Ce document présente l'utilisation de Cloud Key Management Service (Cloud KMS) pour les clés de chiffrement gérées par le client (CMEK). L'utilisation de la fonctionnalité CMEK de Cloud KMS vous permet de devenir propriétaire et de contrôler les clés qui protègent vos données au repos dans Google Cloud.
Comparaison entre les CMEK, et les clés détenues et gérées par Google
Les clés Cloud KMS que vous créez sont des clés gérées par le client. Les services Google qui utilisent vos clés disposent d'une intégration CMEK. Vous pouvez gérer ces clés CMEK directement ou via Cloud KMS Autokey (version preview). Les facteurs suivants différencient le chiffrement au repos par défaut de Google des clés gérées par le client:
| Type de clé | Géré par le client avec Autokey (version preview) | Géré par le client (manuel) | Détenu et géré par Google (Google par défaut) |
|---|---|---|---|
| Peut afficher les métadonnées de clés | Oui | Oui | Oui |
| Propriété des clés1 | Client | Client | |
| Peut gérer et contrôler2 clés3 | La création et l'attribution des clés sont automatisées. Le contrôle manuel par le client est entièrement disponible. | Client, contrôle manuel uniquement | |
| Respect des exigences réglementaires pour les clés gérées par le client | Oui | Oui | Non |
| Partage des clés | Propre à un client | Propre à un client | Les données de plusieurs clients utilisent généralement la même clé de chiffrement de clé (KEK). |
| Contrôle de la rotation des clés | Oui | Oui | No |
| Règles d'administration CMEK | Oui | Oui | Non |
| Tarification | Variable. Pour en savoir plus, reportez-vous à la section Tarifs. Aucuns frais supplémentaires pour Autokey (version preview) | Variable (pour en savoir plus, reportez-vous à la section Tarifs) | Gratuit |
1 Selon les termes juridiques, le propriétaire de la clé indique qui détient les droits sur la clé. Les clés appartenant au client disposent d'un accès fortement restreint ou ne sont pas accessibles par Google.
2 Le contrôle des touches consiste à définir des contrôles sur le type de clé et sur son utilisation, à détecter les écarts et à planifier des actions correctives si nécessaire. Vous pouvez contrôler vos clés, mais déléguer leur gestion à un tiers.
3 La gestion des clés inclut les fonctionnalités suivantes:
- Créez des clés.
- Sélectionnez le niveau de protection des clés.
- Désignez les personnes autorisées à gérer les clés.
- contrôler l'accès aux clés ;
- contrôler l'utilisation des clés ;
- Définissez et modifiez la période de rotation des clés, ou déclenchez une rotation des clés.
- Modifier l'état de la clé
- Détruire des versions de clé
Chiffrement par défaut avec des clés appartenant à Google et gérées par Google
Toutes les données stockées dans Google Cloud sont chiffrées au repos à l'aide des mêmes systèmes de gestion de clés renforcés que Google utilise pour ses propres données chiffrées. Ces systèmes de gestion des clés offrent des contrôles d'accès aux clés et des audits stricts, et chiffrent les données utilisateur au repos à l'aide de la norme de chiffrement AES-256. Google détient et contrôle les clés utilisées pour chiffrer vos données. Vous ne pouvez pas afficher ni gérer ces clés, ni consulter les journaux d'utilisation des clés. Les données de plusieurs clients peuvent utiliser la même clé de chiffrement de clé (KEK). Aucune installation, configuration ni gestion n'est requise.
Pour en savoir plus sur le chiffrement par défaut dans Google Cloud, consultez la page Chiffrement au repos par défaut.
Clés de chiffrement gérées par le client (CMEK)
Les clés de chiffrement gérées par le client sont des clés de chiffrement que vous possédez. Cette fonctionnalité vous permet de mieux contrôler les clés utilisées pour chiffrer les données au repos dans les services Google Cloud compatibles et fournit une limite cryptographique autour de vos données. Vous pouvez gérer les clés CMEK directement dans Cloud KMS, ou automatiser le provisionnement et l'attribution à l'aide de Cloud KMS Autokey (version preview).
