Cette page présente Cloud External Key Manager (Cloud EKM).
Terminologie
Gestionnaire de clés externe (EKM)
Gestionnaire de clés utilisé en dehors de Google Cloud pour gérer vos clés.
Cloud External Key Manager (Cloud EKM)
Un service Google Cloud pour utiliser vos clés externes qui sont gérées dans un EKM compatible.
Cloud EKM via Internet
Une version de Cloud EKM avec laquelle Google Cloud communique votre gestionnaire de clés externe via Internet.
Cloud EKM via un VPC
Une version de Cloud EKM avec laquelle Google Cloud communique votre gestionnaire de clés externe sur un cloud privé virtuel (VPC). Pour plus plus d'informations, consultez la page Présentation du réseau VPC.
Gestion des clés EKM à partir de Cloud KMS
Lorsque vous utilisez Cloud EKM via un VPC avec une un partenaire de gestion de clés externes compatible avec Cloud EKM plan de contrôle, vous pouvez utiliser l'EKM Cloud KMS pour simplifier la gestion des clés externes dans votre un partenaire de gestion de clés externes et dans Cloud EKM. Pour en savoir plus, consultez Clés externes coordonnées et la gestion des clés EKM Cloud KMS sur cette page.
Espace de chiffrement
un conteneur pour vos ressources au sein de votre partenaire externe de gestion des clés. Votre espace de cryptomonnaie est identifié par un chemin d’espace cryptographique unique. Format de l’espace cryptographique varie selon le partenaire de gestion des clés externes (par exemple,
v0/cryptospaces/YOUR_UNIQUE_PATH
EKM géré par les partenaires
Accord selon lequel votre EKM est géré pour vous par un partenaire de confiance. Pour en savoir plus, consultez la section EKM géré par un partenaire .
Key Access Justifications
Lorsque vous utilisez Cloud EKM avec Key Access Justifications, chaque demande envoyée à votre un partenaire externe de gestion des clés inclut un champ qui identifie le motif de chaque demande. Vous pouvez configurer votre partenaire externe de gestion des clés pour autoriser ou refuser les requêtes en fonction des Code Key Access Justifications fourni. Pour en savoir plus sur Key Access Justifications, consultez la page Key Access Justifications présentation.
Présentation
Avec Cloud EKM, vous pouvez utiliser des clés que vous gérez dans un partenaire de gestion de clés externes compatible pour protéger les données dans Google Cloud. Vous pouvez protéger les données au repos grâce à l'intégration CMEK compatible services, soit en appelant directement l'API Cloud Key Management Service.
Cloud EKM présente plusieurs avantages :
Provenance des clés:vous contrôlez l'emplacement et la distribution des clés gérées en externe. Les clés gérées en externe ne sont jamais mises en cache ni stockées au sein de Google Cloud. À la place, Cloud EKM communique directement avec le partenaire externe de gestion des clés pour chaque requête.
Contrôle des accès:vous gérez l'accès à vos clés gérées en externe dans votre gestionnaire de clés externe. Vous ne pouvez pas utiliser de clé gérée en externe Google Cloud sans accorder au préalable le projet Google Cloud l'accès à la clé dans votre gestionnaire de clés externe. Cet accès peut être révoqué à tout moment.
Gestion centralisée des clés:vous pouvez gérer vos clés et vos règles d'accès. à partir d'une interface utilisateur unique, que les données qu'elles protègent se trouvent dans le cloud ou sur site.
Dans tous les cas, la clé réside sur le système externe et n'est jamais envoyée à Google.
Vous pouvez communiquer avec votre gestionnaire de clés externe via Internet ou via un cloud privé virtuel (VPC).
Fonctionnement de Cloud EKM
Les versions de clé Cloud EKM se composent des éléments suivants:
- Matériel de clé externe: matériel de clé externe d'un Cloud EKM est un matériel de chiffrement créé et stocké dans votre EKM. Ce matériel ne quitte pas votre EKM et n'est jamais partagé avec Google.
- Référence de clé: chaque version de clé Cloud EKM contient une clé ou un chemin d'accès à la clé. Identifiant unique du matériel de clé externe utilisé par Cloud EKM pour demander des opérations cryptographiques via la clé.
- Matériau de clé interne: lorsqu'une clé Cloud EKM symétrique est Cloud KMS crée du matériel de clé supplémentaire Cloud KMS, qui ne quitte jamais Cloud KMS. Ce matériel de clé est utilisé comme couche de chiffrement supplémentaire lors de la communication avec votre EKM. Ce matériel de clé interne ne s'applique pas aux clés de signature asymétriques.
