Cloud External Key Manager

Cette rubrique présente Cloud External Key Manager (Cloud EKM).

Terminologie

  • Gestionnaire de clés externe (EKM)

    Gestionnaire de clés utilisé en dehors de Google Cloud pour gérer vos clés.

  • Cloud External Key Manager (Cloud EKM)

    Un service Google Cloud pour utiliser vos clés externes qui sont gérées dans un EKM compatible.

  • Cloud EKM via Internet

    Version de Cloud EKM permettant à Google Cloud de communiquer avec votre gestionnaire de clés externe via Internet.

  • Cloud EKM via un VPC

    Version de Cloud EKM où Google Cloud communique avec votre gestionnaire de clés externe via un cloud privé virtuel (VPC). Pour en savoir plus, consultez la page Présentation du réseau VPC.

Présentation

Avec Cloud EKM, vous pouvez utiliser les clés que vous gérez dans un partenaire de gestion des clés externes compatible pour protéger les données dans Google Cloud. Vous pouvez protéger les données au repos dans les services d'intégration CMEK compatibles ou en appelant directement l'API Cloud Key Management Service.

Cloud EKM présente plusieurs avantages :

  • Provenance des clés : Vous contrôlez l'emplacement et la distribution de vos clés gérées en externe. Les clés gérées en externe ne sont jamais mises en cache ni stockées dans Google Cloud. À la place, Cloud EKM communique directement avec le partenaire externe de gestion des clés pour chaque requête.

  • Contrôle des accès : Vous gérez l'accès à vos clés gérées en externe. Avant de pouvoir utiliser une clé gérée en externe pour chiffrer ou déchiffrer des données dans Google Cloud, vous devez autoriser le projet Google Cloud à utiliser la clé. Vous pouvez révoquer cet accès à tout moment.

  • Gestion centralisée des clés : Vous pouvez gérer vos clés et vos règles d'accès depuis un emplacement et une interface utilisateur uniques, que vos données soient stockées dans le cloud ou sur site.

Dans tous les cas, la clé réside sur le système externe et n'est jamais envoyée à Google.

Vous pouvez communiquer avec votre gestionnaire de clés externe via Internet ou via un cloud privé virtuel (VPC).

Gestionnaires de clés compatibles

Vous pouvez stocker des clés externes dans les systèmes partenaires de gestion de clés externes suivants :

Services d'intégration de CMEK compatibles

Fonctionnement

Cette section propose une vue d'ensemble du fonctionnement de Cloud EKM avec une clé externe. Vous pouvez également suivre des instructions détaillées pour créer une clé Cloud EKM accessible via Internet ou créer une clé Cloud EKM accessible via un VPC.

  1. Tout d'abord, vous créez ou utilisez une clé existante dans un système partenaire de gestion des clés externes compatible. Cette clé possède un URI ou un chemin de clé unique.
  2. Ensuite, vous autorisez votre projet Google Cloud à utiliser la clé dans le système partenaire de gestion des clés externes.
  3. Dans votre projet Google Cloud, vous créez une clé Cloud EKM à l'aide de l'URI ou du chemin d'accès de la clé gérée en externe.

Dans Google Cloud, la clé apparaît à côté de vos autres clés Cloud KMS et Cloud HSM, avec le niveau de protection EXTERNAL ou EXTERNAL_VPC. La clé Cloud EKM et la clé du partenaire de gestion des clés externes fonctionnent conjointement pour protéger vos données. La clé externe n'est jamais divulguée à Google.

Le schéma suivant montre comment Cloud KMS s'intègre au modèle de gestion des clés (en utilisant Compute Engine et BigQuery comme deux exemples : la liste complète des services compatibles est disponible ici).

Schéma illustrant le chiffrement et le déchiffrement avec Cloud EKM

Lorsque vous utilisez Cloud EKM, vous pouvez en apprendre plus sur les considérations et les restrictions.

Points à considérer

  • Lorsque vous utilisez une clé Cloud EKM, Google n'a aucun contrôle sur la disponibilité de votre clé gérée en externe dans le système partenaire de gestion des clés externes. Google ne peut pas récupérer vos données si vous perdez des clés que vous gérez en dehors de Google Cloud.

