Cloud KMS Autokey simplifie la création et l'utilisation du chiffrement géré par le client (CMEK) en automatisant le provisionnement et l'attribution. Avec Autokey, les trousseaux de clés et les clés sont générés à la demande. Comptes de service qui utilisent les clés pour chiffrer et déchiffrer des ressources sont créées et accordées Identity and Access Management (IAM) si nécessaire. Les administrateurs Cloud KMS conservent un contrôle et une visibilité complets sur les clés créées par Autokey, sans avoir à planifier et à créer chaque ressource à l'avance.
L'utilisation de clés générées par Autokey peut vous aider à vous conformer aux normes du secteur et aux pratiques recommandées en matière de sécurité des données, y compris le niveau de protection du HSM, la séparation des tâches, la rotation des clés, l'emplacement et la spécificité des clés. Autokey crée des clés qui respectent à la fois les consignes générales et les consignes spécifiques au type de ressource pour les services Google Cloud qui s'intègrent à Autokey Cloud KMS. Une fois créées, les clés demandées à l'aide d'Autokey fonctionnent de manière identique aux autres clés Cloud HSM avec les mêmes paramètres.
Autokey peut également simplifier l'utilisation de Terraform pour la gestion des clés, ce qui élimine la nécessité d'exécuter l'infrastructure as code avec des droits élevés de création de clés.
Pour utiliser Autokey, vous devez disposer d'une ressource Organisation contenant une ressource de dossier. Pour en savoir plus sur les ressources d'organisation et de dossier, consultez la section Hiérarchie des ressources.
Cloud KMS Autokey est disponible dans tous les emplacements Google Cloud où Cloud HSM est disponible. Pour en savoir plus sur Cloud KMS, consultez la page Emplacements Cloud KMS. Il n'y a aucun des frais supplémentaires pour l'utilisation de Cloud KMS Autokey. Clés créées avec Les tarifs d'Autokey sont identiques à ceux des autres clés Cloud HSM. Pour Pour plus d'informations sur la tarification, consultez la page Tarifs de Cloud Key Management Service.
Pour en savoir plus sur Autokey, consultez Présentation d'Autokey
Choisissez entre Autokey et d'autres options de chiffrement
Cloud KMS avec Autokey est comme un pilote automatique pour les clés de chiffrement gérées par le client : il effectue le travail en votre nom, à la demande. Vous n'avez pas besoin de planifier des clés à l'avance ni de créer des clés qui ne seront peut-être jamais nécessaires. Les clés et leur utilisation sont cohérentes. Vous pouvez définir les dossiers dans lesquels vous souhaitez utiliser Autokey et contrôler qui peut l'utiliser. Vous conservez un contrôle total sur les clés créées par Autokey. Vous pouvez utiliser des requêtes créées manuellement Cloud KMS ainsi que des clés créées à l'aide d'Autokey. Vous pouvez désactiver Autokey et continuer à utiliser les clés qu'il a créées de la même manière que n'importe quelle autre clé Cloud KMS.
Cloud KMS Autokey est idéal si vous souhaitez une utilisation cohérente des clés avec de faibles coûts opérationnels, et que vous souhaitez respecter les des recommandations pour les clés.
| Fonctionnalité | Chiffrement par défaut de Google | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Isolation cryptographique: les clés sont réservées à un seul client compte | Non | Oui | Oui |
| Le client possède et contrôle les clés | Non | Oui | Oui |
| Le développeur déclenche le provisionnement et l'attribution des clés | Oui | Non | Oui |
| Spécificité: les clés sont automatiquement créées à la clé recommandée niveau de détail | Non | Non | Oui |
| Vous permet de déchiqueter vos données | Non | Oui | Oui |
| S'aligne automatiquement sur les pratiques de gestion des clés recommandées | Non | Non | Oui |
| Utilise des clés reposant sur HSM et conformes à la norme FIPS 140-2 niveau 3 | Non | Facultatif | Oui |
Si vous devez utiliser un niveau de protection autre que HSM ou une période de rotation personnalisée, vous pouvez utiliser les clés CMEK sans Autokey.
Services compatibles
Le tableau suivant répertorie les services compatibles avec Autokey Cloud KMS :
| Service | Ressources protégées | Précision des clés |
|---|---|---|
| Cloud Storage |
Les objets d'un bucket de stockage utilisent la clé par défaut du bucket. Autokey ne crée pas
clés pour les ressources |
Une clé par bucket |
| Compute Engine |
Les instantanés utilisent la clé du disque dont vous créez un instantané.
Autokey ne crée pas de clés pour les ressources |
Une clé par ressource |
| BigQuery |
Autokey crée des clés par défaut pour les ensembles de données. Tables, modèles, les requêtes et les tableaux temporaires d'un ensemble de données utilisent . Autokey ne crée pas de clés pour les ressources BigQuery autres que les jeux de données. Pour protéger les ressources qui ne font pas partie vous devez créer vos propres clés par défaut au niveau du projet au niveau de l'organisation. |
Une clé par ressource |
| Secret Manager |
Secret Manager n'est compatible avec Cloud KMS Autokey que lorsque vous créez des ressources à l'aide de Terraform ou de l'API REST. |
Une clé par emplacement dans un projet |
| Cloud SQL |
Autokey ne crée pas de clés pour Cloud SQL
Cloud SQL n'est compatible avec Autokey Cloud KMS que lorsque vous créez des ressources à l'aide de Terraform ou de l'API REST. |
Une clé par ressource |
| Spanner |
Spanner n'est compatible qu'avec Autokey Cloud KMS lorsque vous créez des ressources à l'aide de Terraform ou de l'API REST. |
Une clé par ressource |
Étape suivante
- Pour en savoir plus sur le fonctionnement de Cloud KMS Autokey, consultez la présentation d'Autokey.