Clés de chiffrement gérées par le client (CMEK)

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Cet article présente les clés de chiffrement gérées par le client (CMEK). CMEK vous permet de contrôler les clés qui protègent vos données au repos dans Google Cloud.

Chiffrement par défaut

Toutes les données stockées dans Google Cloud sont chiffrées au repos à l'aide des mêmes systèmes de gestion de clés renforcés que Google utilise pour ses propres données chiffrées. Ces systèmes de gestion des clés fournissent des contrôles d'accès et des audits de clés stricts, et chiffrent les données utilisateur au repos à l'aide des normes de chiffrement AES-256. Aucune installation, configuration ou gestion n'est requise. Le chiffrement par défaut est le meilleur choix si votre organisation n'a pas d'exigences spécifiques concernant la conformité ou la localisation du matériel cryptographique.

Pour en savoir plus sur le chiffrement par défaut dans Google Cloud, consultez la page Chiffrement par défaut au repos.

Clés de chiffrement gérées par le client (CMEK)

Les clés de chiffrement gérées par le client sont des clés de chiffrement que vous gérez à l'aide de Cloud KMS. Cette fonctionnalité vous permet de mieux contrôler les clés utilisées pour chiffrer les données au repos dans les services Google Cloud compatibles. Pour savoir si un service est compatible avec les clés CMEK, consultez la liste des services compatibles. Lorsque vous protégez les données des services Google Cloud à l'aide de CMEK, vous contrôlez la clé CMEK.

L'utilisation de CMEK n'offre pas nécessairement plus de sécurité que les mécanismes de chiffrement par défaut. De plus, l'utilisation de CMEK entraîne des coûts supplémentaires liés à Cloud KMS. L'utilisation du chiffrement CMEK vous permet de contrôler d'autres aspects du cycle de vie et de la gestion de vos clés, y compris les fonctionnalités suivantes:

  • Vous pouvez empêcher Google de déchiffrer les données au repos en désactivant les clés utilisées pour les protéger.
  • Vous pouvez protéger vos données à l'aide d'une clé qui répond à des exigences spécifiques de localité ou de résidence.
  • Vous pouvez alterner les clés automatiquement ou manuellement pour protéger vos données.
  • Vous pouvez protéger vos données à l'aide de différents types de clés :
    • Clés logicielles générées
    • Clés Cloud HSM (matérielles)
    • Clés Cloud External Key Manager (gérées en externe)
    • Clés existantes que vous importez dans Cloud KMS
  • Vous pouvez utiliser un nombre illimité de versions pour chaque clé. La plupart des services ne sont pas compatibles avec les versions de clés illimitées lors de l'utilisation du chiffrement par défaut.

Intégrations de CMEK

Lorsqu'un service est compatible avec CMEK, il est considéré comme doté d'une intégration CMEK. Certains services, tels que GKE, possèdent plusieurs intégrations de CMEK permettant de protéger différents types de données liées au service.

Pour connaître la procédure exacte d'activation des CMEK, consultez la documentation sur le service Google Cloud concerné. La procédure est semblable à celle-ci:

  1. Vous pouvez créer un trousseau de clés Cloud KMS ou choisir un trousseau de clés existant. Lorsque vous créez votre trousseau de clés, choisissez un emplacement géographique proche des ressources que vous protégez. Le trousseau de clés peut se trouver dans le même projet que les ressources que vous protégez ou dans des projets différents. L'utilisation de différents projets vous permet de mieux contrôler les autorisations IAM (Identity and Access Management).

  2. Vous créez ou importez une clé Cloud KMS dans le trousseau de clés choisi. Il s'agit de la clé CMEK.

  3. Vous allez accorder le rôle IAM de chiffreur/déchiffreur de clés cryptographiques (roles/cloudkms.cryptoKeyEncrypterDecrypter) sur la clé CMEK au compte de service du service.

  4. Vous configurez le service de sorte qu'il utilise la clé CMEK pour protéger ses données. Par exemple, vous pouvez configurer un cluster GKE pour utiliser CMEK pour protéger les données au repos sur les disques de démarrage des nœuds.

Tant que le compte de service dispose du rôle Chiffreur/Déchiffreur CyptoKey, le service peut chiffrer et déchiffrer ses données. Si vous révoquez ce rôle, ou si vous désactivez ou détruisez la clé CMEK, ces données ne seront pas accessibles.

Conformité CMEK

Certains services ne stockent pas directement les données, ou ne les stockent que pour une courte durée, comme étape intermédiaire dans une opération de longue durée. Pour ce type de charge de travail, il n'est pas pratique de chiffrer chaque écriture séparément. Ces services ne proposent pas d'intégrations de CMEK, mais peuvent offrir une conformité CMEK, souvent sans configuration de votre part.

Un service compatible avec les CMEK chiffre les données temporaires à l'aide d'une clé éphémère qui n'existe qu'en mémoire et n'est jamais écrite sur le disque. Lorsque les données temporaires ne sont plus nécessaires, la clé éphémère est vidée de la mémoire. Sans la clé éphémère, les données chiffrées ne sont pas accessibles, même si la ressource de stockage existe toujours.

Un service compatible avec les CMEK peut offrir la possibilité d'envoyer ses résultats à un service avec une intégration de CMEK, telle que Cloud Storage.

Règles d'administration CMEK

Google Cloud propose deux contraintes de règle d'administration pour garantir l'utilisation de CMEK dans une ressource d'organisation. Ces contraintes permettent aux administrateurs d'organisation d'imposer l'utilisation de CMEK et de limiter les clés Cloud KMS utilisées pour la protection CMEK. Pour en savoir plus, consultez la page Règles d'administration CMEK.

Étapes suivantes