Cette page a été traduite par l'API Cloud Translation.

Ressources Cloud KMS

Cette page décrit chaque type de ressource dans Cloud KMS. Pour en savoir plus, consultez la section Hiérarchie des ressources.

Clés

Une clé Cloud KMS est un objet nommé contenant une ou plusieurs versions de clé, ainsi que des métadonnées de clé. Une clé existe sur un seul trousseau de clés lié à un emplacement spécifique.

Vous pouvez autoriser et refuser l'accès aux clés à l'aide des autorisations et rôles IAM (Identity and Access Management). Vous ne pouvez pas gérer l'accès à une clé version.

La désactivation ou la destruction d'une clé désactive ou détruit également chaque version de clé.

Les sections suivantes décrivent les propriétés d'une clé.

Selon le contexte, les propriétés d'une clé s'affichent dans un format différent.

Lorsque vous utilisez la Google Cloud CLI ou l'API Cloud Key Management Service, la propriété s'affiche sous forme d'une chaîne de lettres majuscules, telle que SOFTWARE.
Lorsque vous utilisez Google Cloud Console, la propriété est affichée sous forme de chaîne avec une majuscule à la première lettre, telle que Logiciel.

Dans les sections suivantes, chaque format est présenté le cas échéant.

Type

Le type d'une clé détermine si la clé est utilisée pour des opérations de chiffrement symétriques ou asymétriques.

Dans le chiffrement ou la signature symétriques, la même clé est utilisée pour chiffrer et déchiffrer des données, ou pour signer et valider une signature.

Dans le cas d’un chiffrement ou d’une signature asymétrique, la clé se compose d’une clé publique et d’un clé privée. Une clé privée avec sa clé publique correspondante est appelée paire de clés.

La clé privée est une donnée sensible requise pour déchiffrer des données. en fonction de l'objectif configuré de la clé.
La clé publique n'est pas considérée comme sensible, et est requise pour chiffrer des données ou pour valider une signature, en fonction de l'objectif configuré de la clé.

Le type d'une clé est un composant de son objectif et ne peut pas être modifié une fois la clé créée.

Objectif

L'objectif d'une clé indique le type d'opérations cryptographiques dont elle peut être utilisé pour, par exemple, Chiffrement/déchiffrement symétrique ou Asymétrique signature. Vous choisissez l'objectif lors de la création de la clé, et toutes les versions d'une clé ont le même objectif. Vous ne pouvez pas modifier l'objectif d'une clé après sa création. Pour en savoir plus sur les objectifs des clés, consultez Objectifs des clés :

Niveau de protection

Le niveau de protection d'une clé détermine l'environnement de stockage de la clé au repos. Le niveau de protection correspond à l'un des éléments suivants :

Logiciel (SOFTWARE dans la Google Cloud CLI et l'API Cloud Key Management Service)
HSM
Externe (EXTERNAL dans la Google Cloud CLI et l'API Cloud Key Management Service)
External_VPC (EXTERNAL_VPC dans la CLI Google Cloud et l'API Cloud Key Management Service)

Vous ne pouvez pas modifier le niveau de protection d'une clé après sa création.

Version principale

Une clé peut avoir plusieurs versions de clé actives et activées en même temps en temps réel. Les clés de chiffrement symétrique ont une version de clé principale, qui est la version de clé utilisée par défaut pour chiffrer les données si vous ne spécifiez pas de version de clé.

Les clés asymétriques n'ont pas de version principale. vous devez spécifier la version à l'aide de la clé.

Pour les clés symétriques et asymétriques, vous pouvez utiliser n'importe quelle version de clé activée pour chiffrer et déchiffrer des données, ou pour signer et valider des signatures.

Versions de clé

Chaque version d'une clé contient le matériel de clé utilisé pour le chiffrement ou la signature. Chaque version se voit attribuer un numéro de version, à partir de 1. La rotation d'une clé crée une autre version de la clé. Pour en savoir plus, consultez la page Rotation des clés.

Pour déchiffrer des données ou valider une signature, vous devez utiliser la même version de clé que celle utilisée a été utilisé pour chiffrer ou signer les données. Pour trouver l'ID de ressource d'une version de clé, consultez Récupérer l'ID de ressource d'une clé

Vous pouvez désactiver ou détruire des versions de clé individuelles sans affecter les autres versions. Vous pouvez également désactiver ou détruire toutes les versions d'une clé donnée.

Vous ne pouvez pas contrôler l'accès aux versions de clé indépendamment des autorisations en vigueur pour la clé. Le fait d'accorder l'accès à une clé permet d'accéder à toutes ses compatibles.

Pour des raisons de sécurité, aucun compte principal Google Cloud ne peut afficher, ni exporter le matériel brut de la clé de chiffrement représenté par une version de clé. À la place, Cloud KMS accède au matériel de clé pour vous.

Les sections suivantes décrivent les propriétés d'une version de clé.

État

Chaque version de clé est associée à un état qui indique son état. En général, l'état d'une clé est l'un des suivants :

Activé
Désactivée
Destruction programmée
Détruite

Une version de clé ne peut être utilisée que lorsqu'elle est activée. Les versions de clé dans un état autre que "Détruite" entraînent des coûts. Pour en savoir plus sur les états des versions de clé et sur la façon dont les versions peuvent passer de l'un à l'autre, consultez la section États des versions de clé.

