Présentation de Cloud Key Management Service

Cloud Key Management Service (Cloud KMS) vous permet de créer et de gérer des clés cryptographiques à utiliser dans les services Google Cloud compatibles et dans vos propres applications. Cloud KMS vous permet d'effectuer les opérations suivantes:

  • Générez des clés logicielles ou matérielles, importez des clés existantes dans Cloud KMS ou associez des clés externes dans votre système de gestion des clés externes (EKM) compatible.
  • Utilisez des clés de chiffrement gérées par le client (CMEK) dans les produits Google Cloudavec intégration des CMEK. Les intégrations CMEK utilisent vos clés Cloud KMS pour chiffrer ou "encapsuler" vos clés de chiffrement de données (DEK). L'encapsulation des DEK à l'aide de clés de chiffrement de clé (KEK) est appelée chiffrement encapsulé.
  • Utilisez la clé automatique Cloud KMS pour automatiser le provisionnement et l'attribution. Avec la fonction de clé automatique, vous n'avez pas besoin de provisionner des trousseaux de clés, des clés et des comptes de service à l'avance. Au lieu de cela, ils sont générés à la demande lors de la création de ressources.
  • Utilisez des clés Cloud KMS pour les opérations de chiffrement et de déchiffrement. Par exemple, vous pouvez utiliser l'API Cloud KMS ou les bibliothèques clientes pour utiliser vos clés Cloud KMS pour le chiffrement côté client.
  • Utilisez des clés Cloud KMS pour créer ou valider des signatures numériques ou des signatures MAC (message authentication code).

Choisir le chiffrement adapté à vos besoins

Vous pouvez utiliser le tableau suivant pour identifier le type de chiffrement qui répond à vos besoins pour chaque cas d'utilisation. La meilleure solution pour vos besoins peut inclure un mélange d'approches de chiffrement. Par exemple, vous pouvez utiliser des clés logicielles pour vos données les moins sensibles et des clés matérielles ou externes pour vos données les plus sensibles. Pour en savoir plus sur les options de chiffrement décrites dans cette section, consultez Protéger les données dans Google Cloud sur cette page.

