Cette page a été traduite par l'API Cloud Translation.

Cloud External Key Manager

Cette rubrique présente Cloud External Key Manager (Cloud EKM).

Terminologie

Gestionnaire de clés externe (EKM)

Gestionnaire de clés utilisé en dehors de Google Cloud pour gérer vos clés.
Cloud External Key Manager (Cloud EKM)

Un service Google Cloud pour utiliser vos clés externes qui sont gérées dans un EKM compatible.
Cloud EKM via Internet

Version de Cloud EKM où Google Cloud communique avec votre gestionnaire de clés externe via Internet.
Cloud EKM via un VPC

Version de Cloud EKM où Google Cloud communique avec votre gestionnaire de clés externe via un cloud privé virtuel (VPC). Pour en savoir plus, consultez la section Présentation du réseau VPC.
Gestion des clés EKM depuis Cloud KMS

Lorsque vous utilisez Cloud EKM via un VPC avec un partenaire externe de gestion des clés compatible avec le plan de contrôle Cloud EKM, vous pouvez utiliser le mode de gestion EKM Cloud KMS pour simplifier le processus de maintenance des clés externes dans votre partenaire de gestion des clés externe et dans Cloud EKM. Pour en savoir plus, consultez les sections Clés externes coordonnées et Gestion des clés EKM depuis Cloud KMS.
Espace de chiffrement

Un conteneur pour vos ressources au sein de votre partenaire externe de gestion des clés Votre espace de cryptomonnaie est identifié par son chemin unique. Le format du chemin d'accès à l'espace de chiffrement varie en fonction du partenaire de gestion des clés externes (par exemple, v0/cryptospaces/YOUR_UNIQUE_PATH).
EKM géré par un partenaire

Accord permettant à un partenaire de confiance de gérer votre EKM. Pour en savoir plus, consultez la section EKM géré par le partenaire sur cette page.
Key Access Justifications

Lorsque vous utilisez Cloud EKM avec Key Access Justifications, chaque requête envoyée à votre partenaire externe de gestion des clés comprend un champ qui en identifie la raison. Vous pouvez configurer votre partenaire externe de gestion des clés pour autoriser ou refuser les requêtes en fonction du code Key Access Justifications fourni. Pour en savoir plus sur Key Access Justifications, consultez la page Présentation de Key Access Justifications.

Présentation

Avec Cloud EKM, vous pouvez utiliser des clés que vous gérez via un partenaire externe de gestion de clés externe pour protéger les données dans Google Cloud. Vous pouvez protéger les données au repos dans les services d'intégration CMEK compatibles ou en appelant directement l'API Cloud Key Management Service.

Cloud EKM présente plusieurs avantages :

Provenance des clés:vous contrôlez l'emplacement et la distribution de vos clés gérées en externe. Les clés gérées en externe ne sont jamais mises en cache ni stockées dans Google Cloud. À la place, Cloud EKM communique directement avec le partenaire externe de gestion des clés pour chaque requête.
Contrôle des accès:vous gérez l'accès à vos clés gérées en externe. Avant de pouvoir utiliser une clé gérée en externe dans Google Cloud, vous devez autoriser le projet Google Cloud à utiliser la clé. Vous pouvez révoquer cet accès à tout moment.
Gestion centralisée des clés:vous pouvez gérer vos clés et vos règles d'accès à partir d'une seule interface utilisateur, que les données qu'elles protègent se trouvent dans le cloud ou sur site.

Dans tous les cas, la clé réside sur le système externe et n'est jamais envoyée à Google.

Vous pouvez communiquer avec votre gestionnaire de clés externe via Internet ou via un cloud privé virtuel (VPC).

Fonctionnement de Cloud EKM

Les versions de clé Cloud EKM comportent les parties suivantes:

Matériel de clé externe: le matériel d'une clé Cloud EKM est du matériel cryptographique créé et stocké dans votre EKM. Ce contenu ne quitte pas votre EKM et n'est jamais partagé avec Google.
Référence de la clé: chaque version de clé Cloud EKM contient un URI de clé ou un chemin d'accès. Il s'agit d'un identifiant unique pour le matériel de clé externe utilisé par Cloud EKM pour demander des opérations de chiffrement à l'aide de la clé.
Material de clé interne: lorsqu'une clé Cloud EKM symétrique est créée, Cloud KMS crée un matériel de clé supplémentaire dans Cloud KMS, qui ne quitte jamais Cloud KMS. Ce matériel de clé est utilisé comme couche de chiffrement supplémentaire lors de la communication avec votre EKM. Ce matériel de clé interne ne s'applique pas aux clés de signature asymétriques.

