avec Autokey, les trousseaux de clés et les clés sont générés à la demande lors de la création de ressources. Les agents de service qui utilisent les clés pour les opérations de chiffrement et de déchiffrement reçoivent automatiquement les rôles IAM (Identity and Access Management) nécessaires.
L'utilisation de clés générées par Autokey peut vous aider à vous aligner de manière cohérente les normes du secteur et les pratiques recommandées pour la sécurité des données, y compris alignement de l'emplacement des données des clés, spécificité des clés, module de sécurité matériel (HSM) le niveau de protection, le calendrier de rotation des clés et la séparation des tâches. Autokey crée des clés qui respectent à la fois les consignes générales et spécifiques aux types de ressources des services Google Cloud à intégrer à Autokey. Clés créées à l'aide de la fonction Autokey de manière identique aux autres clés Cloud HSM (Cloud HSM) avec les mêmes paramètres, y compris la prise en charge des exigences réglementaires pour les clés gérées par le client. Pour plus d'informations sur Autokey, consultez Présentation d'Autokey
Quand utiliser les clés gérées par le client ?
Vous pouvez utiliser des clés CMEK créées manuellement ou des clés créées par Autokey dans des services compatibles pour vous aider à atteindre les objectifs suivants :
Posséder vos clés de chiffrement
Contrôlez et gérez vos clés de chiffrement, y compris le choix de l'emplacement, le niveau de protection, la création, le contrôle des accès, la rotation, l'utilisation et la destruction.
Générez ou gérez votre matériel de clé en dehors de Google Cloud.
Définissez des règles concernant les endroits où vos clés doivent être utilisées.
Supprimez de manière sélective les données protégées par vos clés en cas de départ ou pour neutraliser les événements de sécurité (déchiquetage de cryptomonnaie).
Créez et utilisez des clés propres à chaque client, en établissant une limite cryptographique autour de vos données.
Consigner les accès administrateur et aux données pour le chiffrement clés.
Respecter les réglementations actuelles ou futures qui imposent l'un de ces objectifs.
Avantages d'un service intégré à CMEK
Tout comme le chiffrement par défaut de Google, les clés CMEK sont côté serveur, symétriques, enveloppées le chiffrement des données client. Contrairement au chiffrement par défaut de Google, la protection CMEK utilise une clé contrôlée par le client. Clés CMEK créées manuellement ou automatiquement via Autokey fonctionnent de la même manière l'intégration des services.
Services cloud disposant d'une intégration CMEK de protéger vos ressources à l'aide des clés que vous créez dans Cloud KMS.
Les services intégrés à Cloud KMS utilisent le chiffrement.
Le niveau de protection de la clé est compris dans votre contrôle.
Toutes les clés sont au format AES-GCM 256 bits.
Le matériel de clé ne quitte jamais la limite du système Cloud KMS.
Vos clés symétriques sont utilisées pour chiffrer et déchiffrer les données dans l'enveloppe de chiffrement.
Les services intégrés aux CMEK suivent les clés et les ressources
Les ressources protégées par des clés CMEK disposent d'un champ de métadonnées contenant le nom qui effectue le chiffrement. En général, les clients peuvent voir ces informations dans les métadonnées des ressources.
Le suivi des clés indique les ressources dont une clé protège, pour les services qui prennent en charge le suivi des clés.
Les clés peuvent être répertoriées par projet.
Les services intégrés à CMEK gèrent l'accès aux ressources
Compte principal qui crée ou visualise les ressources dans le service intégré à la CMEK
n'exige pas
Chiffreur/Déchiffreur de CryptoKeys Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter
) pour la clé CMEK utilisée afin de protéger
ressource.
Chaque ressource de projet dispose d'un compte de service spécial appelé agent de service qui effectue le chiffrement et le déchiffrement à l'aide de clés gérées par le client. Une fois que vous accorder à l'agent de service l'accès à une CMEK, l'agent de service utilisera cette clé pour protéger les ressources de votre de votre choix.
Lorsqu'un demandeur souhaite accéder à une ressource chiffrée avec un service , l'agent de service tente automatiquement de déchiffrer la ressource demandée. Si l'agent de service est autorisé à déchiffrer les données à l'aide de la clé et que vous n'avez pas désactivée ou détruite, l'agent de service assure les opérations de chiffrement de la clé. À défaut, la requête échoue.
Aucun accès supplémentaire de l'utilisateur à la demande n'est requis. Étant donné que l'agent de service gère le chiffrement et le déchiffrement en arrière-plan, l'expérience utilisateur pour accéder aux ressources est semblable à celle du chiffrement par défaut de Google.
Utiliser Autokey pour les CMEK
Pour chaque dossier dans lequel vous souhaitez utiliser Autokey, il existe un configuration. Vous pouvez vous attendre à choisir un dossier avec lequel travailler la compatibilité avec Autokey et un projet de clé associé dans lequel Autokey stocke les clés de ce dossier. Pour en savoir plus sur l'activation d'Autokey, consultez Activer Cloud KMS Autokey.