  • Agent Assist
  • AI Platform Training
  • AlloyDB pour PostgreSQL
  • Anti Money Laundering AI
  • Apigee
  • Hub d'API Apigee
  • Application Integration
  • Artifact Registry
  • Sauvegarde pour GKE
  • BigQuery
  • Bigtable
  • Cloud Composer
  • Cloud Data Fusion
  • API Cloud Healthcare
  • Cloud Logging
  • Cloud Run
  • Cloud Run Functions
  • Cloud SQL
  • Cloud Storage
  • Cloud Tasks
  • Cloud Workstations
  • Colab Enterprise
  • Compute Engine
  • Conversational Insights
  • Database Migration Service
  • Dataflow
  • Dataform
  • Dataproc
  • Dataproc Metastore
  • Datastream
  • Dialogflow CX
  • Document AI
  • Eventarc Advanced
  • Eventarc Standard
  • Filestore
  • Firestore
  • Gemini Code Assist
  • Google Cloud Managed Service pour Apache Kafka
  • Google Cloud NetApp Volumes
  • Cloud distribué de Google
  • Google Kubernetes Engine
  • Integration Connectors
  • Looker (Google Cloud Core)
  • Memorystore pour Redis
  • Migrate to Virtual Machines
  • Pub/Sub
  • Secret Manager
  • Secure Source Manager
  • Spanner
  • Speaker ID
  • Speech-to-Text
  • Vertex AI
  • Vertex AI Agent Builder
  • Vertex AI Workbench
  • Instances Vertex AI Workbench
  • Workflows
  • Tout
  • Niveau 1
  • Niveau 2
  • Niveau 3
Type de chiffrement Coût Services compatibles Fonctionnalités
appuyées sur Google Cloud appartenant à Google et gérées par Google (chiffrement par défaut deGoogle Cloud ) Inclus Tous les services Google Cloud qui stockent des données client
  • Aucune configuration n'est requise.
  • Chiffre automatiquement les données client enregistrées dans n'importe quel service Google Cloud .
  • La plupart des services effectuent une rotation automatique des clés.
  • Compatible avec le chiffrement AES-256.
  • Certification FIPS 140-2 niveau 1.
Clés de chiffrement gérées par le client : logiciel
(clés Cloud KMS)
0,06 $ par version de clé Plus de 40 services
Clés de chiffrement gérées par le client – matériel
(clés Cloud HSM)
1 à 2,50 $ par version de clé et par mois Plus de 40 services
Clés de chiffrement gérées par le client – externes
(clés Cloud EKM)
3 $ par version de clé et par mois Plus de 30 services
  • Vous contrôlez les rôles et les autorisations IAM, et activez, désactivez ou supprimez des versions de clé.
  • Les clés ne sont jamais envoyées à Google.
  • Le matériel de clé réside dans un fournisseur de gestion de clés externes (EKM) compatible.
  • Les services Google Cloud compatibles se connectent à votre fournisseur EKM via Internet ou un cloud privé virtuel (VPC).
  • Compatible avec les clés symétriques pour le chiffrement et le déchiffrement.
  • Effectuez manuellement la rotation de vos clés en coordination avec Cloud EKM et votre fournisseur EKM.
  • FIPS 140-2 niveau 2 ou FIPS 140-2 niveau 3 validé, selon l'EKM.
  • Les clés sont propres à un client.
Chiffrement côté client à l'aide de clés Cloud KMS Le coût des versions de clé actives dépend du niveau de protection de la clé. Utiliser des bibliothèques clientes dans vos applications
  • Vous pouvez contrôler le calendrier de rotation automatique des clés, les rôles et autorisations IAM, et activer, désactiver ou détruire des versions de clé.
  • Compatible avec les clés symétriques et asymétriques pour le chiffrement, le déchiffrement, la signature et la validation de signature.
  • Les fonctionnalités varient selon le niveau de protection des clés.
Clés de chiffrement fournies par le client Peut augmenter les coûts associés à Compute Engine ou à Cloud Storage
  • Vous fournissez des matériaux de clé si nécessaire.
  • Le matériel de clé réside en mémoire. Google ne stocke pas vos clés de manière permanente sur ses serveurs.
Informatique confidentielle Coût supplémentaire pour chaque VM confidentielle. Peut augmenter l'utilisation des journaux et les coûts associés
  • Fournit le chiffrement en cours d'utilisation pour les VM qui gèrent des données ou des charges de travail sensibles.
  • Google ne peut pas accéder aux clés.

Protéger les données dans Google Cloud

appartenant à Google et gérées par Google basées sur Google Cloud (Google Cloud chiffrement par défaut)

Par défaut, les données au repos dans Google Cloud sont protégées par des clés dans Keystore,le service de gestion des clés interne de Google Cloud. Les clés du Keystore sont gérées automatiquement par Google Cloud, sans configuration requise de votre part. La plupart des services effectuent automatiquement la rotation des clés. Le keystore est compatible avec une version de clé principale et un nombre limité d'anciennes versions de clé. La version de clé principale est utilisée pour chiffrer les nouvelles clés de chiffrement des données. Les anciennes versions de clé peuvent toujours être utilisées pour déchiffrer les clés de chiffrement des données existantes. Vous ne pouvez pas afficher ni gérer ces clés, ni consulter les journaux d'utilisation des clés. Les données de plusieurs clients peuvent utiliser la même clé de chiffrement de clé.

Ce chiffrement par défaut utilise des modules cryptographiques validés comme étant conformes au niveau 1 de la norme FIPS 140-2.

Clés de chiffrement gérées par le client (CMEK)

Les clés Cloud KMS utilisées pour protéger vos ressources dans les services intégrant des CMEK sont des clés de chiffrement gérées par le client (CMEK). Vous pouvez être propriétaire et contrôler les clés CMEK, tout en déléguant les tâches de création et d'attribution de clés à Cloud KMS Autokey. Pour en savoir plus sur l'automatisation du provisionnement des clés CMEK, consultez Cloud Key Management Service avec clé automatique.

Vous pouvez utiliser vos clés Cloud KMS dans des services compatibles pour vous aider à atteindre les objectifs suivants:

  • Possédez vos clés de chiffrement.

  • Contrôlez et gérez vos clés de chiffrement, y compris le choix de l'emplacement, le niveau de protection, la création, le contrôle des accès, la rotation, l'utilisation et la destruction.

  • Supprimez de manière sélective les données protégées par vos clés en cas de départ ou pour remédier aux événements de sécurité (crypto-destruction).

