Cloud External Key Manager

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Cette rubrique présente Cloud External Key Manager (Cloud EKM).

Terminologie

  • Gestionnaire de clés externe (EKM)

    Gestionnaire de clés utilisé en dehors de Google Cloud pour gérer vos clés.

  • Cloud External Key Manager (Cloud EKM)

    Un service Google Cloud pour utiliser vos clés externes qui sont gérées dans un EKM compatible.

  • Cloud EKM via Internet

    Version de Cloud EKM dans laquelle Google Cloud communique avec votre gestionnaire de clés externe sur Internet

  • Cloud EKM via un VPC

    Version de Cloud EKM où Google Cloud communique avec votre gestionnaire de clés externe via un cloud privé virtuel (VPC). Pour en savoir plus, consultez la page Présentation du réseau VPC.

Présentation

Avec Cloud EKM, vous pouvez utiliser les clés que vous gérez dans un partenaire de gestion des clés externes compatible pour protéger les données dans Google Cloud. Vous pouvez protéger les données au repos dans les services d'intégration CMEK compatibles ou en appelant directement l'API Cloud Key Management Service.

Cloud EKM présente plusieurs avantages :

  • Provenance des clés:vous contrôlez l'emplacement et la distribution de vos clés gérées en externe. Les clés gérées en externe ne sont jamais mises en cache ni stockées dans Google Cloud. À la place, Cloud EKM communique directement avec le partenaire externe de gestion des clés pour chaque requête.

  • Contrôle des accès : vous gérez l'accès à vos clés gérées en externe. Avant de pouvoir utiliser une clé gérée en externe dans Google Cloud, vous devez autoriser le projet Google Cloud à utiliser la clé. Vous pouvez révoquer cet accès à tout moment.

  • Gestion centralisée des clés:vous pouvez gérer vos clés et vos règles d'accès depuis une interface utilisateur unique, que les données qu'elles protègent se trouvent dans le cloud ou sur site.

Dans tous les cas, la clé réside sur le système externe et n'est jamais envoyée à Google.

Vous pouvez communiquer avec votre gestionnaire de clés externe via Internet ou via un cloud privé virtuel (VPC).

Gestionnaires de clés compatibles

Vous pouvez stocker des clés externes dans les systèmes partenaires de gestion de clés externes suivants :

Services compatibles avec CMEK avec Cloud EKM

Les services suivants sont compatibles avec Cloud KMS pour les clés externes (Cloud EKM) :

Fonctionnement

Cette section propose une vue d'ensemble du fonctionnement de Cloud EKM avec une clé externe. Vous pouvez également suivre les instructions détaillées pour créer une clé Cloud EKM accessible via Internet ou via un VPC.

  1. Tout d'abord, vous créez ou utilisez une clé existante dans un système partenaire de gestion des clés externes compatible. Cette clé possède un URI ou un chemin de clé unique.
  2. Ensuite, vous autorisez votre projet Google Cloud à utiliser la clé dans le système partenaire de gestion des clés externes.
  3. Dans votre projet Google Cloud, vous créez une clé Cloud EKM à l'aide de l'URI ou du chemin d'accès de la clé gérée en externe.

Dans Google Cloud, la clé apparaît avec vos autres clés Cloud KMS et Cloud HSM, avec le niveau de protection EXTERNAL ou EXTERNAL_VPC. La clé Cloud EKM et la clé du partenaire de gestion des clés externes fonctionnent conjointement pour protéger vos données. La clé externe n'est jamais divulguée à Google.

Le schéma suivant montre comment Cloud KMS s'intègre au modèle de gestion des clés. Ce schéma utilise Compute Engine et BigQuery comme deux exemples. Vous pouvez également consulter la liste complète des services compatibles avec les clés Cloud EKM.

Schéma illustrant le chiffrement et le déchiffrement avec Cloud EKM

Lorsque vous utilisez Cloud EKM, vous pouvez en apprendre plus sur les considérations et les restrictions.

Points à prendre en compte

  • Lorsque vous utilisez une clé Cloud EKM, Google n'a aucun contrôle sur la disponibilité de votre clé gérée en externe dans le système externe de partenaire de gestion des clés. Si vous perdez des clés gérées en dehors de Google Cloud, Google ne pourra pas récupérer vos données.

  • Consultez les consignes relatives aux partenaires et régions de gestion des clés externes lorsque vous choisissez les emplacements de vos clés Cloud EKM.

