Gérer les clés Cloud EKM

Cette rubrique explique comment utiliser Cloud External Key Manager (Cloud EKM) pour chiffrer vos données au repos à l'aide de clés gérées en dehors de Google Cloud.

Avant de commencer

Une fois les étapes suivantes effectuées, vous pouvez commencer à utiliser des clés Cloud EKM pour protéger vos données.

Créer un projet

Pour tester Cloud EKM, nous vous recommandons de configurer un nouveau projet.

  1. Dans Google Cloud Console, accédez à la page "Gérer les ressources".

    Accéder à la page "Gérer les ressources"

  2. Créez un projet Google Cloud ou sélectionnez un projet existant.

  3. Assurez-vous que la facturation est activée pour votre projet Cloud. Découvrez comment vérifier que la facturation est activée pour votre projet.

  4. En savoir plus sur les tarifs de Cloud EKM

Activer Cloud KMS

  1. Activez l'API Cloud Key Management Service pour le projet.

    Activer l'API Cloud Key Management Service

  2. Notez le compte de service Cloud EKM de votre projet. Dans l'exemple suivant, remplacez project-number par le numéro de projet de votre projet Google Cloud. Ces informations sont également visibles chaque fois que vous utilisez Google Cloud Console pour créer une clé Cloud EKM.

    service-project-number@gcp-sa-ekms.iam.gserviceaccount.com
    

Préparer le système partenaire de gestion des clés externes

Dans le système partenaire de gestion des clés externes, accordez au compte de service Google Cloud l'accès permettant d'utiliser la clé externe. Traitez le compte de service comme une adresse e-mail. Les partenaires peuvent utiliser une terminologie différente de celle utilisée dans cette rubrique.

Créer une clé externe

Vous effectuez ces étapes sur le système partenaire de gestion des clés externes. Les étapes exactes varient en fonction du partenaire de gestion des clés externes. Vous pouvez consulter la liste des partenaires Cloud EKM compatibles.

  1. Si nécessaire, demandez l'accès à votre partenaire de gestion des clés externes pour participer à cette version de .

  2. Créez une clé dans le système partenaire de gestion des clés externes ou sélectionnez une clé existante.

    Créez la clé dans une région proche de la région Google Cloud que vous souhaitez utiliser pour les clés Cloud EKM. Cela permet de réduire la latence du réseau entre votre projet Google Cloud et le partenaire de gestion des clés externes. Dans le cas contraire, le nombre d'opérations ayant échoué peut augmenter. Consultez la page Cloud EKM et régions pour plus d'informations.

  3. Notez l'URI de la clé externe. Vous avez besoin de ces informations pour créer une clé Cloud EKM.

Créer une clé Cloud EKM

Lorsque vous créez une clé, vous l'ajoutez à un trousseau de clés existant dans l'emplacement où vous souhaitez utiliser la clé. Pour les clés Cloud EKM, l'emplacement doit également se trouver à proximité de l'emplacement de votre clé externe.

Cette rubrique explique comment créer un trousseau de clés, mais il est également possible de créer une clé sur un trousseau de clés existant dans l'emplacement approprié.

gcloud

  1. Créez un trousseau de clés dans l'une des régions recommandées par votre partenaire de gestion des clés externes.

    gcloud kms keyrings \
     create key-ring-name \
     --location location
    
  2. Créez une clé dans le trousseau de clés. Définissez le niveau de protection sur external et l'objectif sur encryption. Ajoutez --skip-initial-version-creation pour empêcher la création d'une version de clé initiale. Définissez la valeur de default algorithm sur external-symmetric-encryption.

    gcloud kms keys \
     create key-name \
     --keyring key-ring-name \
     --location location \
     --purpose encryption \
     --protection-level external \
     --skip-initial-version-creation \
     --default-algorithm external-symmetric-encryption
    
  3. Créez une version de la clé que vous venez de créer. Définissez l'option --external-key-uri sur l'URI de la clé externe. Ajoutez l'option --primary pour faire de cette version la version de clé primaire. Utilisez les mêmes nom, trousseau de clés et emplacement qu'aux étapes précédentes.

    gcloud kms keys versions \
     create \
     --key key-name \
     --keyring key-ring-name \
     --location location \
     --external-key-uri external-key-uri \
     --primary
    

Console

Créez un trousseau de clés comme suit :

  1. Accédez à la page Clés de chiffrement dans Cloud Console.

    Accédez à la page Clés de chiffrement

  2. Cliquez sur Créer un trousseau.

  3. Dans le champ Nom du trousseau, saisissez le nom du trousseau de clés.

  4. Dans le menu déroulant Emplacement, sélectionnez l'une des régions recommandées par votre partenaire de gestion de clés externes.

  5. Cliquez sur Créer. Le trousseau de clés est créé et la boîte de dialogue de création de clé s'affiche.

Créez une clé Cloud EKM.

  1. Pour le type de clé, sélectionnez Clé gérée en externe. La fonction est automatiquement définie sur Chiffrement / déchiffrement symétrique, et le champ Type de clé et algorithme est défini sur . Clé symétrique externe Ces valeurs ne peuvent pas être modifiées.

