Cette page a été traduite par l'API Cloud Translation.

Présentation de Cloud Key Management Service

Cloud Key Management Service (Cloud KMS) vous permet de créer et de gérer des clés CMEK à utiliser dans des services Google Cloud compatibles et dans vos propres applications. Cloud KMS vous permet d'effectuer les opérations suivantes:

Générez des clés logicielles ou matérielles, importez des clés existantes dans Cloud KMS ou associez des clés externes à votre système de gestion de clés externes compatible (EKM).
Utilisez des clés de chiffrement gérées par le client (CMEK) dans les produits Google Cloud avec intégration CMEK. Les intégrations CMEK utilisent vos clés CMEK pour chiffrer ou "encapsuler" vos clés de chiffrement de données (DEK). L'encapsulation de DEK avec des clés de chiffrement de clé (KEK) s'appelle le chiffrement encapsulé.
Utilisez Cloud KMS Autokey (Preview) pour automatiser le provisionnement et l'attribution. Avec Autokey, vous n'avez pas besoin de provisionner à l'avance des trousseaux de clés, des clés et des comptes de service. Ils sont générés à la demande lors de la création des ressources.
Utilisez des clés Cloud KMS pour les opérations de chiffrement et de déchiffrement. Par exemple, vous pouvez utiliser l'API Cloud KMS ou les bibliothèques clientes afin d'utiliser vos clés Cloud KMS pour le chiffrement côté client.
Les clés Cloud KMS vous permettent de créer ou de valider des signatures numériques ou des signatures de code d'authentification de message (MAC).

Choisissez le chiffrement adapté à vos besoins

Le tableau suivant vous permet d'identifier le type de chiffrement qui répond à vos besoins pour chaque cas d'utilisation. La meilleure solution pour vos besoins peut inclure une combinaison d'approches de chiffrement. Par exemple, vous pouvez utiliser des clés logicielles pour les données les moins sensibles et des clés matérielles pour vos données les plus sensibles. Pour en savoir plus sur les options de chiffrement décrites dans cette section, consultez la section Protéger les données dans Google Cloud de cette page.

