Cette page explique comment créer des clés Cloud External Key Manager (Cloud EKM) sur un trousseau de clés existant dans Cloud Key Management Service (Cloud KMS).
Avant de commencer
Avant d'effectuer les tâches indiquées sur cette page, assurez-vous de disposer des éléments suivants:
Une ressource de projet Google Cloud pour stocker vos ressources Cloud KMS. Nous vous recommandons d'utiliser un projet distinct pour vos ressources Cloud KMS, qui ne contient aucune autre ressource Google Cloud.
Notez le compte de service Cloud EKM de votre projet. Dans l'exemple suivant, remplacez
PROJECT_NUMBERpar le numéro de projet de votre projet Google Cloud. Ces informations sont également visibles chaque fois que vous utilisez la console Google Cloud pour créer une clé Cloud EKM.service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
Nom et emplacement du trousseau de clés dans lequel vous souhaitez créer votre clé. Choisissez un trousseau de clés situé à proximité de vos autres ressources et compatible avec Cloud EKM. Pour afficher les emplacements disponibles et les niveaux de protection qu'ils acceptent, consultez la page Emplacements Cloud KMS. Pour créer un trousseau de clés, consultez la section Créer un trousseau de clés.
Pour créer des clés externes gérées manuellement, vous devez les créer dans le système partenaire de gestion des clés externes. Les étapes exactes varient en fonction du partenaire de gestion des clés externes.
Si nécessaire, demandez l'accès à votre partenaire externe de gestion des clés pour participer.
Créez une clé symétrique ou asymétrique dans le système partenaire de gestion des clés externes ou sélectionnez une clé existante.
Créez la clé dans une région proche de la région Google Cloud que vous prévoyez d'utiliser pour les clés Cloud EKM. Cela permet de réduire la latence du réseau entre votre projet Google Cloud et le partenaire externe de gestion des clés. Sinon, il se peut que vous constatiez une augmentation du nombre d'opérations en échec. Pour en savoir plus, consultez la section Cloud EKM et régions.
Notez l'URI ou le chemin d'accès de la clé externe. Vous avez besoin de ces informations pour créer une clé Cloud EKM.
Dans le système partenaire de gestion des clés externes, accordez au compte de service Google Cloud l'accès à vos clés externes. Traitez le compte de service comme une adresse e-mail. Les partenaires EKM peuvent utiliser une terminologie différente de celle utilisée dans cet article.
Pour créer un EKM via des clés VPC, vous devez créer un EKM via une connexion VPC.
Facultatif: Pour utiliser la gcloud CLI, préparez votre environnement.
gcloud CLI
Dans la console Google Cloud, activez Cloud Shell.
Rôles requis
Afin d'obtenir les autorisations nécessaires pour créer des clés, demandez à votre administrateur de vous attribuer le rôle IAM Administrateur Cloud KMS (roles/cloudkms.admin) sur le projet ou une ressource parente.
Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.
Ce rôle prédéfini contient les autorisations requises pour créer des clés. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
Les autorisations suivantes sont requises pour créer des clés:
-
cloudkms.cryptoKeys.create -
cloudkms.cryptoKeys.get -
cloudkms.cryptoKeys.list -
cloudkms.cryptoKeyVersions.create -
cloudkms.cryptoKeyVersions.get -
cloudkms.cryptoKeyVersions.list -
cloudkms.keyRings.get -
cloudkms.keyRings.list -
cloudkms.locations.get -
cloudkms.locations.list -
resourcemanager.projects.get -
Pour récupérer une clé publique :
cloudkms.cryptoKeyVersions.viewPublicKey
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.
Créer une clé externe coordonnée
Console
Dans la console Google Cloud, accédez à la page Gestion des clés.
Cliquez sur le nom du trousseau de clés pour lequel vous souhaitez créer une clé.
Cliquez sur Créer une clé.
Pour Nom de la clé, saisissez le nom de votre clé.
Pour Niveau de protection, sélectionnez Externe.
Pour le type de connexion du gestionnaire de clés externe (EKM), sélectionnez via VPC.
Dans le champ EKM via une connexion VPC, sélectionnez une connexion.
Si vous ne disposez pas de l'autorisation
EkmConnection.list, vous devez saisir manuellement le nom de la ressource de connexion.Cliquez sur Continuer.
Dans la section Key material (Matériel de la clé), vous devriez voir un message indiquant que du nouveau matériel de clé est demandé par Cloud KMS et généré dans votre EKM. Si le champ Chemin d'accès de la clé s'affiche, cela signifie que l'EKM via une connexion VPC que vous avez sélectionné n'est pas configuré pour les clés externes coordonnées.
Configurez le reste des paramètres de clé selon vos besoins, puis cliquez sur Créer.
