Cette page fournit la liste des services Google Cloud proposant des intégrations avec Cloud KMS. Ces services appartiennent généralement à l'une des catégories suivantes :
Une intégration de clé de chiffrement gérée par le client (CMEK) vous permet de chiffrer les données au repos dans ce service à l'aide d'un Clé Cloud KMS que vous possédez et gérez. Les données protégées par une clé CMEK ne peuvent pas être déchiffrées sans accès à cette clé.
Un service compatible avec les CMEK ne stocke pas les données, ou ne les stocke que pendant une courte période, par exemple lors du traitement par lot. Ces données sont chiffrées à l'aide d'une clé éphémère qui n'existe qu'en mémoire et n'est jamais écrite sur le disque. Lorsque les données ne sont plus nécessaires, la clé éphémère est vidée de la mémoire et les données ne sont plus accessibles. Le résultat d'un service compatible avec les CMEK peut être stocké dans un service intégré à CMEK, tel que Cloud Storage.
Vos applications peuvent utiliser Cloud KMS d'une autre manière. Par exemple, vous pouvez chiffrer directement les données d'application avant de les transmettre ou de les stocker.
Pour en savoir plus sur la protection des données au repos dans Google Cloud le fonctionnement des clés de chiffrement gérées par le client (CMEK), Clés de chiffrement gérées par le client (CMEK).
Intégrations de CMEK
Le tableau suivant répertorie les services qui s'intègrent à Cloud KMS. Tous les services de cette liste sont compatibles avec les clés logicielles et matérielles (HSM). Produits qui s'intègrent à Cloud KMS lorsque vous utilisez Les clés Cloud EKM sont indiquées par la mention EKM supported (compatible avec EKM).
| Service | Protégé par les CMEK | Prise en charge d'EKM | Thème |
|---|---|---|---|
| Agent Assist | Données au repos | Oui | Clés de chiffrement gérées par le client (CMEK) |
| AI Platform Training | Données sur les disques de VM | Non | Utiliser les clés de chiffrement gérées par le client |
| AlloyDB pour PostgreSQL | Données écrites dans des bases de données | Oui | Utiliser les clés de chiffrement gérées par le client |
| Anti Money Laundering AI | Données dans les ressources d'instances d'AML basée sur l'IA | Non | Chiffrer des données à l'aide de clés de chiffrement gérées par le client (CMEK) |
| Apigee | Données au repos | Non | Présentation de CMEK |
| Hub d'API Apigee | Données au repos | Oui | Chiffrement |
| Application Integration | Données écrites dans les bases de données pour l'intégration de l'application | Non | Utiliser les clés de chiffrement gérées par le client |
| Artifact Registry | Données dans les dépôts | Oui | Activer les clés de chiffrement gérées par le client |
| Sauvegarde pour GKE | Données dans la sauvegarde pour GKE | Oui | À propos du chiffrement CMEK des sauvegardes pour GKE |
| BigQuery | Données dans BigQuery | Oui | Protéger des données avec des clés Cloud KMS |
| Bigtable | Données au repos | Oui | Clés de chiffrement gérées par le client (CMEK) |
| Cloud Composer | Données d'environnement | Oui | Utiliser les clés de chiffrement gérées par le client |
| Cloud Data Fusion | Données d'environnement | Oui | Utiliser les clés de chiffrement gérées par le client |
| API Cloud Healthcare | Ensembles de données de l'API Cloud Healthcare | Oui | Utiliser des clés de chiffrement gérées par le client (CMEK) |
| Cloud Logging | Données du routeur de journaux | Oui | Gérer les clés qui protègent les données du routeur de journaux |
| Cloud Logging | Données dans le stockage Logging | Oui | Gérer les clés qui protègent les données de stockage de journalisation |
| Cloud Run | Image du conteneur | Oui | Utiliser des clés de chiffrement gérées par le client avec Cloud Run |
| Fonctions Cloud Run | Données dans les fonctions Cloud Run | Oui | Utiliser les clés de chiffrement gérées par le client |
| Cloud SQL | Données écrites dans des bases de données | Oui | Utiliser les clés de chiffrement gérées par le client |
| Cloud Storage | Données dans les buckets de stockage | Oui | Utiliser les clés de chiffrement gérées par le client |
| Cloud Tasks | Corps et en-tête de la tâche au repos | Oui | Utiliser les clés de chiffrement gérées par le client |
| Cloud Workstations | Données sur les disques de VM | Oui | Chiffrer les ressources de la station de travail |
| Colab Enterprise | Environnements d'exécution et fichiers notebook | Non | Utiliser les clés de chiffrement gérées par le client |
| Compute Engine | Disques persistants | Oui | Protéger des ressources avec des clés Cloud KMS |
| Compute Engine | Instantanés | Oui | Protéger des ressources avec des clés Cloud KMS |
| Compute Engine | Images personnalisées | Oui | Protéger des ressources avec des clés Cloud KMS |
| Compute Engine | Images système | Oui | Protéger des ressources avec des clés Cloud KMS |
| Contact Center AI Insights | Données au repos | Oui | Clés de chiffrement gérées par le client (CMEK) |