Encryption type	Coût	Services compatibles	Fonctionnalités
Clés appartenant ou gérées par Google (chiffrement par défaut de Google Cloud)	Incluse	Tous les services Google Cloud qui stockent des données client	Aucune configuration n'est requise. Elle chiffre automatiquement les données client enregistrées dans n'importe quel service Google Cloud. La plupart des services effectuent automatiquement une rotation des clés. Accepte le chiffrement à l'aide de l'algorithme AES-256. Certification FIPS 140-2 de niveau 1.
Clés de chiffrement gérées par le client : logiciel (clés Cloud KMS)	0,06 $ par version de clé	Plus de 40 services	Vous contrôlez le calendrier de rotation automatique des clés, les rôles et autorisations IAM, ainsi que l'activation, la désactivation ou la destruction des versions de clé. Accepte les clés symétriques et asymétriques pour le chiffrement et le déchiffrement. Effectue une rotation automatique des clés symétriques. Compatible avec plusieurs algorithmes courants. Certification FIPS 140-2 de niveau 1. Les clés sont propres à chaque client.
Clés de chiffrement gérées par le client – Matériel (clés Cloud HSM)	1,00 à 2,50 $ par version de clé et par mois	Plus de 40 services	Gestion via Cloud KMS Autokey (version preview) Vous contrôlez le calendrier de rotation automatique des clés, les rôles et autorisations IAM, ainsi que l'activation, la désactivation ou la destruction des versions de clé. Accepte les clés symétriques et asymétriques pour le chiffrement et le déchiffrement. Effectue une rotation automatique des clés symétriques. Compatible avec plusieurs algorithmes courants. Certification FIPS 140-2 de niveau 3. Les clés sont propres à chaque client.
Clés de chiffrement gérées par le client – externes (clés Cloud EKM)	3,00 $ par version de clé et par mois	Plus de 30 services	Vous contrôlez les rôles et les autorisations IAM, et vous activez, désactivez ou détruisez les versions de clé. Les clés ne sont jamais envoyées à Google. Le matériel de clé se trouve chez un fournisseur EKM (gestion de clés externe) compatible. Les services Google Cloud compatibles se connectent à votre fournisseur EKM via Internet ou via un cloud privé virtuel (VPC). Accepte les clés symétriques pour le chiffrement et le déchiffrement. Alternez manuellement vos clés en coordination avec Cloud EKM et votre fournisseur EKM. Certification FIPS 140-2 niveau 2 ou FIPS 140-2 niveau 3, selon l'EKM. Les clés sont propres à chaque client.
Chiffrement côté client à l'aide de clés Cloud KMS	Le coût des versions de clé actives dépend du niveau de protection de la clé.	utiliser des bibliothèques clientes dans vos applications ;	Vous contrôlez le calendrier de rotation automatique des clés, les rôles et autorisations IAM, ainsi que l'activation, la désactivation ou la destruction des versions de clé. Accepte les clés symétriques et asymétriques pour le chiffrement, le déchiffrement, la signature et la validation des signatures. Les fonctionnalités varient selon le niveau de protection de la clé.
Clés de chiffrement fournies par le client	Risque d'augmenter les coûts associés à Compute Engine ou Cloud Storage	Compute Engine Cloud Storage	Vous fournissez les matériaux clés si nécessaire. Le matériel de clé est stocké en mémoire : Google ne stocke pas vos clés de manière permanente sur ses serveurs.
Informatique confidentielle	Coût supplémentaire pour chaque VM confidentielle ; peut augmenter l'utilisation des journaux et les coûts associés	Compute Engine GKE Dataproc	Fournit le chiffrement en cours d'utilisation pour les VM traitant des données ou des charges de travail sensibles. Google ne peut pas accéder aux clés.

Protéger les données dans Google Cloud

Clés détenues et gérées par Google (chiffrement par défaut de Google Cloud)

Par défaut, les données au repos dans Google Cloud sont protégées par des clés dans Keystore, le service interne de gestion des clés de Google. Les clés dans Keystore sont gérées automatiquement par Google, sans aucune configuration requise de votre part. La plupart des services effectuent automatiquement la rotation des clés pour vous. Le keystore est compatible avec une version de clé primaire et un nombre limité d'anciennes versions de clé. La version de clé primaire est utilisée pour chiffrer les nouvelles clés de chiffrement des données. Les anciennes versions de clé peuvent toujours être utilisées pour déchiffrer les clés de chiffrement de données existantes. Vous ne pouvez pas afficher ni gérer ces clés, ni consulter les journaux d'utilisation des clés. Les données de plusieurs clients peuvent utiliser la même clé de chiffrement de clé.

Ce chiffrement par défaut utilise des modules cryptographiques certifiés conformes à la norme FIPS 140-2 de niveau 1.

Clés de chiffrement gérées par le client (CMEK)

Les clés Cloud KMS qui servent à protéger vos ressources dans les services intégrés CMEK sont des clés de chiffrement gérées par le client (CMEK). Vous pouvez détenir et contrôler des clés CMEK tout en déléguant les tâches de création et d'attribution de clés à Cloud KMS Autokey (version preview). Pour en savoir plus sur l'automatisation du provisionnement pour les CMEK, consultez la page Cloud Key Management Service avec Autokey.

Vous pouvez utiliser vos clés Cloud KMS dans des services compatibles pour atteindre les objectifs suivants:

Posséder vos clés de chiffrement
Contrôlez et gérez vos clés de chiffrement, y compris le choix de l'emplacement, le niveau de protection, la création, le contrôle des accès, la rotation, l'utilisation et la destruction.
Supprimez de manière sélective les données protégées par vos clés en cas de départ ou pour résoudre des événements de sécurité (déchiquetage de cryptomonnaie).
Créez des clés à locataire unique dédiées qui établissent une limite cryptographique autour de vos données.
Consigner les accès administrateur et aux données aux clés de chiffrement.
Respecter les réglementations actuelles ou futures qui imposent l'un de ces objectifs.