Pour utiliser vos clés Cloud EKM, Cloud EKM envoie des requêtes pour des opérations cryptographiques à votre EKM. Par exemple, pour chiffrer des données avec un Cloud EKM chiffre d'abord les données à l'aide du matériel de clé interne. Les données chiffrées sont incluses dans une requête adressée à l'EKM. L'EKM encapsule les données chiffrées dans une autre couche de chiffrement à l'aide du matériel de clé externe, puis renvoie le texte chiffré résultant. Les données chiffrées à l'aide d'une clé Cloud EKM ne peuvent pas être déchiffrées sans le matériel de clé externe et le matériel de clé interne.
Si votre organisation a activé Key Access Justifications, votre partenaire externe de gestion des clés enregistre la justification de l'accès fournie et ne traite que la demande pour les codes de motif de justification autorisés par votre Règle Key Access Justifications sur le partenaire externe de gestion des clés.
La création et la gestion de clés Cloud EKM nécessitent des modifications correspondantes dans à la fois pour Cloud KMS et l'EKM. Ces modifications correspondantes sont gérées différemment pour les clés externes gérées manuellement et les clés externes coordonnées. Toutes les clés externes auxquelles vous accédez via Internet sont gérées manuellement. Clés externes accessibles via un réseau VPC peuvent être gérés ou coordonnés manuellement, en fonction le mode de gestion EKM de l'EKM via une connexion VPC. L'EKM manuel est utilisé pour les clés gérées manuellement. La Le mode de gestion EKM de Cloud KMS est utilisé pour les clés externes coordonnées. Pour en savoir plus, sur les modes de gestion EKM, consultez la page Gérer les EKM manuellement clés et clés externes coordonnées sur cette page.
Le schéma suivant montre comment Cloud KMS s'intègre dans la gestion des clés du modèle. Ce schéma utilise Compute Engine et BigQuery comme exemples. vous pouvez également consulter la liste complète des services compatibles avec Cloud EKM clés.
Lorsque vous utilisez Cloud EKM, vous pouvez en apprendre plus sur les considérations et les restrictions.
Clés externes gérées manuellement
Cette section offre un aperçu général du fonctionnement de Cloud EKM avec un une clé externe gérée manuellement.
- Vous créez une clé ou utilisez une clé existante chez un partenaire de gestion de clés externe compatible du système d'exploitation. Cette clé possède un URI ou chemin d'accès unique.
- Vous autorisez votre projet Google Cloud à utiliser la clé dans le système partenaire de gestion des clés externes.
- Dans votre projet Google Cloud, vous créez une clé Cloud EKM. à l'aide de l'URI ou du chemin d'accès de la clé gérée en externe.
- Les opérations de maintenance, comme la rotation des clés, doivent être gérées manuellement entre votre EKM et Cloud EKM. Par exemple, la rotation des versions de clé les opérations de destruction de la version de clé doivent être effectuées directement votre EKM et dans Cloud KMS.
Dans Google Cloud, la clé apparaît aux côtés de vos autres
Clés Cloud KMS et Cloud HSM, avec niveau de protection
EXTERNAL
ou EXTERNAL_VPC
. La clé Cloud EKM et la clé du partenaire de gestion des clés externes fonctionnent conjointement pour protéger vos données. La clé externe
aucun contenu n'est exposé à Google.
Clés externes coordonnées
Cette section présente le fonctionnement de Cloud EKM avec un clé externe coordonnée.
Vous configurez un EKM via un VPC connexion, définissez le mode de gestion EKM sur Cloud KMS. Lors de la configuration, vous doit autoriser votre EKM à accéder à votre réseau VPC et à autoriser vos compte de service de votre projet Google Cloud pour accéder à votre espace de chiffrement dans votre EKM. Votre connexion EKM utilise le nom d'hôte de votre EKM et un cryptogramme d'espace de noms qui identifie vos ressources dans votre EKM.
Vous créez une clé externe dans Cloud KMS. Lorsque vous créez une clé Cloud EKM à l'aide d'un EKM via une connexion VPC avec le mode de gestion EKM Cloud KMS activé, les étapes suivantes sont effectuées automatiquement :
- Cloud EKM envoie une requête de création de clé à votre EKM.