Algorithm

L'algorithme d'une version de clé détermine la façon dont le matériel de clé est créé et requis pour les opérations de chiffrement. Clés symétriques et asymétriques utilisent des algorithmes différents. Le chiffrement et la signature utilisent des algorithmes différents.

Si vous ne spécifiez pas d'algorithme lors de la création d'une version de clé, c'est l'algorithme de la version précédente qui est utilisé.

Quel que soit l'algorithme, Cloud KMS utilise un chiffrement probabiliste, afin que le même texte en clair chiffré deux fois avec la même version de clé ne renvoyer le même texte chiffré.

Trousseaux de clés

Un trousseau organise les clés dans un environnement Google Cloud spécifique location et vous permet de gérer le contrôle des accès à des groupes de clés. Le nom d'un trousseau de clés ne doit pas nécessairement être unique au sein d'un projet Google Cloud, mais doit être unique dans un emplacement donné. Une fois le trousseau de clés créé, il ne peut plus être supprimé. Les trousseaux de clés n'entraînent aucun coût.

Identifiants de clé

Un handle de clé est une ressource Cloud KMS qui vous aide à assurer la séparation des tâches de manière sécurisée pour créer des clés Cloud KMS pour CMEK à l'aide d'Autokey. La création d'un gestionnaire de clés dans un projet de ressources déclenche la création d'une clé Cloud KMS dans le projet de clé pour les CMEK à la demande ; configuration.

Un handle de clé contient une référence à la clé Cloud KMS créée. Vous pouvez récupérer l'ID de ressource Cloud KMS d'une clé créée par Autokey à partir du conteneur de clé. Les outils Infrastructure as Code tels que Terraform peuvent fonctionner avec des poignées de clé pour gérer les ressources protégées par CMEK sans droits élevés.

Les identifiants de clé ne sont pas visibles dans la console Google Cloud, mais ils permettent d'utiliser Autokey. avec l'API REST ou Terraform, vous devez utiliser des poignées de clés. Pour en savoir plus sur l'utilisation des poignées de clé, consultez Créer des ressources protégées à l'aide de la clé automatique Cloud KMS.

Configurations Autokey

Une configuration Autokey est une ressource au niveau du dossier qui définit Autokey est activé pour le dossier. La configuration Autokey définit également le projet de clé utilisé pour les clés créées par Cloud KMS Autokey afin de protéger les ressources de ce dossier. Lorsque vous activez Autokey, vous créez ou mettre à jour une configuration Autokey sur le dossier de ressources. Pour plus sur l'utilisation des configurations Autokey, consultez la section Activer Cloud KMS Autokey

Connexions EKM

Une connexion EKM est une ressource Cloud KMS qui organise les connexions VPC à vos EKM sur site dans un emplacement Google Cloud spécifique. Une connexion EKM vous permet de vous connecter à un gestionnaire de clés externe et d'utiliser les clés qu'il héberge via un réseau VPC. Une fois créée, une connexion EKM ne peut plus être supprimée. Les connexions EKM n'entraînent pas tous les coûts.

Récupérer l'ID d'une ressource

Certains appels d'API et la CLI gcloud peuvent nécessiter que vous fassiez référence à un trousseau, une clé ou une version de clé à l'aide de son ID de ressource, qui est une chaîne représentant le nom complet CryptoKeyVersion. Les ID de ressources sont hiérarchiques, de la même manière qu'un chemin d'accès au système de fichiers. L'ID de ressource d'une clé contient également des informations sur le trousseau de clés et l'emplacement.

Objet	Format de l'ID de ressource
Trousseau de clés	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING`
Clé	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME`
Version de la clé	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION`
Poignée de touche	`projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE`
Connexion EKM	`projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION`
Configuration d'Autokey	`folders/FOLDER_NUMBER/autopilotConfig`

Pour en savoir plus, consultez la page Obtenir un ID de ressource Cloud KMS.

Organiser les ressources

Lorsque vous planifiez l'organisation des ressources dans votre projet Google Cloud, tenez compte de vos règles métier et de la façon dont vous comptez gérer les accès. Vous pouvez accorder l'accès à une seule clé, à toutes les clés d'un trousseau de clés ou à toutes les clés d'un projet. Les modèles d'organisation suivants sont courants :

Par environnement, tel que prod, test et develop
Par espace de travail, tel que payroll ou insurance_claims
En fonction de la sensibilité ou des caractéristiques des données, telles que unrestricted, restricted, confidential et top-secret

Cycles de vie des ressources

Les trousseaux, les clés et les versions de clé ne peuvent pas être supprimés. Cela garantit que l'identifiant de ressource d'une version de clé est unique et pointe toujours vers le matériel de clé d'origine pour cette version de clé, sauf s'il a été détruit. Vous pouvez stocker un nombre illimité de trousseaux de clés, ainsi que de clés activées ou désactivées, et des versions de clé activées, désactivées ou détruites. Pour en savoir plus, consultez les sections Tarifs et Quotas.

Pour savoir comment détruire ou restaurer une version de clé, consultez la page Détruire et restaurer des versions de clé.

Une fois que vous avez planifié l'arrêt d'un projet Google Cloud, vous ne pouvez pas accéder aux ressources du projet, y compris à Cloud KMS ressources, sauf si vous récupérez le projet en suivant la procédure permettant de restaurer projet.

Étape suivante

Créez une clé.
En savoir plus sur les autorisations et rôles dans Cloud KMS.