Contrairement à la création manuelle de clés CMEK, Autokey ne nécessite pas les étapes de configuration suivantes:
Les administrateurs de clés n'ont pas besoin de créer manuellement des trousseaux de clés ni de clés, ni d'attribuer des droits aux agents de service qui chiffrent et déchiffrent les données. La L'agent de service Cloud KMS effectue ces actions en son nom.
Les développeurs n'ont pas besoin de planifier à l'avance pour demander des clés avant de création. Ils peuvent demander eux-mêmes des clés à Autokey si nécessaire, tout en préservant séparation des tâches.
Lorsque vous utilisez Autokey, il n'y a qu'une seule étape: le développeur demande le lors de la création des ressources. Les clés renvoyées sont cohérentes pour le type de ressource prévu.
Vos clés CMEK créées avec Autokey se comportent de la même manière que créées manuellement pour les fonctionnalités suivantes:
Les services intégrés aux CMEK se comportent de la même manière.
L'administrateur des clés peut continuer à surveiller toutes les clés créées et utilisées via le tableau de bord Cloud KMS suivi de l'utilisation des clés.
Les règles d'administration fonctionnent de la même manière avec Autokey qu'avec Autokey. avec des clés CMEK créées manuellement.
Pour en savoir plus sur Autokey, consultez la section Présentation de la clé automatique. Pour en savoir plus, sur la création de ressources protégées par une clé CMEK avec Autokey, consultez Créez des ressources protégées à l'aide de Cloud KMS Autokey.
Créer manuellement des clés CMEK
Lorsque vous créez manuellement vos clés CMEK, vos trousseaux de clés, vos clés et vos emplacements de ressources doivent être planifiées et créées en amont de la création de la ressource. Vous pouvez ensuite utiliser vos clés pour protéger les ressources.
Pour connaître la procédure exacte d'activation des CMEK, consultez la documentation sur le service Google Cloud concerné. Certains services, comme GKE, Vous disposez de plusieurs intégrations CMEK pour protéger différents types de données au service. La procédure est semblable à celle-ci:
Créez un trousseau de clés Cloud KMS ou choisissez un trousseau existant. Quand ? créez votre trousseau de clés, choisissez un emplacement géographiquement proche du les ressources que vous protégez. Le trousseau de clés peut se trouver dans le même projet que les ressources que vous protégez ou dans des projets différents. L'utilisation de différentes vous permet de mieux contrôler les rôles IAM et aide sont compatibles avec la séparation des tâches.
Vous créez ou importez une clé Cloud KMS dans le trousseau de clés choisi. Ce est la clé CMEK.
Vous accordez l'IAM au chiffreur/déchiffreur de CryptoKeys rôle (
roles/cloudkms.cryptoKeyEncrypterDecrypter
) sur la clé CMEK à compte de service pour le service.Lorsque vous créez une ressource, configurez-la pour qu'elle utilise la clé CMEK. Pour par exemple, vous pouvez configurer un cluster GKE pour utiliser une clé CMEK protéger les données au repos sur les disques de démarrage nœuds.
Pour qu'un demandeur puisse accéder aux données, il n'a pas besoin d'un accès direct Clé CMEK.
Tant que l'agent de service dispose du chiffreur/déchiffreur de clés cryptographiques , le service peut chiffrer et déchiffrer ses données. Si vous révoquez ce rôle, ou si vous désactivez ou détruisez la clé CMEK, ces données ne seront pas accessibles.
Conformité CMEK
Certains services disposent d'intégrations CMEK et vous permettent de gérer vous-même les clés. Certains services offrent plutôt la conformité CMEK, ce qui signifie que les données temporaires et clé éphémère ne sont jamais écrites sur le disque. Pour obtenir la liste complète des services intégrés et conformes, consultez la section Services compatibles avec les CMEK.
Suivi de l'utilisation des clés
Le suivi de l'utilisation des clés vous permet d'identifier les ressources Google Cloud au sein de votre de votre organisation qui sont protégées par vos clés CMEK. Grâce au suivi de l'utilisation des clés, peuvent consulter les ressources, les projets et les produits uniques Google Cloud protégés. qui utilisent une clé spécifique et si des clés sont utilisées. Pour en savoir plus sur le suivi de l'utilisation des clés, consultez Afficher l'utilisation des clés.
Règles d'administration CMEK
Google Cloud propose des contraintes liées aux règles d'administration pour vous aider à garantir une utilisation cohérente des CMEK sur une ressource d'organisation. Ces contraintes permettent aux administrateurs de l'organisation de nécessiter l'utilisation de CMEK et de spécifier des limites et des contrôles sur les clés Cloud KMS utilisées pour la protection CMEK, y compris les éléments suivants :
Limites concernant les clés Cloud KMS utilisées pour la protection CMEK
Limites concernant les niveaux de protection des clés autorisés
Limites concernant l'emplacement des clés CMEK
Commandes de destruction des versions de clé
Pour en savoir plus sur les règles d'administration CMEK, consultez la section Règles d'administration CMEK.
Étape suivante
- Voir la liste des services avec CMEK intégrés.
- Voir la liste des clés de chiffrement gérées par le client Google Cloud.
- Voir la liste des types de ressources qui peuvent suivre l'utilisation des clés.
- Consultez la liste des services compatibles avec Autokey :