Cloud External Key Manager

Cette rubrique présente Cloud External Key Manager (Cloud EKM). Pour créer et gérer des clés externes, consultez la page Gérer les clés Cloud EKM.

Présentation

Avec Cloud EKM, vous pouvez utiliser les clés que vous gérez dans un partenaire de gestion des clés externes compatible pour protéger les données dans Google Cloud. Vous pouvez protéger les données au repos dans les services d'intégration de CMEK compatibles ou en appelant directement l'API Cloud Key Management Service.

Cloud EKM présente plusieurs avantages :

  • Provenance des clés : Vous contrôlez l'emplacement et la distribution de vos clés gérées en externe. Les clés gérées en externe ne sont jamais mises en cache ni stockées dans Google Cloud. À la place, Cloud EKM communique directement avec le partenaire externe de gestion des clés pour chaque requête.

  • Contrôle des accès : Vous gérez l'accès à vos clés gérées en externe. Avant de pouvoir utiliser une clé gérée en externe pour chiffrer ou déchiffrer des données dans Google Cloud, vous devez autoriser le projet Google Cloud à utiliser la clé. Vous pouvez révoquer cet accès à tout moment.

  • Gestion centralisée des clés : Vous pouvez gérer vos clés et vos règles d'accès depuis un emplacement et une interface utilisateur uniques, que vos données soient stockées dans le cloud ou sur site.

Dans tous les cas, la clé réside sur le système externe et n'est jamais envoyée à Google.

Gestionnaires de clés compatibles

Vous pouvez stocker des clés externes dans les systèmes partenaires de gestion de clés externes suivants :

Services d'intégration de CMEK compatibles

Fonctionnement

Cette section propose une vue d'ensemble du fonctionnement de Cloud EKM avec une clé externe. Vous pouvez également suivre les instructions détaillées pour créer une clé Cloud EKM.

  1. Tout d'abord, vous créez ou utilisez une clé existante dans un système partenaire de gestion des clés externes compatible. Cette clé possède un URI unique.
  2. Ensuite, vous autorisez votre projet Google Cloud à utiliser la clé dans le système partenaire de gestion des clés externes.
  3. Dans votre projet Google Cloud, vous créez une clé Cloud EKM à l'aide de l'URI de la clé gérée en externe.

Dans Google Cloud, la clé apparaît à côté de vos autres clés Cloud KMS et Cloud HSM, avec le niveau de protection EXTERNAL. La clé Cloud EKM et la clé du partenaire de gestion des clés externes fonctionnent conjointement pour protéger vos données. La clé externe n'est jamais divulguée à Google.

Le schéma suivant montre comment Cloud KMS s'intègre dans le modèle de gestion des clés. (en utilisant Compute Engine et BigQuery comme exemples, la liste complète des services compatibles est disponible ici)

Schéma illustrant le chiffrement et le déchiffrement avec Cloud EKM

Lorsque vous utilisez Cloud EKM, vous pouvez en apprendre plus sur les considérations et les restrictions.

Étape suivante

Remarques

  • Lorsque vous utilisez une clé Cloud EKM, Google n'a aucun contrôle sur la disponibilité de votre clé gérée en externe dans le système partenaire de gestion des clés externes. Google ne peut pas récupérer vos données si vous perdez des clés que vous gérez en dehors de Google Cloud.

  • Consultez les consignes relatives aux partenaires et régions de gestion des clés externes lorsque vous choisissez les emplacements de vos clés Cloud EKM.

  • Examinez le contrat de niveau de service Cloud EKM.

  • La communication avec un service externe sur Internet peut entraîner des problèmes de fiabilité, de disponibilité et de latence. Pour les applications présentant une faible tolérance à ces types de risques, envisagez d'utiliser Cloud HSM ou Cloud KMS pour stocker votre matériel de clé.

    • Si une clé externe n'est pas disponible, Cloud KMS renvoie une erreur FAILED_PRECONDITION et fournit des précisions dans le détail de l'erreur PreconditionFailure.

      Activez la journalisation d'audit des données pour conserver un enregistrement de toutes les erreurs liées à Cloud EKM. Les messages d'erreur contiennent des informations détaillées permettant d'identifier la source de l'erreur. Par exemple, un partenaire de gestion des clés externes ne répondant pas à une demande dans un délai raisonnable est une erreur courante.

    • Vous avez besoin d'un contrat d'assistance avec le partenaire de gestion des clés externes. L'assistance Google Cloud ne peut fournir une assistance que pour les problèmes liés aux services Google Cloud et n'est pas en mesure de vous aider directement s'il s'agit de problèmes sur des systèmes externes. Vous devrez peut-être collaborer avec les deux parties pour résoudre les problèmes d'interopérabilité.

Restrictions

  • Seules les clés symétriques sont acceptées, et uniquement pour les éléments suivants :
  • Les données chiffrées par Cloud EKM à l'aide d'une clé gérée en externe ne peuvent pas être déchiffrées sans Cloud EKM.
  • La rotation automatique n'est pas compatible.
  • Lorsque vous créez une clé Cloud EKM à l'aide de l'API ou de l'outil de ligne de commande gcloud, elle ne doit pas posséder de version de clé initiale. Cela ne s'applique pas aux clés Cloud EKM créées à l'aide de Cloud Console.
  • Les opérations Cloud EKM sont soumises à des quotas spécifiques en plus des quotas sur les opérations Cloud KMS.

Gestionnaires de clés externes et régions

Cloud EKM doit pouvoir accéder à vos clés rapidement pour éviter une erreur. Lors de la création d'une clé Cloud EKM, choisissez un emplacement Google Cloud géographiquement proche de l'emplacement de la clé du partenaire de gestion des clés externes. Reportez-vous à la documentation du partenaire pour plus de détails sur la disponibilité de ses emplacements.

Vous pouvez utiliser Cloud EKM dans n'importe quel emplacement Google Cloud compatible avec Cloud KMS, à l'exception de global.

Consultez la documentation de votre partenaire de gestion des clés externes pour déterminer les zones prises en charge.

Utilisation multirégion

Lorsque vous utilisez une clé gérée en externe avec un emplacement multirégional, les métadonnées de la clé, y compris les informations nécessaires pour communiquer avec le partenaire de gestion des clés externes, sont disponibles dans plusieurs centres de données de l'emplacement multirégional. Si votre application bascule d'un centre de données à un autre dans l'emplacement multirégional, le nouveau centre de données lance des requêtes de clé. Le nouveau centre de données peut présenter des caractéristiques réseau différentes du précédent, y compris la distance par rapport au partenaire de gestion des clés externes et la probabilité d'expiration des délais. Nous vous recommandons de n'utiliser les emplacements multirégionaux avec Cloud EKM que si le partenaire de gestion des clés externes fournit un niveau de couverture correspondant aux multirégions Cloud EKM disponibles.

Ajouts d'API pour Cloud EKM

Pour prendre en charge Cloud EKM, les modifications suivantes ont été apportées à l'API Cloud Key Management Service :