Les services compatibles avec les CMEK disposent d'une intégration CMEK. L'intégration CMEK est une technologie de chiffrement côté serveur que vous pouvez utiliser à la place du chiffrement par défaut de Google. Une fois la CMEK configurée, les opérations de chiffrement et de déchiffrement des ressources sont gérées par l'agent de service des ressources. Étant donné que les services intégrés à CMEK gèrent l'accès aux ressources chiffrées, le chiffrement et le déchiffrement peuvent s'effectuer de manière transparente, sans intervention de l'utilisateur final. L'expérience d'accès aux ressources est semblable à l'utilisation du chiffrement par défaut de Google. Pour en savoir plus sur l'intégration des CMEK, consultez la section Ce que fournit un service intégré à CMEK.
Vous pouvez utiliser un nombre illimité de versions pour chaque clé.
Pour savoir si un service est compatible avec les clés CMEK, consultez la liste des services compatibles.
L'utilisation de Cloud KMS entraîne des coûts liés au nombre de versions de clé et d'opérations de chiffrement effectuées avec ces versions. Pour en savoir plus sur la tarification, consultez la page Tarifs de Cloud Key Management Service. Aucun achat ou engagement minimal n'est requis.
Clés de chiffrement gérées par le client (CMEK) avec Cloud KMS Autokey
Cloud KMS Autokey simplifie la création et la gestion des clés CMEK en automatisant le provisionnement et l'attribution. Avec Autokey, des trousseaux et des clés sont générés à la demande lors de la création des ressources, et les agents de service qui utilisent les clés pour les opérations de chiffrement et de déchiffrement se voient automatiquement attribuer les rôles IAM (Identity and Access Management) nécessaires.
L'utilisation de clés générées par Autokey peut vous aider à vous conformer aux normes du secteur et aux pratiques recommandées pour la sécurité des données, y compris l'alignement de l'emplacement des données des clés, la spécificité des clés, le niveau de protection du module de sécurité matériel (HSM), le calendrier de rotation des clés et la séparation des tâches. Autokey crée des clés qui respectent à la fois les consignes générales et les consignes spécifiques au type de ressource pour les services Google Cloud qui s'intègrent à Autokey. Les clés créées à l'aide d'Autokey fonctionnent de la même manière que les autres clés Cloud HSM (Cloud HSM) avec les mêmes paramètres, y compris la compatibilité avec les exigences réglementaires pour les clés gérées par le client. Pour en savoir plus sur Autokey, consultez la présentation d'Autokey.
Quand utiliser les clés gérées par le client ?
Vous pouvez utiliser des clés CMEK créées manuellement ou des clés créées par Autokey dans des services compatibles pour atteindre les objectifs suivants:
Posséder vos clés de chiffrement
Contrôlez et gérez vos clés de chiffrement, y compris le choix de l'emplacement, le niveau de protection, la création, le contrôle des accès, la rotation, l'utilisation et la destruction.
Générez ou gérez votre matériel de clé en dehors de Google Cloud.
Définissez des règles concernant les endroits où vos clés doivent être utilisées.
Supprimez de manière sélective les données protégées par vos clés en cas de départ ou pour résoudre des événements de sécurité (déchiquetage de cryptomonnaie).
Utilisez des clés propres à chaque client et établissez une limite cryptographique autour de vos données.
Créez des clés propres à un client pour établir une limite cryptographique autour de vos données.
Consigner les accès administrateur et aux données aux clés de chiffrement.
Respecter les réglementations actuelles ou futures qui imposent l'un de ces objectifs.
Avantages d'un service intégré à CMEK
Comme le chiffrement par défaut de Google, CMEK est un chiffrement encapsulé, symétrique et côté serveur des données client. La différence avec le chiffrement par défaut de Google est que la protection CMEK utilise une clé contrôlée par le client. Les clés CMEK créées manuellement ou automatiquement à l'aide d'Autokey fonctionnent de la même manière lors de l'intégration du service.