  • Créez des clés dédiées et mono-locataires qui établissent une limite cryptographique autour de vos données.

  • Journalisez l'accès administratif et aux données aux clés de chiffrement.

  • Respecter les réglementations actuelles ou futures qui exigent l'un de ces objectifs.

Lorsque vous utilisez des clés Cloud KMS avec des services intégrés aux CMEK, vous pouvez utiliser les règles d'administration pour vous assurer que les CMEK sont utilisées comme spécifié dans les règles. Par exemple, vous pouvez définir une règle d'organisation qui garantit que vos ressources Google Cloud compatibles utilisent vos clés Cloud KMS pour le chiffrement. Les règles d'administration de l'organisation peuvent également spécifier le projet dans lequel les ressources clés doivent résider.

Les fonctionnalités et le niveau de protection fournis dépendent du niveau de protection de la clé:

  • Clés logicielles : vous pouvez générer des clés logicielles dans Cloud KMS et les utiliser dans tous les emplacements Google Cloud . Vous pouvez créer des clés symétriques avec une rotation automatique ou des clés asymétriques avec une rotation manuelle. Les clés logicielles gérées par le client utilisent des modules de cryptographie logicielle validés FIPS 140-2 de niveau 1. Vous pouvez également contrôler la période de rotation, les rôles et les autorisations IAM (Identity and Access Management), ainsi que les règles d'administration qui régissent vos clés. Vous pouvez utiliser vos clés logicielles avec de nombreuses ressources Google Cloudcompatibles.

  • Clés logicielles importées : vous pouvez importer des clés logicielles que vous avez créées ailleurs pour les utiliser dans Cloud KMS. Vous pouvez importer de nouvelles versions de clé pour faire pivoter manuellement les clés importées. Vous pouvez utiliser des rôles IAM, des autorisations et des règles d'administration pour régir l'utilisation de vos clés importées.

  • Clés matérielles et Cloud HSM : vous pouvez générer des clés matérielles dans un cluster de modules de sécurité matériels (HSM, Hardware Security Module) FIPS 140-2 de niveau 3. Vous pouvez contrôler la période de rotation, les rôles et autorisations IAM, ainsi que les règles d'administration qui régissent vos clés. Lorsque vous créez des clés HSM à l'aide de Cloud HSM, Google Cloudgère les clusters HSM pour que vous n'ayez pas à le faire. Vous pouvez utiliser vos clés HSM avec de nombreuses ressources Google Cloudcompatibles, les mêmes services que ceux compatibles avec les clés logicielles. Pour obtenir le niveau de conformité de sécurité le plus élevé, utilisez des clés matérielles.

  • Clés externes et Cloud EKM : vous pouvez utiliser des clés qui se trouvent dans un gestionnaire de clés externes (EKM). Cloud EKM vous permet d'utiliser des clés stockées dans un gestionnaire de clés compatible pour sécuriser vos ressourcesGoogle Cloud . Vous pouvez vous connecter à votre EKM via Internet ou via un cloud privé virtuel (VPC). Certains services Google Cloud compatibles avec les clés Cloud KMS ne sont pas compatibles avec les clés Cloud EKM.

Pour en savoir plus sur les emplacements Cloud KMS compatibles avec les différents niveaux de protection, consultez la section Emplacements Cloud KMS.

Clés Cloud KMS

Vous pouvez utiliser vos clés Cloud KMS dans des applications personnalisées à l'aide des bibliothèques clientes Cloud KMS ou de l'API Cloud KMS. Les bibliothèques clientes et l'API vous permettent de chiffrer et de déchiffrer des données, de les signer et de valider les signatures.

Clés de chiffrement fournies par le client (CSEK)

Cloud Storage et Compute Engine peuvent utiliser des clés de chiffrement fournies par le client (CSEK). Avec les clés de chiffrement fournies par le client, vous stockez le matériel de clé et le fournissez à Cloud Storage ou à Compute Engine si nécessaire. Google Cloud ne stocke en aucun cas vos CSEK.

Informatique confidentielle

Dans Compute Engine, GKE et Dataproc, vous pouvez utiliser la plate-forme informatique confidentielle pour chiffrer vos données utilisées. L'informatique confidentielle garantit la confidentialité et le chiffrement de vos données, même pendant leur traitement.