- Votre EKM crée le matériel de clé demandé. Ce matériel de clé externe reste dans l'EKM et n'est jamais envoyé à Google.
- Votre EKM renvoie un chemin d'accès de clé à Cloud EKM.
- Cloud EKM crée votre version de clé Cloud EKM à l'aide du chemin d'accès de clé fourni par votre EKM.
Les opérations de maintenance sur des clés externes coordonnées peuvent être lancées Cloud KMS. Par exemple, les clés externes coordonnées utilisées pour le chiffrement symétrique peut être automatiquement tourné selon un calendrier défini. La la création de nouvelles versions de clé est coordonnée dans votre EKM Cloud EKM. Vous pouvez également déclencher la création ou la destruction versions de clé dans votre EKM depuis Cloud KMS à l'aide du la console Google Cloud, la gcloud CLI, l'API Cloud KMS ou bibliothèques clientes Cloud KMS.
Dans Google Cloud, la clé apparaît à côté de vos autres clés Cloud KMS et Cloud HSM, avec le niveau de protection EXTERNAL_VPC
. La clé Cloud EKM et la clé partenaire de gestion des clés externes fonctionnent
pour protéger vos données. Le matériel de clé externe n'est jamais exposé
Google
la gestion des clés EKM depuis Cloud KMS
Les clés externes coordonnées sont possibles grâce à EKM via des connexions VPC qui utilisent la gestion des clés EKM depuis Cloud KMS. Si votre EKM est compatible avec Cloud EKM vous pouvez activer la gestion des clés EKM depuis Cloud KMS pour votre EKM via des connexions VPC pour créer des clés externes coordonnées Lorsque la gestion des clés EKM de Cloud KMS est activée, Cloud EKM peut demander les modifications suivantes dans votre EKM :
Créer une clé : lorsque vous créez une clé gérée en externe dans Cloud KMS à l'aide d'un EKM compatible via une connexion VPC, Cloud EKM envoie votre demande de création de clé à votre EKM. Quand ? réussi, votre EKM crée la clé et le matériel de clé, puis renvoie le chemin d'accès que Cloud EKM doit utiliser pour accéder à la clé.
Effectuer une rotation de clé : lorsque vous effectuez une rotation d'une clé gérée en externe dans Cloud KMS à l'aide d'un EKM compatible via une connexion VPC, Cloud EKM envoie votre demande de rotation à votre EKM. En cas de succès, votre EKM crée un nouveau matériel de clé et renvoie le chemin d'accès de la clé pour Cloud EKM à utiliser pour accéder à la nouvelle version de clé.
Détruire une clé: lorsque vous détruisez une version pour une clé gérée en externe dans Cloud KMS via un EKM compatible via une connexion VPC, Cloud KMS programme la destruction de la version de clé dans Cloud KMS. Si la version de clé n'est pas restaurée avant la fin de la période de destruction programmée, Cloud EKM détruit sa partie du matériel cryptographique de la clé et envoie une requête de destruction à votre EKM.
Les données chiffrées avec cette version de clé ne peuvent plus être déchiffrées après la clé est détruite dans Cloud KMS, même si l'EKM n'a pas encore a détruit la version de clé. Vous pouvez vérifier si l'EKM a bien été détruit la version de clé en consultant ses détails dans Cloud KMS.
Lorsque les clés de votre EKM sont gérées à partir de Cloud KMS, le matériel de clé reste dans votre EKM. Google ne peut pas demander de gestion de clés à votre EKM sans autorisation explicite. Google ne peut pas modifier les autorisations Règles Key Access Justifications dans votre système partenaire externe de gestion des clés. Si vous révoquez autorisations de Google dans votre EKM, les opérations de gestion de clés tentées dans Échec de Cloud KMS.