  2. Saisissez un nom pour la clé.

  3. Saisissez l'URI de la clé externe.

  4. Vous pouvez également ajouter des libellés pour la clé. Apprenez-en plus sur les libellés.

  5. Cliquez sur Créer.

La version de clé est créée automatiquement et devient la version primaire.

Vous pouvez récupérer l'ID de ressource de la nouvelle clé et commencer à l'utiliser pour protéger des données dans les scénarios suivants :

Effectuer une rotation de clé externe

Vous pouvez effectuer une rotation de la clé Cloud EKM si vous avez besoin de modifier l'URI de la clé externe. Cette opération ajoute une nouvelle version à la clé Cloud EKM.

Après avoir effectué la rotation d'une clé Cloud EKM, vous pouvez toujours déchiffrer les données chiffrées à l'aide d'une version précédente de la clé, tant que la version précédente de la clé externe est toujours disponible à l'URI de la clé externe sur le système partenaire de gestion des clés externes.

Si le matériel de la clé dans le système partenaire de gestion des clés externes ne change pas, mais que l'URI change, vous pouvez mettre à jour l'URI externe de la clé sans effectuer la rotation de la clé.

gcloud

Pour effectuer une rotation de la clé, créez une version de clé contenant l'URI mis à jour de la clé externe et définissez cette version comme version de clé primaire. Utilisez le nom, le trousseau et l'emplacement utilisés lors de la création de la clé.

gcloud kms keys versions \
  create \
  --key key-name \
  --keyring key-ring-name \
  --location location \
  --external-key-uri new-external-key-uri \
  --primary

Console

  1. Accédez à la page Clés de chiffrement dans Cloud Console.
    Accéder à la page "Clés cryptographiques"

  2. Sélectionnez le trousseau de clés, puis la clé.

  3. Sélectionnez Effectuer une rotation.

  4. Saisissez le nouvel URI de clé, puis sélectionnez Effectuer une rotation de clé.

La nouvelle version de clé devient la version primaire.

Mettre à jour l'URI d'une version de clé

Vous pouvez mettre à jour l'URI d'une clé Cloud EKM sans effectuer la rotation de la clé Cloud EKM, à condition que le nouvel URI ait exactement le même matériel de clé que l'URI de la clé d'origine. Si les URI ne contiennent pas le même matériel de clé, la mise à jour de l'URI de la clé échoue. Vous pouvez également mettre à jour l'URI d'une clé pour une version de clé autre que la version principale.

Si la rotation du matériel de la clé a été effectué dans le système partenaire de gestion des clés externe, vous devez effectuer la rotation de la clé.

gcloud

Pour mettre à jour l'URI de la version de clé, utilisez la commande gcloud kms versions update, spécifiez la version de clé à mettre à jour et définissez l'option --external-key-uri sur le nouvel URI.

gcloud kms keys versions update key-version \
  --key key \
  --keyring keyring \
  --location location \
  --external-key-uri uri

Par exemple, la commande suivante modifie l'URI example-key de la version 2 de la clé par https://example-key.example.com/v0/example_key :

gcloud kms keys versions update 2 \
  --key example-key> \
  --keyring example-keyring \
  --location us-west1 \
  --external-key-uri https://example-key.example.com/v0/example_key

Console

  1. Accédez à la page Clés de chiffrement dans Cloud Console.
    Accéder à la page "Clés cryptographiques"

  2. Sélectionnez le trousseau de clés, puis la clé et la version.

  3. Cliquez sur Plus , puis sur Afficher l'URI de la clé.

  4. Cliquez sur Mettre à jour l'URI de clé.

  5. Saisissez le nouvel URI de clé, puis cliquez sur Enregistrer.

Désactiver ou détruire une clé externe

Pour désactiver temporairement l'association entre une clé Cloud EKM et une clé externe, vous pouvez désactiver la clé ou la version de clé Cloud EKM. Il est recommandé de désactiver l'intégralité de la clé. La désactivation d'une clé prend effet dans les trois heures.

Lorsque vous désactivez une clé, vous devez également révoquer l'accès à la clé. Les opérations IAM sont cohérentes en quelques secondes. Pensez également à révoquer l'accès au compte de service Google Cloud dans le système partenaire de gestion des clés externe.

Pour supprimer définitivement l'association entre une clé Cloud EKM et une clé externe, vous pouvez programmer la destruction de la version de la clé Cloud EKM. Après une période de 24 heures, la clé est détruite. La destruction d'une clé est définitive. Une fois la version de clé détruite, vous ne pouvez plus chiffrer, ni déchiffrer des données chiffrées avec la version de clé Cloud EKM. Vous ne pouvez pas recréer une version de clé Cloud EKM détruite, même si vous utilisez le même URI de clé externe.

Interpréter les erreurs

Si vous rencontrez une erreur lors de la création ou de l'utilisation d'une clé Cloud EKM, cet événement est enregistré. Reportez-vous à la documentation de référence sur les erreurs Cloud EKM pour savoir comment interpréter et corriger ces erreurs.

Assistance

Si vous rencontrez un problème avec Cloud EKM, contactez le service d'assistance.