  • Consultez les consignes relatives aux partenaires et régions de gestion des clés externes lorsque vous choisissez les emplacements de vos clés Cloud EKM.

  • Examinez le contrat de niveau de service Cloud EKM.

  • La communication avec un service externe sur Internet peut entraîner des problèmes de fiabilité, de disponibilité et de latence. Pour les applications présentant une faible tolérance à ces types de risques, envisagez d'utiliser Cloud HSM ou Cloud KMS pour stocker votre matériel de clé.

    • Si une clé externe n'est pas disponible, Cloud KMS renvoie une erreur FAILED_PRECONDITION et fournit des précisions dans le détail de l'erreur PreconditionFailure.

      Activez la journalisation d'audit des données pour conserver un enregistrement de toutes les erreurs liées à Cloud EKM. Les messages d'erreur contiennent des informations détaillées permettant d'identifier la source de l'erreur. Par exemple, un partenaire de gestion des clés externes ne répondant pas à une demande dans un délai raisonnable est une erreur courante.

    • Vous avez besoin d'un contrat d'assistance avec le partenaire de gestion des clés externes. L'assistance Google Cloud ne peut fournir une assistance que pour les problèmes liés aux services Google Cloud et n'est pas en mesure de vous aider directement s'il s'agit de problèmes sur des systèmes externes. Vous devrez peut-être collaborer avec les deux parties pour résoudre les problèmes d'interopérabilité.

  • Cloud EKM peut être utilisé avec un HSM privé hébergé pour créer une solution HSM à locataire unique intégrée à Cloud KMS. Choisissez un partenaire Cloud EKM compatible avec les HSM à locataire unique et consultez les conditions requises sur la page HSM privé hébergé pour en savoir plus.

Restrictions

  • La rotation automatique n'est pas compatible.
  • Lorsque vous créez une clé Cloud EKM à l'aide de l'API ou de la CLI Google Cloud, celle-ci ne doit pas comporter de version de clé initiale. Cela ne s'applique pas aux clés Cloud EKM créées avec Cloud Console.
  • Les opérations Cloud EKM sont soumises à des quotas spécifiques en plus des quotas sur les opérations Cloud KMS.

Clés de chiffrement symétriques

Clés de signature asymétriques

Gestionnaires de clés externes et régions

Cloud EKM doit pouvoir accéder à vos clés rapidement pour éviter une erreur. Lors de la création d'une clé Cloud EKM, choisissez un emplacement Google Cloud géographiquement proche de l'emplacement de la clé du partenaire de gestion des clés externes. Reportez-vous à la documentation du partenaire pour plus de détails sur la disponibilité de ses emplacements.

  • Cloud EKM via Internet: disponible dans tous les emplacements Google Cloud compatibles avec Cloud KMS, à l'exception de global
  • Cloud EKM via un VPC: disponible uniquement dans les emplacements régionaux compatibles avec Cloud KMS

Consultez la documentation de votre partenaire de gestion des clés externes pour déterminer les zones prises en charge.

Utilisation multirégion

Lorsque vous utilisez une clé gérée en externe avec un emplacement multirégional, les métadonnées de la clé, y compris les informations nécessaires pour communiquer avec le partenaire de gestion des clés externes, sont disponibles dans plusieurs centres de données de l'emplacement multirégional. Si votre application bascule d'un centre de données à un autre dans l'emplacement multirégional, le nouveau centre de données lance des requêtes de clé. Le nouveau centre de données peut présenter des caractéristiques réseau différentes du précédent, y compris la distance par rapport au partenaire de gestion des clés externes et la probabilité d'expiration des délais. Nous vous recommandons de n'utiliser un emplacement multirégional avec Cloud EKM que si le gestionnaire de clés externe choisi offre une faible latence dans toutes les zones de cet emplacement multirégional.

Étapes suivantes

Obtenir de l'aide

Si vous rencontrez un problème avec Cloud EKM, contactez le service d'assistance.