Lorsque vous utilisez des clés Cloud KMS avec des services intégrés CMEK, vous pouvez appliquer des règles d'administration pour vous assurer que les CMEK sont utilisées comme spécifié dans les règles. Par exemple, vous pouvez définir une règle d'administration qui garantit que vos ressources Google Cloud compatibles utilisent vos clés Cloud KMS pour le chiffrement. Les règles d'administration peuvent également spécifier le projet dans lequel les ressources clés doivent résider.

Les fonctionnalités et le niveau de protection fournis dépendent du niveau de protection de la clé:

Clés logicielles : vous pouvez générer des clés logicielles dans Cloud KMS et les utiliser dans tous les emplacements Google Cloud. Vous pouvez créer des clés symétriques avec rotation automatique ou des clés asymétriques avec une rotation manuelle. Les clés logicielles gérées par le client utilisent des modules de cryptographie logiciels certifiés FIPS 140-2 niveau 1. Vous contrôlez également la période de rotation, les rôles et autorisations IAM (Identity and Access Management), ainsi que les règles d'administration qui régissent vos clés. Vous pouvez utiliser vos clés logicielles avec plus de 40 ressources Google Cloud compatibles.
Clés logicielles importées : vous pouvez importer des clés logicielles que vous avez créées ailleurs afin de les utiliser dans Cloud KMS. Vous pouvez importer de nouvelles versions de clé pour alterner manuellement les clés importées. Vous pouvez gérer l'utilisation de vos clés importées à l'aide de rôles et d'autorisations IAM, ainsi que de règles d'administration.
Clés matérielles et Cloud HSM : vous pouvez générer des clés matérielles dans un cluster de modules de sécurité matériels (HSM) FIPS 140-2 niveau 3. Vous contrôlez la période de rotation, les rôles et autorisations IAM, ainsi que les règles d'administration qui régissent vos clés. Lorsque vous créez des clés HSM à l'aide de Cloud HSM, Google gère les clusters HSM à votre place. Vous pouvez utiliser vos clés HSM avec plus de 40 ressources Google Cloud compatibles, c'est-à-dire les mêmes services que les clés logicielles. Pour une conformité optimale en termes de sécurité, utilisez des clés matérielles.
Clés externes et Cloud EKM : vous pouvez utiliser des clés résidant dans un gestionnaire de clés externe (EKM). Cloud EKM vous permet d'utiliser des clés conservées dans un gestionnaire de clés compatible pour sécuriser vos ressources Google Cloud. Vous pouvez vous connecter à votre EKM via Internet ou via un cloud privé virtuel (VPC). Certains services Google Cloud compatibles avec les clés logicielles ou matérielles ne sont pas compatibles avec les clés Cloud EKM.

Clés Cloud KMS

Vous pouvez utiliser vos clés Cloud KMS dans des applications personnalisées à l'aide des bibliothèques clientes Cloud KMS ou de l'API Cloud KMS. Les bibliothèques clientes et l'API vous permettent de chiffrer et de déchiffrer des données, de les signer et de valider des signatures.

Clés de chiffrement fournies par le client (CSEK)

Cloud Storage et Compute Engine peuvent utiliser des clés de chiffrement fournies par le client (CSEK). Avec les clés de chiffrement fournies par le client, vous stockez le matériel de clé et vous le fournissez à Cloud Storage ou Compute Engine si nécessaire. Google ne stocke en aucun cas vos CSEK.

Informatique confidentielle

Dans Compute Engine, GKE et Dataproc, vous pouvez chiffrer vos données utilisées à l'aide de la plate-forme d'informatique confidentielle. L'informatique confidentielle garantit que vos données restent privées et chiffrées, même pendant leur traitement.