Cette page a été traduite par l'API Cloud Translation.

Présentation de Cloud Key Management Service

Cloud Key Management Service (Cloud KMS) vous permet de créer et de gérer des clés CMEK pour dans les services Google Cloud compatibles et dans vos propres applications. Cloud KMS vous permet d'effectuer les opérations suivantes:

Générez des clés logicielles ou matérielles, importez les clés existantes dans Cloud KMS, ou associez des clés externes à votre clé externe compatible (EKM).
Utiliser des clés de chiffrement gérées par le client (CMEK) dans Google Cloud avec une intégration CMEK. Les intégrations CMEK utilisent vos clés CMEK pour chiffrer ou "encapsuler" vos clés de chiffrement de données (DEK). L'encapsulation de DEK avec des clés de chiffrement de clé (KEK) est appelée chiffrement encapsulé.
Utiliser Cloud KMS Autokey (Preview) pour automatiser le provisionnement et l'attribution. Avec Autokey, vous n'avez pas besoin de provisionner de trousseaux de clés, les clés et les comptes de service à l'avance. Ils sont générés de la demande lors de la création des ressources.
Utilisez des clés Cloud KMS pour les opérations de chiffrement et de déchiffrement. Pour Par exemple, vous pouvez utiliser l'API Cloud KMS ou les bibliothèques clientes utilisez vos clés Cloud KMS pour des commandes le chiffrement.
Utiliser des clés Cloud KMS pour créer ou vérifier signatures numériques ou signatures de code d'authentification de message (MAC).

Choisissez le chiffrement adapté à vos besoins

Vous pouvez utiliser le tableau suivant pour identifier le type de chiffrement qui répond à vos besoins pour chaque cas d'utilisation. La meilleure solution pour vos besoins peut inclure plusieurs approches de chiffrement. Par exemple, vous pouvez utiliser des clés logicielles pour les données et le matériel les moins sensibles, ou les clés externes pour les clés données. Pour en savoir plus sur les options de chiffrement décrites dans ce document, consultez la section Protéger les données dans Google Cloud sur cette page.

