Créer une clé externe

Cette page vous explique comment créer des clés Cloud External Key Manager (Cloud EKM) sur un trousseau de clés existant dans Cloud Key Management Service (Cloud KMS).

Avant de commencer

Avant d'effectuer les tâches indiquées sur cette page, vous devez disposer des éléments suivants :

  • Ressource de projet Google Cloud contenant vos ressources Cloud KMS. Nous vous recommandons d'utiliser un projet distinct pour vos ressources Cloud KMS, qui ne contient aucune autre ressource Google Cloud .

    Notez le compte de service Cloud EKM de votre projet. Dans l'exemple suivant, remplacez PROJECT_NUMBER par le numéro de projet de votre projet Google Cloud . Ces informations sont également visibles chaque fois que vous utilisez la console Google Cloud pour créer une clé Cloud EKM.

        service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
  • Nom et emplacement du trousseau de clés dans lequel vous souhaitez créer votre clé. Choisissez un trousseau de clés dans un emplacement proche de vos autres ressources et compatible avec Cloud EKM. Pour afficher les emplacements disponibles et les niveaux de protection qu'ils prennent en charge, consultez Emplacements Cloud KMS. Pour créer un trousseau de clés, consultez Créer un trousseau de clés.

  • Pour créer des clés externes gérées manuellement, vous devez créer la clé dans le système partenaire de gestion de clés externes. Les étapes exactes varient en fonction du partenaire de gestion des clés externes.

    1. Si nécessaire, demandez l'accès à votre partenaire de gestion des clés externes pour participer.

    2. Créez une clé symétrique ou asymétrique dans le système partenaire de gestion des clés externes, ou sélectionnez une clé existante.

      Créez la clé dans une région proche de la région Google Cloud que vous souhaitez utiliser pour les clés Cloud EKM. Cela permet de réduire la latence du réseau entre votre projet Google Cloud et le partenaire de gestion des clés externes. Dans le cas contraire, le nombre d'opérations ayant échoué peut augmenter. Pour en savoir plus, consultez Cloud EKM et régions.

    3. Notez l'URI ou le chemin d'accès de la clé externe. Vous avez besoin de ces informations pour créer une clé Cloud EKM.
  • Dans le système partenaire de gestion des clés externes, accordez au compte de service Google Cloudl'accès permettant d'utiliser vos clés externes. Traitez le compte de service comme une adresse e-mail. Les partenaires EKM peuvent utiliser une terminologie différente de celle utilisée dans ce document.
  • Pour créer des clés EKM sur VPC, vous devez créer une connexion EKM.
  • Facultatif : Pour utiliser la gcloud CLI, préparez votre environnement.

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

Rôles requis

Pour obtenir les autorisations nécessaires pour créer des clés, demandez à votre administrateur de vous accorder le rôle IAM Administrateur Cloud KMS (roles/cloudkms.admin) sur le projet ou sur une ressource parente. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient les autorisations requises pour créer des clés. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour créer des clés :

  • cloudkms.cryptoKeys.create
  • cloudkms.cryptoKeys.get
  • cloudkms.cryptoKeys.list
  • cloudkms.cryptoKeyVersions.create
  • cloudkms.cryptoKeyVersions.get
  • cloudkms.cryptoKeyVersions.list
  • cloudkms.keyRings.get
  • cloudkms.keyRings.list
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
  • Pour récupérer une clé publique : cloudkms.cryptoKeyVersions.viewPublicKey

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer une clé externe coordonnée

Console

  1. Dans la console Google Cloud , accédez à la page Gestion des clés.

    Accéder à Key Management

  2. Cliquez sur le nom du trousseau de clés pour lequel vous souhaitez créer une clé.

  3. Cliquez sur Créer une clé.

  4. Dans le champ Nom de la clé, saisissez un nom pour votre clé.

  5. Pour Niveau de protection, sélectionnez Externe.

  6. Pour Type de connexion du gestionnaire de clés externe (EKM), sélectionnez via VPC.

  7. Sous EKM via une connexion VPC, sélectionnez une connexion.

    Si vous ne disposez pas de l'autorisation EkmConnection.list, vous devez saisir manuellement le nom de la ressource de connexion.

  8. Cliquez sur Continuer.

  9. Dans la section Matériel de clé, vous devriez voir un message indiquant qu'un nouveau matériel de clé a été demandé par Cloud KMS et généré dans votre EKM. Si le champ Chemin d'accès à la clé s'affiche, cela signifie que la connexion EKM via VPC que vous avez sélectionnée n'est pas configurée pour les clés externes coordonnées.