Pour utiliser vos clés Cloud EKM, Cloud EKM envoie des requêtes d'opérations cryptographiques à votre EKM. Par exemple, pour chiffrer des données à l'aide d'une clé de chiffrement symétrique, Cloud EKM chiffre d'abord les données à l'aide du matériel de clé interne. Les données chiffrées sont incluses dans une requête adressée à EKM. L'EKM encapsule les données chiffrées dans une autre couche de chiffrement à l'aide du matériel de clé externe, puis renvoie le texte chiffré obtenu. Les données chiffrées à l'aide d'une clé Cloud EKM ne peuvent pas être déchiffrées sans le matériel de clé externe et le matériel de clé interne.

Si votre organisation a activé Key Access Justifications, votre partenaire externe de gestion des clés enregistre la demande d'accès fournie et n'effectue la requête que pour les codes de motif de justification autorisés par votre stratégie Key Access Justifications sur le partenaire externe de gestion des clés.

La création et la gestion de clés Cloud EKM nécessitent des modifications correspondantes à la fois dans Cloud KMS et dans l'EKM. Les modifications correspondantes sont traitées différemment pour les clés externes gérées manuellement et pour les clés externes coordonnées. Toutes les clés externes accessibles via Internet sont gérées manuellement. Les clés externes accessibles via un réseau VPC peuvent être gérées ou coordonnées manuellement, en fonction du mode de gestion EKM de l'EKM via une connexion VPC. Le mode de gestion EKM manuel est utilisé pour les clés gérées manuellement. Le mode de gestion EKM Cloud KMS est utilisé pour les clés externes coordonnées. Pour en savoir plus sur les modes de gestion EKM, consultez les pages Clés externes gérées manuellement et Clés externes coordonnées sur cette page.

Le schéma suivant montre comment Cloud KMS s'intègre au modèle de gestion des clés. Ce schéma utilise Compute Engine et BigQuery comme deux exemples. Vous pouvez également consulter la liste complète des services compatibles avec les clés Cloud EKM.

Schéma illustrant le chiffrement et le déchiffrement avec Cloud EKM

Lorsque vous utilisez Cloud EKM, vous pouvez en apprendre plus sur les considérations et les restrictions.

Clés externes gérées manuellement

Cette section présente le fonctionnement général de Cloud EKM avec une clé externe gérée manuellement.

Vous pouvez créer ou utiliser une clé existante dans un système de partenaire de gestion des clés externe compatible. Cette clé possède un URI ou un chemin de clé unique.
Vous autorisez votre projet Google Cloud à utiliser la clé dans le système partenaire externe de gestion des clés.
Dans votre projet Google Cloud, vous créez une version de clé Cloud EKM à l'aide de l'URI ou du chemin d'accès de la clé gérée en externe.
Les opérations de maintenance telles que la rotation des clés doivent être gérées manuellement entre votre EKM et votre Cloud EKM. Par exemple, les opérations de rotation ou de destruction de versions de clé doivent être effectuées directement dans votre EKM et dans Cloud KMS.

Dans Google Cloud, la clé apparaît avec vos autres clés Cloud KMS et Cloud HSM, avec le niveau de protection EXTERNAL ou EXTERNAL_VPC. La clé Cloud EKM et la clé du partenaire de gestion des clés externes fonctionnent conjointement pour protéger vos données. Le matériel de clé externe n'est jamais exposé à Google.

Clés externes coordonnées

Cette section présente le fonctionnement de Cloud EKM avec une clé externe coordonnée.

Vous configurez un EKM via une connexion VPC en définissant le mode de gestion EKM sur Cloud KMS. Lors de la configuration, vous devez autoriser votre EKM à accéder à votre réseau VPC et votre compte de service du projet Google Cloud à accéder à votre espace cryptographique dans votre EKM. Votre connexion EKM utilise le nom d'hôte de votre EKM et un chemin d'espace cryptographique qui identifie vos ressources dans votre EKM.
Vous créez une clé externe dans Cloud KMS. Lorsque vous créez une clé Cloud EKM à l'aide d'un EKM via une connexion VPC en mode EKM Cloud KMS activé, les étapes suivantes sont effectuées automatiquement:
1. Cloud EKM envoie une requête de création de clé à votre EKM.
2. Votre EKM crée le matériel de clé demandé. Ce matériel de clé externe reste dans l'EKM et n'est jamais envoyé à Google.
3. Votre EKM renvoie un chemin clé vers Cloud EKM.
4. Cloud EKM crée votre version de clé Cloud EKM à l'aide du chemin d'accès fourni par votre EKM.
Les opérations de maintenance sur des clés externes coordonnées peuvent être lancées à partir de Cloud KMS. Par exemple, les clés externes coordonnées utilisées pour le chiffrement symétrique peuvent être automatiquement alternées selon un calendrier défini. La création de nouvelles versions de clé est coordonnée dans votre EKM par Cloud EKM. Vous pouvez également déclencher la création ou la destruction de versions de clé dans votre EKM à partir de Cloud KMS à l'aide de la console Google Cloud, de gcloud CLI, de l'API Cloud KMS ou des bibliothèques clientes Cloud KMS.