Les services cloud disposant d'une intégration CMEK utilisent des clés que vous créez dans Cloud KMS pour protéger vos ressources.
Les services intégrés à Cloud KMS utilisent le chiffrement symétrique.
Vous contrôlez le niveau de protection de la clé.
Toutes les clés sont au format AES-GCM 256 bits.
Le matériel de clé ne quitte jamais les limites du système Cloud KMS.
Vos clés symétriques permettent de chiffrer et de déchiffrer des données dans le modèle de chiffrement encapsulé.
Les services intégrés à la CMEK effectuent le suivi des clés et des ressources
Les ressources protégées par des clés CMEK disposent d'un champ de métadonnées contenant le nom de la clé qui la chiffre. En général, il est visible par le client dans les métadonnées de la ressource.
Le suivi des clés vous indique les ressources protégées par une clé, pour les services compatibles avec le suivi des clés.
Les clés peuvent être répertoriées par projet.
Les services intégrés à CMEK gèrent l'accès aux ressources
Le compte principal qui crée ou affiche des ressources dans le service intégré à la CMEK ne nécessite pas de chiffreur/déchiffreur de CryptoKeys Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) pour la clé CMEK utilisée pour protéger la ressource.
Chaque ressource de projet dispose d'un compte de service spécial appelé agent de service qui effectue le chiffrement et le déchiffrement à l'aide de clés gérées par le client. Une fois que vous avez accordé à l'agent de service l'accès à une clé CMEK, cet agent de service utilise cette clé pour protéger les ressources de votre choix.
Lorsqu'un demandeur souhaite accéder à une ressource chiffrée avec une clé gérée par le client, l'agent de service tente automatiquement de déchiffrer la ressource demandée. Si l'agent de service est autorisé à effectuer des déchiffrements à l'aide de la clé, et que vous n'avez pas désactivé ni détruit la clé, il assure le chiffrement et le déchiffrement de la clé. À défaut, la requête échoue.
Aucun accès supplémentaire au demandeur n'est requis. Étant donné que l'agent de service gère le chiffrement et le déchiffrement en arrière-plan, l'expérience utilisateur en matière d'accès aux ressources est semblable à celle du chiffrement par défaut de Google.
Utiliser Autokey pour les CMEK
Vous devez effectuer un processus de configuration unique pour chaque dossier dans lequel vous souhaitez utiliser Autokey. Vous pouvez vous attendre à choisir un dossier compatible avec Autokey et un projet de clé associé dans lequel Autokey stocke les clés de ce dossier. Pour en savoir plus sur l'activation d'Autokey, consultez la page Activer Cloud KMS Autokey.
Par rapport à la création manuelle de clés CMEK, Autokey ne nécessite pas les étapes de configuration suivantes:
Les administrateurs de clés n'ont pas besoin de créer manuellement des trousseaux de clés ou des clés, ni d'attribuer des droits aux agents de service chargés de chiffrer et de déchiffrer les données. L'agent de service Cloud KMS effectue ces actions en son nom.
Les développeurs n'ont pas besoin de planifier à l'avance pour demander des clés avant la création des ressources. Ils peuvent demander eux-mêmes des clés à Autokey si nécessaire, tout en préservant la séparation des tâches.
Lorsque vous utilisez Autokey, il n'y a qu'une seule étape: le développeur demande les clés lors de la création des ressources. Les clés renvoyées sont cohérentes pour le type de ressource souhaité.
Les clés CMEK créées avec Autokey se comportent de la même manière que les clés créées manuellement pour les fonctionnalités suivantes:
Les services intégrés à des clés CMEK se comportent de la même manière.
L'administrateur de clé peut continuer à surveiller toutes les clés créées et utilisées via le tableau de bord Cloud KMS et le suivi de l'utilisation des clés.
Les règles d'administration fonctionnent de la même manière avec Autokey qu'avec les clés CMEK créées manuellement.
