Cloud KMS Autokey simplifie la création et l'utilisation de clés de chiffrement gérées par le client (CMEK) en automatisant le provisionnement et l'attribution. Avec Autokey, il n'est pas nécessaire de planifier et de provisionner vos trousseaux, vos clés et vos comptes de service avant d'en avoir besoin. Au lieu de cela, Autokey génère vos clés à la demande lors de la création de vos ressources, en s'appuyant sur des autorisations déléguées à la place des administrateurs Cloud KMS.
L'utilisation de clés générées par Autokey peut vous aider à vous conformer aux normes du secteur et aux pratiques recommandées pour la sécurité des données, y compris le niveau de protection HSM, la séparation des tâches, la rotation des clés, l'emplacement et la spécificité des clés. Autokey crée des clés qui suivent à la fois les consignes générales et les consignes spécifiques au type de ressource pour les services Google Cloud qui s'intègrent à Cloud KMS Autokey. Une fois créées, les clés demandées à l'aide d'Autokey fonctionnent de la même manière que les autres clés Cloud HSM avec les mêmes paramètres.
Autokey peut également simplifier l'utilisation de Terraform pour la gestion des clés, en supprimant la nécessité d'exécuter l'Infrastructure as Code avec des droits élevés de création de clés.
Pour utiliser Autokey, vous devez disposer d'une ressource Organisation contenant une ressource de dossier. Pour en savoir plus sur les ressources d'organisation et de dossier, consultez la section Hiérarchie des ressources.
Cloud KMS Autokey est disponible dans tous les emplacements Google Cloud où Cloud HSM est disponible. Pour en savoir plus sur les emplacements Cloud KMS, consultez la page Emplacements Cloud KMS. L'utilisation de Cloud KMS Autokey ne génère aucun coût supplémentaire. Les clés créées à l'aide d'Autokey sont facturées au même prix que les autres clés Cloud HSM. Pour en savoir plus sur la tarification, consultez la page Tarifs de Cloud Key Management Service.
Pour en savoir plus sur Autokey, consultez la présentation d'Autokey.
Choisissez entre Autokey et d'autres options de chiffrement
Cloud KMS avec Autokey s'apparente à un pilote automatique pour les clés de chiffrement gérées par le client: il effectue le travail à votre place, à la demande. Vous n'avez pas besoin de planifier les clés à l'avance ni de créer des clés qui ne seront peut-être jamais nécessaires. Les clés et leur utilisation sont cohérentes. Vous pouvez définir les dossiers dans lesquels vous souhaitez utiliser Autokey et contrôler qui peut l'utiliser. Vous conservez le contrôle total des clés créées par Autokey. Vous pouvez utiliser des clés Cloud KMS créées manuellement en plus de celles créées à l'aide d'Autokey. Vous pouvez désactiver Autokey et continuer à utiliser les clés qu'il a créées de la même manière que toute autre clé Cloud KMS.
Cloud KMS Autokey est un bon choix si vous souhaitez une utilisation cohérente des clés entre les projets, avec de faibles coûts opérationnels, et si vous souhaitez suivre les recommandations de Google concernant les clés.
| Fonctionnalité ou capacité | Chiffrement par défaut de Google | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Isolation cryptographique: les clés sont exclusives au compte d'un client | Non | Oui | Oui |
| Le client possède et contrôle les clés | Non | Oui | Oui |
| Le développeur déclenche le provisionnement et l'attribution des clés | Oui | Non | Oui |
| Spécificité: les clés sont créées automatiquement avec la précision recommandée | Non | Non | Oui |
| Vous permet de déchiqueter vos données | Non | Oui | Oui |
| S'aligne automatiquement sur les pratiques de gestion des clés recommandées | Non | Non | Oui |
| Utilise des clés reposant sur HSM et conformes à la norme FIPS 140-2 niveau 3 | Non | Facultatif | Oui |
Si vous devez utiliser un niveau de protection autre que HSM ou une période de rotation personnalisée, vous pouvez utiliser CMEK sans Autokey.
Services compatibles
Le tableau suivant répertorie les services compatibles avec Cloud KMS Autokey:
| Service | Ressources protégées | Précision des clés |
|---|---|---|
| Cloud Storage |
Les objets contenus dans un bucket de stockage utilisent la clé par défaut du bucket. Autokey ne crée pas de clés pour les ressources |
Une clé par bucket |
| Compute Engine |
Les instantanés utilisent la clé du disque dont vous créez un instantané.
Autokey ne crée pas de clés pour les ressources |
Une clé par ressource |
| BigQuery |
Autokey crée des clés par défaut pour les ensembles de données. Les tables, modèles, requêtes et tables temporaires d'un ensemble de données utilisent la clé par défaut de l'ensemble de données. Autokey ne crée pas de clés pour les ressources BigQuery autres que les ensembles de données. Pour protéger les ressources qui ne font pas partie d'un ensemble de données, vous devez créer vos propres clés par défaut au niveau du projet ou de l'organisation. |
Une clé par ressource |
| Secret Manager |
Secret Manager n'est compatible avec Cloud KMS Autokey que lorsque vous créez des ressources à l'aide de Terraform ou de l'API REST. |
Une clé par emplacement dans un projet |
Étapes suivantes
- Pour en savoir plus sur le fonctionnement d'Autokey de Cloud KMS, consultez la page Présentation d'Autokey.