La fonctionnalité Autokey de Cloud KMS simplifie la création et l'utilisation des clés de chiffrement gérées par le client (CMEK) en automatisant le provisionnement et l'attribution. Avec Autokey, les trousseaux de clés et les clés sont générés à la demande. Les comptes de service qui utilisent les clés pour chiffrer et déchiffrer des ressources sont créés et reçoivent des rôles IAM (Identity and Access Management) si nécessaire. Les administrateurs Cloud KMS conservent un contrôle et une visibilité complets sur les clés créées par Autokey, sans avoir à planifier et à créer chaque ressource à l'avance.
L'utilisation de clés générées par Autokey peut vous aider à vous conformer aux normes du secteur et aux pratiques recommandées en matière de sécurité des données, y compris le niveau de protection du HSM, la séparation des tâches, la rotation des clés, l'emplacement et la spécificité des clés. Autokey crée des clés qui respectent à la fois les consignes générales et les consignes spécifiques au type de ressource pour les services Google Cloud qui s'intègrent à Autokey Cloud KMS. Une fois créées, les clés demandées à l'aide d'Autokey fonctionnent de manière identique aux autres clés Cloud HSM avec les mêmes paramètres.
Autokey peut également simplifier l'utilisation de Terraform pour la gestion des clés, ce qui élimine la nécessité d'exécuter l'infrastructure as code avec des droits élevés de création de clés.
Pour utiliser Autokey, vous devez disposer d'une ressource Organisation contenant une ressource de dossier. Pour en savoir plus sur les ressources d'organisation et de dossier, consultez la section Hiérarchie des ressources.
Cloud KMS Autokey est disponible dans tous les emplacements Google Cloud où Cloud HSM est disponible. Pour en savoir plus sur les emplacements Cloud KMS, consultez la section Emplacements Cloud KMS. L'utilisation d'Autokey Cloud KMS n'entraîne aucun coût supplémentaire. Les clés créées à l'aide d'Autokey sont au même prix que toutes les autres clés Cloud HSM. Pour en savoir plus sur les tarifs, consultez la page Tarifs de Cloud Key Management Service.
Pour en savoir plus sur Autokey, consultez la section Présentation de la clé automatique.
Choisir entre Autokey et d'autres options de chiffrement
Cloud KMS avec Autokey est comme un pilote automatique pour les clés de chiffrement gérées par le client: il effectue le travail en votre nom, à la demande. Vous n'avez pas besoin de planifier des clés à l'avance ni de créer des clés qui ne seront peut-être jamais nécessaires. Les clés et l'utilisation des clés sont cohérentes. Vous pouvez définir les dossiers dans lesquels vous souhaitez utiliser Autokey et contrôler qui peut l'utiliser. Vous conservez un contrôle total sur les clés créées par Autokey. Vous pouvez utiliser des clés Cloud KMS créées manuellement avec des clés créées à l'aide d'Autokey. Vous pouvez désactiver Autokey et continuer à utiliser les clés qu'il a créées de la même manière que toute autre clé Cloud KMS.
Cloud KMS Autokey est un bon choix si vous souhaitez une utilisation cohérente des clés dans les projets, avec un faible coût opérationnel, et si vous souhaitez suivre les recommandations de Google concernant les clés.
| Fonctionnalité | Chiffrement par défaut de Google | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Isolation cryptographique: les clés sont réservées au compte d'un seul client | Non | Oui | Oui |
| Le client est propriétaire et contrôle les clés | Non | Oui | Oui |
| Le développeur déclenche le provisionnement et l'attribution des clés | Oui | Non | Oui |
| Spécificité: les clés sont créées automatiquement au niveau de la granularité recommandée | Non | Non | Oui |
| Vous permet de déchiqueter vos données de manière cryptographique | Non | Oui | Oui |
| S'aligne automatiquement sur les bonnes pratiques de gestion des clés recommandées | Non | Non | Oui |
| Utilise des clés basées sur un HSM conformes à la norme FIPS 140-2 de niveau 3 | Non | Facultatif | Oui |
Si vous devez utiliser un niveau de protection autre que HSM ou une période de rotation personnalisée, vous pouvez utiliser des CMEK sans Autokey.
Services compatibles
Le tableau suivant répertorie les services compatibles avec Autokey Cloud KMS:
| Service | Ressources protégées | Précision des clés |
|---|---|---|
| Cloud Storage |
Les objets d'un bucket de stockage utilisent la clé par défaut du bucket. Autokey ne crée pas de clés pour les ressources |
Une clé par bucket |
| Compute Engine |
Les instantanés utilisent la clé du disque dont vous créez un instantané.
Autokey ne crée pas de clés pour les ressources |
Une clé par ressource |
| BigQuery |
Autokey crée des clés par défaut pour les ensembles de données. Les tables, les modèles, les requêtes et les tables temporaires d'un ensemble de données utilisent la clé par défaut de l'ensemble de données. Autokey ne crée pas de clés pour les ressources BigQuery autres que les ensembles de données. Pour protéger les ressources qui ne font pas partie d'un ensemble de données, vous devez créer vos propres clés par défaut au niveau du projet ou de l'organisation. |
Une clé par ressource |
| Secret Manager |
Secret Manager n'est compatible avec Autokey Cloud KMS que lorsque vous créez des ressources à l'aide de Terraform ou de l'API REST. |
Une clé par emplacement dans un projet |
| Cloud SQL |
Autokey ne crée pas de clés pour les ressources Cloud SQL n'est compatible avec Autokey Cloud KMS que lorsque vous créez des ressources à l'aide de Terraform ou de l'API REST. |
Une clé par ressource |
| Spanner |
Spanner n'est compatible qu'avec Autokey Cloud KMS lorsque vous créez des ressources à l'aide de Terraform ou de l'API REST. |
Une clé par ressource |
Étape suivante
- Pour en savoir plus sur le fonctionnement de Cloud KMS Autokey, consultez la présentation d'Autokey.