Pour en savoir plus sur Autokey, consultez la page Présentation d'Autokey. Pour en savoir plus sur la création de ressources protégées par une clé CMEK avec Autokey, consultez la page Créer des ressources protégées à l'aide de Cloud KMS Autokey.
Créer manuellement des clés CMEK
Lorsque vous créez manuellement vos clés CMEK, les trousseaux de clés, les clés et les emplacements des ressources doivent être planifiés et créés avant la création des ressources. Vous pouvez ensuite utiliser vos clés pour protéger les ressources.
Pour connaître la procédure exacte d'activation des CMEK, consultez la documentation sur le service Google Cloud concerné. Certains services, tels que GKE, disposent de plusieurs intégrations CMEK pour protéger différents types de données liées au service. La procédure est semblable à celle-ci:
Créez un trousseau de clés Cloud KMS ou choisissez un trousseau existant. Lors de la création de votre trousseau de clés, choisissez un emplacement géographiquement proche des ressources que vous protégez. Le trousseau de clés peut se trouver dans le même projet que les ressources que vous protégez ou dans différents projets. L'utilisation de projets différents vous permet de mieux contrôler les rôles IAM et facilite la séparation des tâches.
Vous créez ou importez une clé Cloud KMS dans le trousseau de clés choisi. Il s'agit de la clé CMEK.
Vous accordez au compte de service le rôle IAM Chiffreur/Déchiffreur de CryptoKeys (
roles/cloudkms.cryptoKeyEncrypterDecrypter) sur la clé CMEK pour le service.Lorsque vous créez une ressource, configurez-la pour qu'elle utilise la clé CMEK. Par exemple, vous pouvez configurer un cluster GKE pour utiliser les CMEK afin de protéger les données au repos sur les disques de démarrage des nœuds.
Pour qu'un demandeur puisse accéder aux données, il n'a pas besoin d'un accès direct à la clé CMEK.
Tant que l'agent de service dispose du rôle Chiffreur/Déchiffreur de CryptoKeys, le service peut chiffrer et déchiffrer ses données. Si vous révoquez ce rôle, ou si vous désactivez ou détruisez la clé CMEK, ces données ne seront pas accessibles.
Conformité CMEK
Certains services disposent d'intégrations CMEK et vous permettent de gérer vous-même les clés. Certains services offrent plutôt la conformité CMEK, ce qui signifie que les données temporaires et la clé éphémère ne sont jamais écrites sur le disque. Pour obtenir la liste complète des services intégrés et conformes, consultez la page Services compatibles avec les clés CMEK.
Suivi de l'utilisation des clés
Le suivi de l'utilisation des clés vous indique les ressources Google Cloud de votre organisation qui sont protégées par vos clés CMEK. Le suivi de l'utilisation des clés vous permet d'afficher les ressources, les projets et les produits Google Cloud uniques qui utilisent une clé spécifique. Vous pouvez également savoir si des clés sont utilisées. Pour en savoir plus sur le suivi de l'utilisation des clés, consultez Afficher l'utilisation des clés.
Règles d'administration CMEK
Google Cloud propose des contraintes liées aux règles d'administration pour garantir une utilisation cohérente des CMEK dans une ressource d'organisation. Ces contraintes fournissent aux administrateurs d'organisation des contrôles leur permettant d'exiger l'utilisation des clés CMEK et de spécifier des limites et des contrôles sur les clés Cloud KMS utilisées pour la protection CMEK, y compris:
Limites concernant les clés Cloud KMS utilisées pour la protection CMEK
Limites applicables aux niveaux de protection des clés autorisés
Limites concernant l'emplacement des clés CMEK
Commandes de destruction des versions de clé
Pour en savoir plus sur les règles d'administration pour CMEK, consultez Règles d'administration CMEK.
Étapes suivantes
- Consultez la liste des services avec des intégrations CMEK.
- Consultez la liste des services compatibles CMEK.
- Consultez la liste des types de ressources pouvant bénéficier du suivi de l'utilisation des clés.
- Consultez la liste des services compatibles avec Autokey.