GS Créer une clé externe

Cette page vous explique comment créer des clés Cloud External Key Manager (Cloud EKM) sur un trousseau de clés existant dans Cloud Key Management Service (Cloud KMS).

Avant de commencer

Avant d'effectuer les tâches indiquées sur cette page, vous devez disposer des éléments suivants :

  • Une ressource de projet Google Cloud qui contiendra vos ressources Cloud KMS. Nous vous recommandons d'utiliser un projet distinct les ressources Cloud KMS qui ne contiennent aucune autre aux ressources Google Cloud.

    Notez le compte de service Cloud EKM de votre projet. Dans l'exemple suivant, remplacez "PROJECT_NUMBER" par le numéro de projet de votre projet Google Cloud. Ces informations sont également visibles chaque fois que vous utilisez Google Cloud Console pour créer une clé Cloud EKM.

        service-PROJECT_NUMBER@gcp-sa-ekms.
  • Nom et emplacement du trousseau de clés dans lequel vous souhaitez créer votre clé. Choisissez un trousseau de clés situé à proximité de vos autres ressources et que est compatible avec Cloud EKM. Pour créer un trousseau de clés, consultez la section Créer une clé l'anneau.
  • Dans le système partenaire de gestion des clés externes, accordez au fournisseur Google Cloud l'accès à votre compte de service pour utiliser vos clés externes. Traiter le compte de service en tant qu'adresse e-mail. Les partenaires EKM peuvent utiliser une terminologie différente de celle utilisée dans ce document.
  • Pour créer une clé gérée en externe sur des clés VPC, vous devez créer une connexion EKM.

Rôles requis

Pour obtenir les autorisations dont vous avez besoin pour créer des clés, demandez à votre administrateur de vous accorder le rôle IAM Administrateur Cloud KMS (roles/cloudkms.admin) sur le projet ou une ressource parente. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient les autorisations requises pour créer des clés. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour créer des clés :

  • cloudkms.cryptoKeys.create
  • cloudkms.cryptoKeys.get
  • cloudkms.cryptoKeys.list
  • cloudkms.cryptoKeyVersions.create
  • cloudkms.cryptoKeyVersions.get
  • cloudkms.cryptoKeyVersions.list
  • cloudkms.keyRings.get
  • cloudkms.keyRings.list
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
  • Pour récupérer une clé publique: cloudkms.cryptoKeyVersions.viewPublicKey

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer une clé externe coordonnée

Console

  1. Dans la console Google Cloud, accédez à la page Gestion des clés.

    Accéder à Key Management

  2. Cliquez sur le nom du trousseau de clés pour lequel vous souhaitez créer une clé.

  3. Cliquez sur Créer une clé.

  4. Dans le champ Nom de la clé, saisissez le nom de votre clé.

  5. Pour le champ Niveau de protection, sélectionnez Externe.

  6. Pour Type de connexion du gestionnaire de clés externe (EKM), sélectionnez via VPC.

  7. Dans le champ EKM via une connexion VPC, sélectionnez une connexion.

    Si vous ne disposez pas de l'autorisation EkmConnection.list, vous devez saisir manuellement le nom de la ressource de connexion.

  8. Cliquez sur Continuer.

  9. Dans la section Key material (Matériel de la clé), un message concernant la nouvelle clé doit s'afficher. le matériel demandé par Cloud KMS et généré dans votre EKM. Si le champ Chemin d'accès à la clé est visible, l'EKM via une connexion VPC que vous sélectionnée n'est pas configurée pour les clés externes coordonnées.

  10. Configurez les autres paramètres de clé selon vos besoins, puis cliquez sur Créer.

Cloud EKM envoie une requête à votre EKM pour créer une clé. La clé affiche Génération en attente jusqu'à ce que le chemin d'accès de la clé soit renvoyé par votre EKM. et la clé Cloud EKM est disponible.

gcloud

Pour utiliser Cloud KMS sur la ligne de commande, commencez par installer ou mettre à jour la dernière version de Google Cloud CLI.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Remplacez les éléments suivants :

  • KEY_NAME : nom de la clé.
  • KEY_RING: nom du trousseau de clés contenant la clé.
  • LOCATION: emplacement Cloud KMS du trousseau de clés
  • PURPOSE : objectif de la clé.
  • ALGORITHM: algorithme à utiliser pour la clé, par exemple google-symmetric-encryption Pour obtenir la liste des algorithmes compatibles, consultez la section Algorithmes.
  • VPC_CONNECTION_RESOURCE_ID: ID de ressource de l'EKM .

Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help.

Étape suivante