Dans Google Cloud, la clé apparaît à côté de vos autres clés Cloud KMS et Cloud HSM, avec le niveau de protection EXTERNAL_VPC. La clé Cloud EKM et la clé externe du partenaire de gestion des clés fonctionnent ensemble pour protéger vos données. Le matériel de clé externe n'est jamais exposé à Google.

Gestion des clés EKM depuis Cloud KMS

EKM rend possibles les clés externes coordonnées via des connexions VPC utilisant la gestion des clés EKM depuis Cloud KMS. Si votre EKM est compatible avec le plan de contrôle Cloud EKM, vous pouvez activer la gestion des clés EKM depuis Cloud KMS pour vos EKM via des connexions VPC afin de créer des clés externes coordonnées. Lorsque Cloud KMS est activé pour la gestion des clés EKM, Cloud EKM peut demander les modifications suivantes dans votre EKM:

Créez une clé: lorsque vous créez une clé gérée en externe dans Cloud KMS à l'aide d'un EKM compatible via une connexion VPC, Cloud EKM envoie votre requête de création de clé à votre EKM. Si l'opération réussit, votre EKM crée la clé et le matériel de clé, puis renvoie le chemin d'accès à la clé que Cloud EKM utilisera pour accéder à la clé.
Effectuer la rotation d'une clé: lorsque vous alternez une clé gérée en externe dans Cloud KMS à l'aide d'un EKM compatible via une connexion VPC, Cloud EKM envoie votre requête de rotation à votre EKM. En cas de réussite, votre EKM crée un matériel de clé et renvoie le chemin d'accès à la clé que Cloud EKM utilisera pour accéder à la nouvelle version de la clé.
Détruisez une clé: lorsque vous détruisez une version de clé gérée en externe dans Cloud KMS à l'aide d'un EKM compatible via une connexion VPC, Cloud KMS planifie la destruction de la version de clé dans Cloud KMS. Si la version de clé n'est pas restaurée avant la fin de la période de destruction programmée, Cloud EKM détruit sa partie du matériel cryptographique de la clé et envoie une requête de destruction à votre EKM.

Les données chiffrées avec cette version de clé ne peuvent pas être déchiffrées après la destruction de la version de clé dans Cloud KMS, même si l'EKM n'a pas encore détruit la version de clé. Vous pouvez voir si l'EKM a réussi à détruire la version de clé en affichant les détails de la clé dans Cloud KMS.

Lorsque les clés de votre EKM sont gérées à partir de Cloud KMS, leur matériel est toujours stocké dans l'EKM. Google ne peut pas envoyer de requêtes de gestion de clés à votre EKM sans autorisation explicite. Google ne peut pas modifier les autorisations ni les règles Key Access Justifications dans votre système externe de gestion des clés. Si vous révoquez les autorisations de Google dans votre EKM, les tentatives de gestion des clés dans Cloud KMS échouent.

Compatibilité

Gestionnaires de clés compatibles

Vous pouvez stocker des clés externes dans les systèmes partenaires de gestion de clés externes suivants :

Compatibilité actuelle :
- Fortanix
- Futurex
- Thales
- Virtru

Services compatibles avec les clés CMEK avec Cloud EKM

Les services suivants sont compatibles avec l'intégration de Cloud KMS pour les clés externes (Cloud EKM) :

Artifact Registry
BigQuery
Cloud Bigtable
Cloud Composer
Cloud Functions
Cloud Logging : données dans le routeur de journaux et données dans l'espace de stockage Logging
Cloud Run
Cloud Spanner
Cloud SQL
Cloud Storage
Cloud Workstations
Compute Engine : Disques persistants, Instantanés et Images personnalisées
Dataflow
Dataproc : données des clusters Dataproc sur les disques de VM et données Dataproc sans serveur sur les disques de VM
Dataproc Metastore
Document AI
Eventarc
Google Distributed Cloud Edge
Google Kubernetes Engine : Données sur les disques de VM et Secrets au niveau de la couche d'application
Looker (Google Cloud Core)
Pub/Sub
Secret Manager
Speaker ID (Disponibilité limitée)
Vertex AI
Workflows (bêta)