Type de chiffrement	Coût	Services compatibles	Fonctionnalités
<ph type="x-smartling-placeholder"></ph> Clés détenues et gérées par Google (chiffrement par défaut de Google Cloud)	Incluse	Tous les services Google Cloud qui stockent des données client	Aucune configuration n'est requise. Elle crypte automatiquement les données client enregistrées service Google Cloud. La plupart des services effectuent automatiquement une rotation des clés. Accepte le chiffrement à l'aide de l'algorithme AES-256. Certification FIPS 140-2 de niveau 1.
Clés de chiffrement gérées par le client : logiciel (clés Cloud KMS)	0,06 $ par version de clé	Plus de 40 services	Vous contrôlez le calendrier de rotation automatique des clés : Rôles et autorisations IAM activer, désactiver et détruire des versions de clé. Prend en charge les clés symétriques et asymétriques pour le chiffrement et déchiffrement. Rotation automatique symétriques. Compatible avec plusieurs algorithmes. Certification FIPS 140-2 de niveau 1. Les clés sont propres à chaque client.
Gérée par le client clés de chiffrement - matérielles (clés Cloud HSM)	1,00 à 2,50 $ par version de clé et par mois	Plus de 40 services	Éventuellement géré via Cloud KMS Autokey (version preview). Vous contrôlez le calendrier de rotation automatique des clés : Rôles et autorisations IAM activer, désactiver et détruire des versions de clé. Prend en charge les clés symétriques et asymétriques pour le chiffrement et déchiffrement. Rotation automatique symétriques. Compatible avec plusieurs algorithmes. Certification FIPS 140-2 de niveau 3. Les clés sont propres à chaque client.
Gérée par le client clés de chiffrement – externes (clés Cloud EKM)	3,00 $ par version de clé et par mois	Plus de 30 services	Vous contrôlez les rôles et les autorisations IAM, enable, désactiver ou détruire des versions de clé. Les clés ne sont jamais envoyées à Google. Le matériel de clé se trouve dans clé externe compatible (EKM). Les services Google Cloud compatibles se connectent à votre fournisseur EKM Internet ou Privée virtuelle dans Google Cloud (VPC). Accepte les clés symétriques pour le chiffrement et déchiffrement. Alternez manuellement vos clés en coordination avec Cloud EKM et votre fournisseur EKM. Certification FIPS 140-2 niveau 2 ou FIPS 140-2 niveau 3, en fonction sur l'EKM. Les clés sont propres à chaque client.
Chiffrement côté client à l'aide de clés Cloud KMS	Le coût des versions de clé actives dépend du niveau de protection .	Utiliser des bibliothèques clientes dans vos applications	Vous contrôlez le calendrier de rotation automatique des clés : Rôles et autorisations IAM activer, désactiver et détruire des versions de clé. Prend en charge les clés symétriques et asymétriques pour le chiffrement, le déchiffrement, la signature et la validation de signature. Les fonctionnalités varient selon le niveau de protection de la clé.
<ph type="x-smartling-placeholder"></ph> Clés de chiffrement fournies par le client	Risque d'augmenter les coûts associés à Compute Engine Cloud Storage	<ph type="x-smartling-placeholder"></ph> Compute Engine <ph type="x-smartling-placeholder"></ph> Cloud Storage	Vous fournissez les matériaux clés si nécessaire. Le matériel de clé est stocké en mémoire ; Google n'y a pas accès de façon permanente stocker vos clés sur nos serveurs.
Informatique confidentielle	Coût supplémentaire pour chaque Confidential VM peut augmenter l'utilisation des journaux et coûts associés	<ph type="x-smartling-placeholder"></ph> Compute Engine <ph type="x-smartling-placeholder"></ph> GKE <ph type="x-smartling-placeholder"></ph> Dataproc	Chiffrement en cours d'utilisation pour les VM traitant des données sensibles ou charges de travail. Google ne peut pas accéder aux clés.

Protéger les données dans Google Cloud

Clés détenues et gérées par Google (chiffrement par défaut de Google Cloud)

Par défaut, les données au repos dans Google Cloud sont protégées par des clés Keystore, le service interne de gestion des clés de Google. Les clés du keystore sont gérées automatiquement par Google, sans aucune configuration de votre part. La plupart services effectuent automatiquement une rotation automatique des clés. Le keystore accepte une clé primaire et un nombre limité d'anciennes versions de clé. La version de clé primaire est pour chiffrer de nouvelles clés de chiffrement de données. Les anciennes versions de clé peuvent toujours être utilisées pour déchiffrer les clés de chiffrement de données existantes. Vous ne pouvez pas afficher ni gérer ces clés ou examiner les journaux d'utilisation des clés. Les données de plusieurs clients peuvent utiliser la même clé clé de chiffrement.

Ce chiffrement par défaut utilise des modules de chiffrement Conformité FIPS 140-2 niveau 1.

Clés de chiffrement gérées par le client (CMEK)

Les clés Cloud KMS qui servent à protéger vos ressources Les services intégrés à des CMEK sont des clés de chiffrement gérées par le client (CMEK). Vous pouvez possèdent et contrôlent des CMEK, tout en déléguant les tâches de création et d'attribution des clés à Cloud KMS Autokey (version preview) Pour apprendre pour en savoir plus sur l'automatisation du provisionnement des CMEK, consultez Cloud Key Management Service avec Autokey :

Vous pouvez utiliser vos clés Cloud KMS services compatibles afin de vous aider à atteindre les objectifs suivants:

Posséder vos clés de chiffrement
Contrôlez et gérez vos clés de chiffrement, y compris le choix de l'emplacement, le niveau de protection, la création, le contrôle des accès, la rotation, l'utilisation et la destruction.
Supprimez de manière sélective les données protégées par vos clés en cas de départ ou pour neutraliser les événements de sécurité (déchiquetage de cryptomonnaie).
Créez des clés à locataire unique dédiées qui établissent une limite cryptographique. autour de vos données.
Consigner les accès administrateur et aux données aux clés de chiffrement.
Respecter les réglementations actuelles ou futures qui imposent l'un de ces objectifs.