Compatibilité
Gestionnaires de clés compatibles
Vous pouvez stocker des clés externes dans les systèmes partenaires de gestion de clés externes suivants :
Services compatibles avec les CMEK avec Cloud EKM
Les services suivants sont compatibles avec l'intégration de Cloud KMS pour les clés externes (Cloud EKM) :
- Agent Assist
- AlloyDB pour PostgreSQL
- Artifact Registry
- Sauvegarde pour GKE
- BigQuery
- Bigtable
- Cloud Composer
- Cloud Data Fusion
- API Cloud Healthcare
- Cloud Logging: Données du routeur de journaux et Données dans le stockage Logging
- Cloud Run
- Fonctions Cloud Run
- Cloud SQL
- Cloud Storage
- Cloud Tasks
- Cloud Workstations
- Compute Engine: Disques persistants , Instantanés , Images personnalisées , et Images système
- Contact Center AI Insights
- Database Migration Service: Migrations MySQL : données écrites dans des bases de données , Migrations PostgreSQL : données écrites dans des bases de données , Migrations de PostgreSQL vers AlloyDB : données écrites dans des bases de données , et Données au repos Oracle vers PostgreSQL
- Dataflow
- Dataform
- Dataproc : données de clusters Dataproc sur les disques de VM et données Dataproc sans serveur sur les disques de VM
- Dataproc Metastore
- Dialogflow CX
- Document AI
- Eventarc
- Filestore
- Firestore (bêta)
- Cloud distribué de Google
- Google Kubernetes Engine: Données sur les disques de VM et Secrets au niveau de la couche d'application
- Looker (Google Cloud Core)
- Memorystore pour Redis
- Migrate to Virtual Machines
- Pub/Sub
- Secret Manager
- Gestionnaire de sources sécurisées
- Spanner
- ID de l'intervenant (DG restreint)
- Speech-to-Text
- Vertex AI
- Instances Vertex AI Workbench
- Workflows
Remarques
Lorsque vous utilisez une clé Cloud EKM, Google n'a aucun contrôle sur la disponibilité de votre clé gérée en externe dans le système partenaire de gestion des clés externes. Si vous perdez des clés que vous gérez en dehors de Google Cloud, Google ne pourra pas récupérer vos données.
Consultez les consignes relatives aux partenaires et régions de gestion des clés externes lorsque vous choisissez les emplacements de vos clés Cloud EKM.
Examinez le contrat de niveau de service Cloud EKM.
Communiquer avec un service externe sur Internet peut entraîner les problèmes de fiabilité, de disponibilité et de latence. Pour les applications avec faible tolérance à ces types de risques, envisagez d'utiliser Cloud HSM ou Cloud KMS pour stocker le matériel de clé.
Si une clé externe n'est pas disponible, Cloud KMS renvoie une erreur
FAILED_PRECONDITION
et fournit des précisions dans le détail de l'erreurPreconditionFailure
.Activez les journaux d'audit des données pour conserver un enregistrement de toutes liées à Cloud EKM. Les messages d'erreur contiennent pour identifier la source de l'erreur. Un exemple de Une erreur courante se produit lorsqu'un partenaire externe de gestion des clés ne répond pas à une demande dans un délai raisonnable.
Vous avez besoin d'un contrat d'assistance avec le partenaire de gestion des clés externes. L'assistance Google Cloud ne peut vous aider que pour les problèmes services Google Cloud et ne pouvons pas vous aider directement à résoudre les problèmes systèmes externes. Parfois, vous devez travailler avec un support des deux côtés pour pour résoudre les problèmes d'interopérabilité.
Cloud EKM peut être utilisé avec Bare Metal Rack HSM pour créer un cluster à locataire unique Solution HSM intégrée à Cloud KMS Pour en savoir plus, choisissez une partenaire Cloud EKM prenant en charge les HSM à locataire unique et examinez les exigences relatives aux HSM de racks Bare Metal.
Activez la journalisation d'audit dans votre gestionnaire de clés externe pour enregistrer l'accès et l'utilisation de vos clés EKM.
Restrictions
- La rotation automatique n'est pas compatible.
- Lorsque vous créez une clé Cloud EKM à l'aide de l'API ou de la CLI Google Cloud, elle ne doit pas posséder de version de clé initiale. Cela ne concerne pas aux clés Cloud EKM créées à l'aide de la console Google Cloud.
- Les opérations Cloud EKM sont soumises à des exigences spécifiques les quotas en plus des quotas sur les opérations Cloud KMS.
Clés de chiffrement symétriques
- Les clés de chiffrement symétriques ne sont compatibles qu'avec les éléments suivants:
- Les clés de chiffrement gérées par le client (CMEK) dans les services d'intégration compatibles.
- Chiffrement et déchiffrement symétriques à l'aide de Cloud KMS directement.
- Données chiffrées par Cloud EKM à l'aide d'une clé gérée en externe ne peuvent pas être déchiffrées sans Cloud EKM.
Clés de signature asymétriques
- Les clés de signature asymétriques sont limitées à un sous-ensemble de Cloud KMS algorithmes.