Points à prendre en compte

Lorsque vous utilisez une clé Cloud EKM, Google n'a aucun contrôle sur la disponibilité de votre clé gérée en externe dans le système externe de gestion des clés partenaire. Si vous perdez les clés gérées en dehors de Google Cloud, Google ne pourra pas récupérer vos données.
Consultez les consignes relatives aux partenaires et régions de gestion des clés externes lorsque vous choisissez les emplacements de vos clés Cloud EKM.
Examinez le contrat de niveau de service Cloud EKM.
La communication avec un service externe sur Internet peut entraîner des problèmes de fiabilité, de disponibilité et de latence. Pour les applications ayant une faible tolérance à ce type de risques, envisagez d'utiliser Cloud HSM ou Cloud KMS pour stocker votre matériel de clé.
- Si une clé externe n'est pas disponible, Cloud KMS renvoie une erreur FAILED_PRECONDITION et fournit des précisions dans le détail de l'erreur PreconditionFailure.
  
  Activez la journalisation d'audit des données pour conserver un enregistrement de toutes les erreurs liées à Cloud EKM. Les messages d'erreur contiennent des informations détaillées pour vous aider à identifier la source de l'erreur. Un exemple d'erreur courante est qu'un partenaire externe de gestion des clés ne répond pas à une requête dans un délai raisonnable.
- Vous avez besoin d'un contrat d'assistance avec le partenaire de gestion des clés externes. Google Cloud
  
  L'assistance ne peut être utile que pour résoudre les problèmes liés aux services Google Cloud. Elle ne peut pas résoudre directement les problèmes sur les systèmes externes. Vous devez parfois collaborer avec l'assistance des deux côtés pour résoudre les problèmes d'interopérabilité.
Cloud EKM peut être utilisé avec HSM hébergé pour créer une solution HSM à locataire unique intégrée à Cloud KMS. Pour en savoir plus, choisissez un partenaire Cloud EKM compatible avec les HSM à locataire unique et consultez les exigences pour les HSM privés hébergés.

Attention :Lorsque vous utilisez des clés Cloud EKM via Internet, la clé peut devenir indisponible. Selon les services que vous utilisez, cela peut entraîner des erreurs fatales ou des données inaccessibles. Par exemple, si vous utilisez une clé CMEK externe pour chiffrer les secrets de la couche d'application Google Kubernetes Engine, vos nœuds peuvent devenir indisponibles s'ils ne peuvent pas déchiffrer les secrets. L'impossibilité d'accéder à la clé externe peut également entraîner une perte permanente de données. Par exemple, si la clé CMEK de chiffrement d'une base de données Cloud Spanner reste indisponible pendant plus de 30 jours consécutifs, Cloud Spanner supprime automatiquement la base de données. Lorsque la version de clé actuelle n'est pas disponible, vous ne pouvez pas récupérer les données en effectuant une rotation vers une nouvelle version de clé. Pour améliorer la disponibilité, envisagez d'utiliser Cloud EKM plutôt que le VPC ou des clés Cloud HSM.

Restrictions

La rotation automatique n'est pas compatible.
Lorsque vous créez une clé Cloud EKM à l'aide de l'API ou de Google Cloud CLI, celle-ci ne doit pas comporter de version de clé initiale. Cela ne s'applique pas aux clés Cloud EKM créées à l'aide de la console Google Cloud.
Les opérations Cloud EKM sont soumises à des quotas spécifiques en plus des quotas sur les opérations Cloud KMS.

Clés de chiffrement symétrique

Les clés de chiffrement symétrique ne sont compatibles qu'avec les éléments suivants :
- Les clés de chiffrement gérées par le client (CMEK) dans les services d'intégration compatibles.
- Le chiffrement et déchiffrement symétriques à l'aide de Cloud KMS directement.
Les données chiffrées par Cloud EKM à l'aide d'une clé gérée en externe ne peuvent pas être déchiffrées sans Cloud EKM.

Clés de signature asymétriques

Les clés de signature asymétrique sont limitées à un sous-ensemble d'algorithmes Cloud KMS.
Les clés de signature asymétrique ne sont compatibles qu'avec les éléments suivants :
- Signature asymétrique en utilisant directement Cloud KMS :
- Clé de signature personnalisée avec Access Approval
Une fois qu'un algorithme de signature asymétrique est défini sur une clé Cloud EKM, il ne peut plus être modifié.
Vous devez effectuer la signature dans le champ data.