Lorsque vous utilisez des clés Cloud KMS avec services intégrés CMEK, vous pouvez utiliser des règles d'administration pour garantir que les CMEK sont utilisées comme indiqué règles. Par exemple, vous pouvez définir une règle d'administration qui garantit que vos comptes compatibles avec vos ressources Google Cloud utilisent pour le chiffrement. Les règles d'administration permettent également de spécifier le projet ressources clés doivent se trouver.

Les fonctionnalités et le niveau de protection fournis dépendent du niveau de protection la clé:

Clés logicielles : vous pouvez générer des clés logicielles dans Cloud KMS et et les utiliser dans tous les emplacements Google Cloud. Toi peuvent créer des clés symétriques avec rotation automatique ; des clés asymétriques avec rotation manuelle. Les clés logicielles gérées par le client utilisent Logiciel certifié FIPS 140-2 niveau 1 modules de cryptographie. Vous contrôlez aussi la période de rotation, Rôles et autorisations IAM (Identity and Access Management), règles d'administration qui régissent vos clés. Vous pouvez utiliser vos clés logicielles avec plus de 40 ressources Google Cloud compatibles.
Clés logicielles importées : vous pouvez importer des clés logicielles que vous avez créées. ailleurs pour une utilisation dans Cloud KMS. Vous pouvez importer de nouvelles versions de clé effectuer une rotation manuelle des clés importées. Vous pouvez utiliser des rôles IAM autorisations et règles d'administration pour régir l'utilisation de vos clés importées.
Clés matérielles et Cloud HSM : vous pouvez générer des clés matérielles dans un cluster de matériel FIPS 140-2 de niveau 3 modules de sécurité (HSM). Vous contrôlez la période de rotation, les rôles et autorisations IAM, et les règles d'administration qui régissent vos clés. Lorsque vous créez des clés HSM à l'aide de Cloud HSM, Google gère les clusters HSM à votre place. Vous pouvez utiliser vos clés HSM avec plus de 40 services Google Cloud des ressources, à savoir les services compatibles avec des clés logicielles. Pour une conformité optimale en termes de sécurité, utilisez du matériel clés.
Clés externes et Cloud EKM : vous pouvez utiliser des clés résidant un gestionnaire de clés externe (EKM). Cloud EKM vous permet d'utiliser les clés conservées un gestionnaire de clés compatible pour sécuriser votre aux ressources Google Cloud. Vous pouvez vous connecter à votre EKM sur Internet ou sur un Cloud privé virtuel (VPC) : Certains services Google Cloud les services compatibles avec les clés logicielles ou matérielles clés Cloud EKM.

Clés Cloud KMS

Vous pouvez utiliser vos clés Cloud KMS dans des applications personnalisées à l'aide de la classe bibliothèques clientes Cloud KMS ; API Cloud KMS : Les bibliothèques clientes vous permettent de chiffrer et déchiffrer des données, de signer des données et de valider des signatures.

Clés de chiffrement fournies par le client (CSEK)

Cloud Storage et Compute Engine peuvent utiliser clés de chiffrement fournies par le client (CSEK). Clés de chiffrement fournies par le client de chiffrement, vous stockez le matériel de clé et le fournissez Cloud Storage ou Compute Engine, selon les besoins. Google ne stocker vos CSEK de quelque manière que ce soit.

Informatique confidentielle

Dans Compute Engine, GKE et Dataproc, vous pouvez utiliser la plate-forme d'informatique confidentielle pour chiffrer vos données utilisées. L'informatique confidentielle garantit que vos données restent privées et chiffrées, même pendant leur traitement.