  10. Configurez les autres paramètres clés selon vos besoins, puis cliquez sur Créer.

Cloud EKM envoie une requête à votre EKM pour créer une clé. La clé est indiquée comme En attente de génération jusqu'à ce que le chemin d'accès à la clé soit renvoyé par votre EKM et que la clé Cloud EKM soit disponible.

gcloud

Pour utiliser Cloud KMS sur la ligne de commande, commencez par installer ou mettre à jour Google Cloud CLI.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Remplacez les éléments suivants :

  • KEY_NAME : nom de la clé.
  • KEY_RING : nom du trousseau de clés qui inclut la clé
  • LOCATION : emplacement Cloud KMS du trousseau de clés.
  • PURPOSE : objectif de la clé.
  • ALGORITHM : algorithme à utiliser pour la clé, par exemple google-symmetric-encryption. Pour obtenir la liste des algorithmes compatibles, consultez Algorithmes.
  • VPC_CONNECTION_RESOURCE_ID : ID de ressource de la connexion EKM.

Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help.

Créer une clé Cloud EKM gérée manuellement via un VPC

Console

  1. Dans la console Google Cloud , accédez à la page Gestion des clés.

    Accéder à Key Management

  2. Cliquez sur le nom du trousseau de clés pour lequel vous souhaitez créer une clé.

  3. Cliquez sur Créer une clé.

  4. Dans le champ Nom de la clé, saisissez un nom pour votre clé.

  5. Pour Niveau de protection, sélectionnez Externe.

  6. Pour Type de connexion du gestionnaire de clés externe (EKM), sélectionnez via VPC.

  7. Sous EKM via une connexion VPC, sélectionnez une connexion.

    Notez que si vous ne disposez pas de l'autorisation EkmConnection.list, vous devez saisir manuellement le nom de la ressource de connexion.

  8. Cliquez sur Continuer.

  9. Dans le champ Chemin d'accès à la clé, saisissez le chemin d'accès à votre clé externe.

  10. Configurez les autres paramètres clés selon vos besoins, puis cliquez sur Créer.

gcloud

Pour utiliser Cloud KMS sur la ligne de commande, commencez par installer ou mettre à jour Google Cloud CLI.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --skip-initial-version-creation \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Remplacez les éléments suivants :

  • KEY_NAME : nom de la clé.
  • KEY_RING
  • LOCATION : emplacement Cloud KMS du trousseau de clés.
  • PURPOSE : objectif de la clé.
  • ALGORITHM : algorithme à utiliser pour la clé, par exemple google-symmetric-encryption. Pour obtenir la liste des algorithmes compatibles, consultez Algorithmes.
  • VPC_CONNECTION_RESOURCE_ID : ID de ressource de la connexion EKM.

Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help.

Créer une clé Cloud EKM gérée manuellement via Internet

Console

  1. Dans la console Google Cloud , accédez à la page Gestion des clés.

    Accéder à Key Management

  2. Cliquez sur le nom du trousseau de clés pour lequel vous souhaitez créer une clé.

  3. Cliquez sur Créer une clé.

  4. Dans le champ Nom de la clé, saisissez un nom pour votre clé.

  5. Pour Niveau de protection, sélectionnez Externe.

  6. Pour le type de connexion du gestionnaire de clés externe (EKM), sélectionnez via Internet.

  7. Cliquez sur Continuer.

  8. Dans le champ URI de la clé, saisissez le chemin d'accès à votre clé externe.

  9. Configurez les autres paramètres clés selon vos besoins, puis cliquez sur Créer.

gcloud

Pour utiliser Cloud KMS sur la ligne de commande, commencez par installer ou mettre à jour Google Cloud CLI.

  1. Créez une clé externe vide :

    gcloud kms keys create KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --purpose PURPOSE \
  --protection-level external \
  --skip-initial-version-creation \
  --default-algorithm ALGORITHM

    Remplacez les éléments suivants :

    • KEY_NAME : nom de la clé.
    • KEY_RING : nom du trousseau de clés qui inclut la clé
    • LOCATION : emplacement Cloud KMS du trousseau de clés.
    • PURPOSE : objectif de la clé.
    • ALGORITHM : algorithme à utiliser pour la clé, par exemple google-symmetric-encryption. Pour obtenir la liste des algorithmes compatibles, consultez Algorithmes.

    Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help.

  2. Créez une version de la clé que vous venez de créer :

    gcloud kms keys versions create \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --external-key-uri EXTERNAL_KEY_URI

    Remplacez EXTERNAL_KEY_URI par l'URI de la clé externe.

    Pour les versions de clé symétriques, ajoutez l'indicateur --primary pour définir la nouvelle version de clé comme version principale.

Étapes suivantes