- Les clés de signature asymétriques ne sont acceptées que pour les cas d'utilisation suivants :
- Une fois qu'un algorithme de signature asymétrique est défini sur une clé Cloud EKM, ne peut pas être modifié.
- La signature doit être effectuée dans le champ
data
.
Gestionnaires de clés externes et régions
Cloud EKM doit pouvoir accéder à vos clés rapidement pour éviter une erreur. Lors de la création d'une clé Cloud EKM, choisissez un emplacement Google Cloud géographiquement proche de l'emplacement de la clé du partenaire de gestion des clés externes. Reportez-vous à la documentation du partenaire pour plus de détails sur la disponibilité de ses emplacements.
- Cloud EKM via Internet: disponible dans tous les services Google Cloud
locations disponibles pour Cloud KMS,
à l'exception de
global
etnam-eur-asia1
. - Cloud EKM via un VPC: uniquement disponible dans emplacements régionaux pris en charge pour Cloud KMS
Consultez la documentation de votre partenaire de gestion des clés externes pour déterminer les zones prises en charge.
Utilisation multirégion
Lorsque vous utilisez une clé gérée en externe avec un emplacement multirégional, les métadonnées du est disponible dans plusieurs centres de données de l'emplacement multirégional. Ces métadonnées inclut les informations nécessaires pour communiquer avec le partenaire externe de gestion des clés. Si votre l'application bascule d'un centre de données à un autre dans l'emplacement multirégional, le nouveau centre de données émet des requêtes clés. Il se peut que le nouveau centre de données les différentes caractéristiques réseau du centre de données précédent, la distance qui les sépare du partenaire de gestion de clés externes et la probabilité d'expiration des délais. Nous vous recommandons Vous ne pouvez utiliser un emplacement multirégional avec Cloud EKM que si la clé externe que vous avez choisie fournit une faible latence dans toutes les zones de cet emplacement multirégional.
EKM géré par un partenaire
Un EKM géré par un partenaire vous permet d'utiliser Cloud EKM par le biais d'un qui gère votre système EKM pour vous. Avec l'EKM géré par un partenaire, votre partenaire crée et gère les clés que vous utilisez dans Cloud EKM. Le partenaire s'assure que votre EKM respecte les de souveraineté des données.
Lorsque vous intégrez votre partenaire souverain, celui-ci provisionne les ressources dans Google Cloud et à votre EKM. Ces ressources incluent un projet Cloud KMS afin de gérer vos clés Cloud EKM et un EKM via Connexion VPC configurée pour la gestion des clés EKM depuis Cloud KMS. Votre partenaire crée des ressources dans les emplacements Google Cloud, conformément à vos exigences de résidence des données.
Chaque clé Cloud EKM inclut Les métadonnées Cloud KMS, qui permettent à Cloud EKM d'envoyer des requêtes à votre EKM pour effectuer des opérations de chiffrement à l'aide du matériel de clé externe ne quitte jamais votre EKM. Les clés EKM Cloud symétriques incluent également Matériel de clé interne Cloud KMS qui ne quitte jamais Google Cloud. Pour en savoir plus sur les côtés interne et externe de Cloud EKM, consultez la section Fonctionnement de Cloud EKM sur cette page.
Pour en savoir plus sur les EKM gérés par des partenaires, consultez l'article Configurer Cloud KMS
Surveiller l'utilisation de Cloud EKM
Vous pouvez utiliser Cloud Monitoring pour surveiller votre connexion EKM. Les métriques suivantes peuvent vous aider à comprendre votre utilisation de l'EKM :
cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count
Pour en savoir plus sur ces métriques, consultez la section Métriques cloudkms. Vous pouvez créer un pour suivre ces métriques. Pour apprendre à configurer un tableau de bord afin de surveiller votre connexion EKM, consultez Surveiller l'utilisation des EKM.
Assistance
Si vous rencontrez un problème avec Cloud EKM, contactez le service d'assistance.
Étape suivante
Créez une connexion EKM pour utiliser EKM via dans un VPC partagé.
Commencez à utiliser l'API.
Consultez la documentation de référence sur l'API Cloud KMS.
Apprenez-en plus sur la journalisation dans Cloud KMS. La journalisation repose sur les opérations, et s'applique aux clés dotées à la fois de HSM et de la protection logicielle et des niveaux de service.
Consultez la section Architectures de référence pour un déploiement fiable de Cloud EKM services pour obtenir des recommandations sur la configuration d'une clé externe Déploiement du service EKM intégré à Cloud EKM.