Cet article présente les clés de chiffrement gérées par le client (CMEK). CMEK vous permet de contrôler les clés qui protègent vos données au repos dans Google Cloud.
Chiffrement par défaut
Toutes les données stockées dans Google Cloud sont chiffrées au repos à l'aide des mêmes systèmes de gestion de clés renforcés que Google utilise pour ses propres données chiffrées. Ces systèmes de gestion des clés assurent des contrôles d'accès et des audits stricts aux clés, et chiffrent les données utilisateur au repos à l'aide des normes de chiffrement AES-256. Aucune installation, configuration ou gestion n'est requise. Le chiffrement par défaut est le meilleur choix si votre organisation n'a pas d'exigences spécifiques liées à la conformité ou à la localisation du matériel cryptographique.
Pour en savoir plus sur le chiffrement par défaut dans Google Cloud, consultez la page Chiffrement par défaut au repos.
Clés de chiffrement gérées par le client (CMEK)
Les clés de chiffrement gérées par le client sont des clés de chiffrement que vous gérez à l'aide de Cloud KMS. Cette fonctionnalité vous permet de mieux contrôler les clés utilisées pour chiffrer les données au repos dans les services Google Cloud compatibles. Pour savoir si un service est compatible avec les clés CMEK, consultez la liste des services compatibles. Lorsque vous protégez les données des services Google Cloud à l'aide de clés CMEK, la clé CMEK est sous votre contrôle.
L'utilisation de CMEK n'offre pas nécessairement plus de sécurité que les mécanismes de chiffrement par défaut. De plus, l'utilisation de CMEK entraîne des coûts supplémentaires liés à Cloud KMS. L'utilisation de CMEK vous permet de contrôler d'autres aspects du cycle de vie et de la gestion de vos clés, y compris les fonctionnalités suivantes:
- Vous pouvez empêcher Google de déchiffrer les données au repos en désactivant les clés utilisées pour protéger ces données.
- Vous pouvez protéger vos données à l'aide d'une clé répondant à des exigences spécifiques de localité ou de résidence.
- Vous pouvez alterner les clés automatiquement ou manuellement pour protéger vos données.
- Vous pouvez protéger vos données à l'aide de différents types de clés :
- Clés logicielles générées
- Clés Cloud HSM (matérielles)
- Clés Cloud External Key Manager (gérées en externe)
- Clés existantes que vous importez dans Cloud KMS.
- Vous pouvez utiliser un nombre illimité de versions pour chaque clé. La plupart des services ne sont pas compatibles avec les versions de clé illimitées lors de l'utilisation du chiffrement par défaut.
Intégrations de CMEK
Lorsqu'un service est compatible avec les CMEK, on dit qu'il dispose d'une intégration CMEK. Certains services, tels que GKE, possèdent plusieurs intégrations de CMEK permettant de protéger différents types de données liées au service.
Pour connaître la procédure exacte d'activation des CMEK, consultez la documentation sur le service Google Cloud concerné. Vous pouvez vous attendre à suivre des étapes semblables à ce qui suit:
Vous pouvez créer un trousseau de clés Cloud KMS ou en choisir un existant. Lorsque vous créez votre trousseau de clés, choisissez un emplacement géographiquement proche des ressources que vous protégez. Le trousseau de clés peut se trouver dans le même projet que les ressources que vous protégez ou dans des projets différents. L'utilisation de projets différents vous permet de mieux contrôler les autorisations IAM (Identity and Access Management).
Vous créez ou importez une clé Cloud KMS dans le trousseau de clés choisi. Il s'agit de la clé CMEK.
Vous accordez au compte de service du service le rôle IAM Chiffreur/Déchiffreur de CryptoKeys (
roles/cloudkms.cryptoKeyEncrypterDecrypter) sur la clé CMEK.Vous configurez le service de sorte qu'il utilise la clé CMEK pour protéger ses données. Par exemple, vous pouvez configurer un cluster GKE pour protéger les données au repos sur les disques de démarrage des nœuds à l'aide de clés CMEK.
Tant que le compte de service dispose du rôle Chiffrement/Déchiffrement de clés, le service peut chiffrer et déchiffrer ses données. Si vous révoquez ce rôle, ou si vous désactivez ou détruisez la clé CMEK, ces données ne sont pas accessibles.
Conformité CMEK
Certains services ne stockent pas directement les données ou ne les stockent pas pendant une courte période, en tant qu'étape intermédiaire d'une opération de longue durée. Pour ce type de charge de travail, il n'est pas pratique de chiffrer chaque écriture séparément. Ces services ne proposent pas d'intégrations de CMEK, mais peuvent offrir une conformité CMEK, souvent sans configuration de votre part.
Un service compatible avec les CMEK chiffre les données temporaires à l'aide d'une clé éphémère qui n'existe qu'en mémoire et n'est jamais écrite sur le disque. Lorsque les données temporaires ne sont plus nécessaires, la clé éphémère est vidée de la mémoire. Sans la clé éphémère, les données chiffrées ne sont pas accessibles, même si la ressource de stockage existe toujours.
Un service compatible avec les CMEK peut offrir la possibilité d'envoyer ses résultats à un service avec une intégration de CMEK, telle que Cloud Storage.
Règles d'administration CMEK
Google Cloud propose deux contraintes de règle d'administration pour vous aider à garantir l'utilisation des clés CMEK sur une ressource d'organisation. Ces contraintes permettent aux administrateurs d'organisation d'exiger l'utilisation de CMEK et de limiter les clés Cloud KMS utilisées pour la protection des CMEK. Pour en savoir plus, consultez la page Règles d'administration CMEK.
Étapes suivantes
- Consultez la liste des services avec des intégrations CMEK.
- Consultez la liste des services compatibles avec les CMEK.