| Migrations homogènes de Database Migration Service | Migrations MySQL : données écrites dans des bases de données | Oui | Utiliser des clés de chiffrement gérées par le client (CMEK) |
| Migrations homogènes de Database Migration Service | Migrations PostgreSQL : données écrites dans des bases de données | Oui | Utiliser des clés de chiffrement gérées par le client (CMEK) |
| Migrations homogènes de Database Migration Service | Migrations PostgreSQL vers AlloyDB : données écrites dans les bases de données | Oui | À propos des CMEK |
| Migrations hétérogènes de Database Migration Service | Données au repos Oracle vers PostgreSQL | Oui | Utiliser des clés de chiffrement gérées par le client (CMEK) pour les migrations continues |
| Dataflow | Données d'état du pipeline | Oui | Utiliser les clés de chiffrement gérées par le client |
| Dataform | Données dans les dépôts | Oui | Utiliser les clés de chiffrement gérées par le client |
| Dataproc | Données des clusters Dataproc sur des disques de VM | Oui | Clés de chiffrement gérées par le client |
| Dataproc | Données Dataproc sans serveur sur les disques de VM | Oui | Clés de chiffrement gérées par le client |
| Dataproc Metastore | Données au repos | Oui | Utiliser les clés de chiffrement gérées par le client |
| Datastream | Données en transit | Non | Utiliser des clés de chiffrement gérées par le client (CMEK) |
| Dialogflow CX | Données au repos | Oui | Clés de chiffrement gérées par le client (CMEK) |
| Document AI | Données au repos et données utilisées | Oui | Clés de chiffrement gérées par le client (CMEK) |
| Eventarc | Données au repos | Oui | Utiliser des clés de chiffrement gérées par le client (CMEK) |
| Filestore | Données au repos | Oui | Chiffrer des données avec des clés de chiffrement gérées par le client |
| Firestore | Données au repos | Oui | Utiliser des clés de chiffrement gérées par le client (CMEK) |
| Google Cloud NetApp Volumes | Données au repos | Non | Créer une stratégie CMEK |
| Cloud distribué de Google | Données sur les nœuds Edge | Oui | Sécurité du stockage local |
| Google Kubernetes Engine | Données sur les disques de VM | Oui | Utiliser des clés de chiffrement gérées par le client (CMEK) |
| Google Kubernetes Engine | Secrets au niveau de la couche d'application | Oui | Chiffrement des secrets au niveau de la couche d'application |
| Looker (Google Cloud Core) | Données au repos | Oui | Activer CMEK pour Looker (Google Cloud Core) |
| Memorystore pour Redis | Données au repos | Oui | Clés de chiffrement gérées par le client (CMEK) |
| Migrate to Virtual Machines | Données migrées depuis des sources VMware, AWS et Azure | Oui | Utiliser des clés de chiffrement gérées par le client (CMEK) avec Migrate to Virtual Machines |
| Pub/Sub | Données associées aux sujets | Oui | Configurer le chiffrement des messages |
| Secret Manager | Charges utiles des secrets | Oui | Activer les clés de chiffrement gérées par le client pour Secret Manager |
| Secure Source Manager | Instances | Oui | Chiffrer des données avec des clés de chiffrement gérées par le client |
| Spanner | Données au repos | Oui | Clés de chiffrement gérées par le client (CMEK) |
| Speaker ID (disponibilité générale limitée) | Données au repos | Oui | Utiliser des clés de chiffrement gérées par le client |
| Speech-to-Text | Données au repos | Oui | Utiliser les clés de chiffrement gérées par le client |
| Vertex AI | Données associées aux ressources | Oui | Utiliser les clés de chiffrement gérées par le client |
| Vertex AI Agent Builder | Données au repos | Non | Clés de chiffrement gérées par le client |
| Notebooks gérés par Vertex AI Workbench | Données utilisateur au repos | Non | Clés de chiffrement gérées par le client |
| Notebooks Vertex AI Workbench gérés par l'utilisateur | Données sur les disques de VM | Non | Clés de chiffrement gérées par le client |
| Instances Vertex AI Workbench | Données sur les disques de VM | Oui | Clés de chiffrement gérées par le client |
| Workflows | Données au repos | Oui | Utiliser des clés de chiffrement gérées par le client (CMEK) |
Services compatibles avec les CMEK
Le tableau suivant répertorie les services qui n'utilisent pas de clés de chiffrement gérées par le client (CMEK) car ils ne stockent pas de données à long terme. Pour en savoir plus sur les raisons pour lesquelles ces services sont considérés comme conformes aux CMEK, consultez la page Conformité CMEK.
| Service | Sujet |
|---|---|
| Cloud Build | Conformité CMEK dans Cloud Build |
| Container Registry | Utiliser un bucket de stockage protégé par les CMEK |
| Cloud Vision | Conformité CMEK dans l'API Vision |
| Service de transfert de stockage | Clés de chiffrement gérées par le client |
Autres intégrations avec Cloud KMS
Ces pages décrivent d'autres façons d'utiliser Cloud KMS avec d'autres services Google Cloud.
| Produit | Sujet |
|---|---|
| Tout service | Chiffrer les données d'application avant de les transmettre ou de les stocker |
| Cloud Build | Chiffrer les ressources avant de les ajouter à une compilation |
| Cloud Data Loss Prevention | Créer une clé encapsulée |