  • Examinez le contrat de niveau de service Cloud EKM.

  • La communication avec un service externe sur Internet peut entraîner des problèmes de fiabilité, de disponibilité et de latence. Pour les applications présentant une faible tolérance à ces types de risques, envisagez d'utiliser Cloud HSM ou Cloud KMS pour stocker votre matériel de clé.

    • Si une clé externe n'est pas disponible, Cloud KMS renvoie une erreur FAILED_PRECONDITION et fournit des précisions dans le détail de l'erreur PreconditionFailure.

      Activez la journalisation d'audit des données pour conserver un enregistrement de toutes les erreurs liées à Cloud EKM. Les messages d'erreur contiennent des informations détaillées permettant de localiser la source de l'erreur. C'est le cas, par exemple, lorsqu'un partenaire externe de gestion des clés ne répond pas à une requête dans un délai raisonnable.

    • Vous avez besoin d'un contrat d'assistance avec le partenaire de gestion des clés externes. Google Cloud

      L'assistance ne peut être utile que pour les problèmes liés aux services Google Cloud et non directement sur les systèmes externes. Parfois, vous devez collaborer avec l'assistance des deux côtés pour résoudre les problèmes d'interopérabilité.

  • Cloud EKM peut être utilisé avec HSM hébergé pour créer une solution HSM à locataire unique intégrée à Cloud KMS. Pour en savoir plus, choisissez un partenaire Cloud EKM compatible avec les HSM à locataire unique et consultez les exigences relatives aux HSM privés hébergés.

Restrictions

  • La rotation automatique n'est pas compatible.
  • Lorsque vous créez une clé Cloud EKM à l'aide de l'API ou de Google Cloud CLI, elle ne doit pas posséder de version initiale. Cela ne s'applique pas aux clés Cloud EKM créées à l'aide de la console Google Cloud.
  • Les opérations Cloud EKM sont soumises à des quotas spécifiques en plus des quotas sur les opérations Cloud KMS.

Clés de chiffrement symétriques

Clés de signature asymétriques

Gestionnaires de clés externes et régions

Cloud EKM doit pouvoir accéder à vos clés rapidement pour éviter une erreur. Lors de la création d'une clé Cloud EKM, choisissez un emplacement Google Cloud géographiquement proche de l'emplacement de la clé du partenaire de gestion des clés externes. Reportez-vous à la documentation du partenaire pour plus de détails sur la disponibilité de ses emplacements.

  • Cloud EKM via Internet: disponible dans tous les emplacements Google Cloud compatibles avec Cloud KMS, à l'exception de global
  • Cloud EKM via un VPC: disponible uniquement dans les emplacements régionaux compatibles avec Cloud KMS

Consultez la documentation de votre partenaire de gestion des clés externes pour déterminer les zones prises en charge.

Utilisation multirégion

Lorsque vous utilisez une clé gérée en externe avec un emplacement multirégional, les métadonnées de la clé sont disponibles dans plusieurs centres de données de l'emplacement multirégional. Ces métadonnées incluent les informations nécessaires pour communiquer avec le partenaire externe de gestion des clés. Si votre application bascule d'un centre de données à un autre au sein de l'emplacement multirégional, le nouveau centre de données lance des requêtes clés. Le nouveau centre de données peut présenter des caractéristiques de réseau différentes de celles du centre de données précédent, y compris la distance par rapport au partenaire de gestion des clés externe et la probabilité d'expiration des délais. Nous vous recommandons de n'utiliser un emplacement multirégional avec Cloud EKM que si le gestionnaire de clés externe que vous avez choisi offre une latence faible dans toutes les zones de cet emplacement multirégional.

Surveiller l'utilisation de Cloud EKM

Vous pouvez surveiller votre connexion EKM à l'aide de Cloud Monitoring. Les métriques suivantes peuvent vous aider à comprendre votre utilisation d'EKM:

  • cloudkms.googleapis.com/ekm/external/request_latencies
  • cloudkms.googleapis.com/ekm/external/request_count

Pour en savoir plus sur ces métriques, consultez la section Métriques cloudkms. Vous pouvez créer un tableau de bord pour suivre ces métriques. Pour savoir comment configurer un tableau de bord afin de surveiller votre connexion EKM, consultez Surveiller l'utilisation d'EKM.

Étapes suivantes

Assistance

Si vous rencontrez un problème avec Cloud EKM, contactez le service d'assistance.