Cloud KMS avec Autokey

Cloud KMS Autokey simplifie la création et l'utilisation du chiffrement géré par le client (CMEK) en automatisant le provisionnement et l'attribution. Avec Autokey, les trousseaux de clés et les clés sont générés à la demande. Comptes de service qui utilisent les clés pour chiffrer et déchiffrer des ressources sont créées et accordées Identity and Access Management (IAM) si nécessaire. Les administrateurs Cloud KMS conservent un contrôle et une visibilité complets sur les clés créées par Autokey, sans avoir à planifier et à créer chaque ressource à l'avance.

L'utilisation de clés générées par Autokey peut vous aider à vous conformer aux normes du secteur et aux pratiques recommandées en matière de sécurité des données, y compris le niveau de protection du HSM, la séparation des tâches, la rotation des clés, l'emplacement et la spécificité des clés. Autokey crée des clés qui respectent à la fois les consignes générales et les consignes spécifiques au type de ressource pour les services Google Cloud qui s'intègrent à Autokey Cloud KMS. Une fois créées, les clés demandées à l'aide d'Autokey fonctionnent de manière identique aux autres clés Cloud HSM avec les mêmes paramètres.

Autokey peut également simplifier l'utilisation de Terraform pour la gestion des clés, ce qui élimine la nécessité d'exécuter l'infrastructure as code avec des droits élevés de création de clés.

Pour utiliser Autokey, vous devez disposer d'une ressource Organisation contenant une ressource de dossier. Pour en savoir plus sur les ressources d'organisation et de dossier, consultez la section Hiérarchie des ressources.

Cloud KMS Autokey est disponible dans tous les emplacements Google Cloud où Cloud HSM est disponible. Pour en savoir plus sur Cloud KMS, consultez la page Emplacements Cloud KMS. Il n'y a aucun des frais supplémentaires pour l'utilisation de Cloud KMS Autokey. Clés créées avec Les tarifs d'Autokey sont identiques à ceux des autres clés Cloud HSM. Pour Pour plus d'informations sur la tarification, consultez la page Tarifs de Cloud Key Management Service.

Pour en savoir plus sur Autokey, consultez Présentation d'Autokey

Choisissez entre Autokey et d'autres options de chiffrement

Cloud KMS avec Autokey est comme un pilote automatique pour les clés de chiffrement gérées par le client : il effectue le travail en votre nom, à la demande. Vous n'avez pas besoin de planifier des clés à l'avance ni de créer des clés qui ne seront peut-être jamais nécessaires. Les clés et leur utilisation sont cohérentes. Vous pouvez définir les dossiers dans lesquels vous souhaitez utiliser Autokey et contrôler qui peut l'utiliser. Vous conservez un contrôle total sur les clés créées par Autokey. Vous pouvez utiliser des requêtes créées manuellement Cloud KMS ainsi que des clés créées à l'aide d'Autokey. Vous pouvez désactiver Autokey et continuer à utiliser les clés qu'il a créées de la même manière que n'importe quelle autre clé Cloud KMS.

Cloud KMS Autokey est idéal si vous souhaitez une utilisation cohérente des clés avec de faibles coûts opérationnels, et que vous souhaitez respecter les des recommandations pour les clés.

Fonctionnalité Chiffrement par défaut de Google Cloud KMS Cloud KMS Autokey
Isolation cryptographique: les clés sont réservées à un seul client compte Non Oui Oui
Le client possède et contrôle les clés Non Oui Oui
Le développeur déclenche le provisionnement et l'attribution des clés Oui Non Oui
Spécificité: les clés sont automatiquement créées à la clé recommandée niveau de détail Non Non Oui
Vous permet de déchiqueter vos données Non Oui Oui
S'aligne automatiquement sur les pratiques de gestion des clés recommandées Non Non Oui
Utilise des clés reposant sur HSM et conformes à la norme FIPS 140-2 niveau 3 Non Facultatif Oui

Si vous devez utiliser un niveau de protection autre que HSM ou une période de rotation personnalisée, vous pouvez utiliser les clés CMEK sans Autokey.

Services compatibles

Le tableau suivant répertorie les services compatibles avec Autokey Cloud KMS :

Service Ressources protégées Précision des clés
Cloud Storage
  • storage.googleapis.com/Bucket

Les objets d'un bucket de stockage utilisent la clé par défaut du bucket. Autokey ne crée pas clés pour les ressources storage.object.

Une clé par bucket
Compute Engine
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Instance
  • compute.googleapis.com/MachineImage

Les instantanés utilisent la clé du disque dont vous créez un instantané. Autokey ne crée pas de clés pour les ressources compute.snapshot.

Une clé par ressource
BigQuery
  • bigquery.googleapis.com/Dataset

Autokey crée des clés par défaut pour les ensembles de données. Tables, modèles, les requêtes et les tableaux temporaires d'un ensemble de données utilisent .

Autokey ne crée pas de clés pour les ressources BigQuery autres que les jeux de données. Pour protéger les ressources qui ne font pas partie vous devez créer vos propres clés par défaut au niveau du projet au niveau de l'organisation.

Une clé par ressource
Secret Manager
  • secretmanager.googleapis.com/Secret

Secret Manager n'est compatible avec Cloud KMS Autokey que lorsque vous créez des ressources à l'aide de Terraform ou de l'API REST.

Une clé par emplacement dans un projet
Cloud SQL
  • sqladmin.googleapis.com/Instance

Autokey ne crée pas de clés pour Cloud SQL BackupRun ressources. Lorsque vous créez une sauvegarde Cloud SQL, la sauvegarde est chiffrée avec l'instance principale la clé gérée par le client de l'instance.

Cloud SQL n'est compatible avec Autokey Cloud KMS que lorsque vous créez des ressources à l'aide de Terraform ou de l'API REST.

Une clé par ressource
Spanner
  • spanner.googleapis.com/Database

Spanner n'est compatible qu'avec Autokey Cloud KMS lorsque vous créez des ressources à l'aide de Terraform ou de l'API REST.

Une clé par ressource

Étape suivante