Cloud EKM envoie une requête à votre EKM pour créer une clé. La clé affiche l'état Génération en attente jusqu'à ce que le chemin d'accès de la clé soit renvoyé par votre EKM et que la clé Cloud EKM soit disponible.
gcloud
Pour utiliser Cloud KMS sur la ligne de commande, commencez par installer la dernière version de Google Cloud CLI ou passer à la dernière version de Google Cloud CLI.
gcloud kms keys create KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--purpose PURPOSE \
--default-algorithm ALGORITHM \
--protection-level "external-vpc" \
--crypto-key-backend VPC_CONNECTION_RESOURCE_ID
Remplacez les éléments suivants :
KEY_NAME: nom de la clé.KEY_RING: nom du trousseau de clés contenant la clé.LOCATION: emplacement Cloud KMS du trousseau de clés ;PURPOSE: objectif de la clé.ALGORITHM: algorithme à utiliser pour la clé, par exemplegoogle-symmetric-encryption. Pour obtenir la liste des algorithmes compatibles, consultez la section Algorithmes.VPC_CONNECTION_RESOURCE_ID: ID de ressource de la connexion EKM.
Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help.
Créer une solution Cloud EKM gérée manuellement à l'aide d'une clé VPC
Console
Dans la console Google Cloud, accédez à la page Gestion des clés.
Cliquez sur le nom du trousseau de clés pour lequel vous souhaitez créer une clé.
Cliquez sur Créer une clé.
Pour Nom de la clé, saisissez le nom de votre clé.
Pour Niveau de protection, sélectionnez Externe.
Pour le type de connexion du gestionnaire de clés externe (EKM), sélectionnez via VPC.
Dans le champ EKM via une connexion VPC, sélectionnez une connexion.
Notez que si vous ne disposez pas de l'autorisation
EkmConnection.list, vous devez saisir manuellement le nom de la ressource de connexion.Cliquez sur Continuer.
Dans le champ Chemin d'accès de la clé, saisissez le chemin d'accès à votre clé externe.
Configurez le reste des paramètres de clé selon vos besoins, puis cliquez sur Créer.
gcloud
Pour utiliser Cloud KMS sur la ligne de commande, commencez par installer la dernière version de Google Cloud CLI ou passer à la dernière version de Google Cloud CLI.
gcloud kms keys create KEY_NAME \
--keyring KEY_RING \
--location LOCATION \
--purpose PURPOSE \
--default-algorithm ALGORITHM \
--protection-level "external-vpc" \
--skip-initial-version-creation \
--crypto-key-backend VPC_CONNECTION_RESOURCE_ID
Remplacez les éléments suivants :
KEY_NAME: nom de la clé.- KEY_RING
LOCATION: emplacement Cloud KMS du trousseau de clés ;PURPOSE: objectif de la clé.ALGORITHM: algorithme à utiliser pour la clé, par exemplegoogle-symmetric-encryption. Pour obtenir la liste des algorithmes compatibles, consultez la section Algorithmes.VPC_CONNECTION_RESOURCE_ID: ID de ressource de la connexion EKM.
Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help.
Créer un Cloud EKM géré manuellement à l'aide d'une clé Internet
Console
Dans la console Google Cloud, accédez à la page Gestion des clés.
Cliquez sur le nom du trousseau de clés pour lequel vous souhaitez créer une clé.
Cliquez sur Créer une clé.
Pour Nom de la clé, saisissez le nom de votre clé.
Pour Niveau de protection, sélectionnez Externe.
Pour le type de connexion EKM (gestionnaire de clés externe), sélectionnez via Internet.
Cliquez sur Continuer.
Dans le champ URI de la clé, saisissez le chemin d'accès à votre clé externe.
Configurez le reste des paramètres de clé selon vos besoins, puis cliquez sur Créer.
gcloud
Pour utiliser Cloud KMS sur la ligne de commande, commencez par installer la dernière version de Google Cloud CLI ou passer à la dernière version de Google Cloud CLI.
Créez une clé externe vide:
gcloud kms keys create KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --purpose PURPOSE \ --protection-level external \ --skip-initial-version-creation \ --default-algorithm ALGORITHM
Remplacez les éléments suivants :
KEY_NAME: nom de la clé.KEY_RING: nom du trousseau de clés contenant la clé.LOCATION: emplacement Cloud KMS du trousseau de clés ;PURPOSE: objectif de la clé.ALGORITHM: algorithme à utiliser pour la clé, par exemplegoogle-symmetric-encryption. Pour obtenir la liste des algorithmes compatibles, consultez la section Algorithmes.
Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option
--help.Créez une version de clé pour la clé que vous venez de créer:
gcloud kms keys versions create \ --key KEY_NAME \ --keyring KEY_RING \ --location LOCATION \ --external-key-uri EXTERNAL_KEY_URI
Remplacez
EXTERNAL_KEY_URIpar l'URI de la clé externe.Pour les versions de clé symétrique, ajoutez l'indicateur
--primarypour définir la nouvelle version de clé en tant que version principale.
Étapes suivantes
- Mettez à jour le chemin d'accès d'une clé externe sans rotation de la clé.
- Effectuer la rotation d'une clé externe