Gestionnaires de clés externes et régions

Cloud EKM doit pouvoir accéder à vos clés rapidement pour éviter une erreur. Lors de la création d'une clé Cloud EKM, choisissez un emplacement Google Cloud géographiquement proche de l'emplacement de la clé du partenaire de gestion des clés externes. Reportez-vous à la documentation du partenaire pour plus de détails sur la disponibilité de ses emplacements.

Cloud EKM via Internet: disponible dans tous les emplacements Google Cloud compatibles avec Cloud KMS, à l'exception de global
Cloud EKM via un VPC: disponible uniquement dans les emplacements régionaux compatibles avec Cloud KMS

Consultez la documentation de votre partenaire de gestion des clés externes pour déterminer les zones prises en charge.

Utilisation multirégion

Lorsque vous utilisez une clé gérée en externe avec un emplacement multirégional, les métadonnées de la clé sont disponibles dans plusieurs centres de données au sein de l'emplacement multirégional. Ces métadonnées incluent les informations nécessaires pour communiquer avec le partenaire externe de gestion des clés. Si votre application passe d'un centre de données à un autre dans l'emplacement multirégional, le nouveau centre de données lance des requêtes clés. Le nouveau centre de données peut présenter des caractéristiques réseau différentes de celles du centre de données précédent, y compris la distance par rapport au partenaire externe de gestion des clés et la probabilité d'expiration des délais. Nous vous recommandons de n'utiliser un emplacement multirégional avec Cloud EKM que si le gestionnaire de clés externe que vous avez choisi offre une latence faible dans toutes les zones de cet emplacement multirégional.

EKM géré par le partenaire

L'EKM géré par un partenaire vous permet d'utiliser Cloud EKM via un partenaire souverain de confiance qui gère pour vous votre système EKM. Avec EKM géré par un partenaire, votre partenaire crée et gère les clés que vous utilisez dans Cloud EKM. Le partenaire s'assure que votre EKM respecte les exigences de souveraineté.

Lorsque vous procédez à l'intégration avec votre partenaire souverain, celui-ci provisionne des ressources dans Google Cloud et votre EKM. Ces ressources incluent un projet Cloud KMS pour gérer vos clés Cloud EKM et un EKM via une connexion VPC configuré pour la gestion des clés EKM à partir de Cloud KMS. Votre partenaire crée des ressources dans les emplacements Google Cloud conformément aux exigences de résidence des données.

Chaque clé Cloud EKM inclut des métadonnées Cloud KMS, qui permettent à Cloud EKM d'envoyer des requêtes à votre EKM pour effectuer des opérations cryptographiques à l'aide du matériel de clé externe qui ne quitte jamais votre EKM. Les clés Cloud EKM symétriques incluent également un matériel de clé interne Cloud KMS qui ne quitte jamais Google Cloud. Pour en savoir plus sur les aspects internes et externes des clés Cloud EKM, consultez la section Fonctionnement de Cloud EKM sur cette page.

Pour en savoir plus sur l'utilisation d'un EKM géré par un partenaire, consultez la page Configurer une application Cloud KMS gérée par un partenaire.

Surveiller l'utilisation de Cloud EKM

Vous pouvez surveiller la connexion EKM à l'aide de Cloud Monitoring. Les métriques suivantes peuvent vous aider à comprendre votre utilisation d'EKM:

cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count

Pour en savoir plus sur ces métriques, consultez Métriques de relecture. Vous pouvez créer un tableau de bord pour suivre ces métriques. Pour savoir comment configurer un tableau de bord pour surveiller votre connexion EKM, consultez Surveiller l'utilisation d'EKM.

Assistance

Si vous rencontrez un problème avec Cloud EKM, contactez le service d'assistance.

Étapes suivantes

Configurez Cloud EKM via Internet.
Créez une connexion EKM pour utiliser EKM via VPC.
Commencez à utiliser l'API.
Lisez la documentation de référence de l'API Cloud KMS.
Apprenez-en plus sur la journalisation dans Cloud KMS. La journalisation est basée sur les opérations et s'applique aux clés présentant les deux niveaux de protection Logiciel et HSM.
Pour obtenir des recommandations sur la configuration d'un déploiement de service externe EKM intégré à Cloud EKM, consultez la page Architectures de référence pour un déploiement fiable des services Cloud EKM.