Cette page a été traduite par l'API Cloud Translation.

Ressources Cloud KMS

Cette page décrit chaque type de ressource dans Cloud KMS. Pour en savoir plus, consultez la section Hiérarchie des ressources.

Clés

Une clé Cloud KMS est un objet nommé contenant une ou plusieurs versions de clé, ainsi que des métadonnées pour la clé. Une clé existe sur un seul trousseau de clés lié à un emplacement spécifique.

Vous pouvez autoriser et refuser l'accès aux clés à l'aide des autorisations et rôles IAM (Identity and Access Management). Vous ne pouvez pas gérer l'accès à une version de clé.

La désactivation ou la destruction d'une clé désactive ou détruit également chaque version de clé.

Les sections suivantes décrivent les propriétés d'une clé.

Selon le contexte, les propriétés d'une clé s'affichent dans un format différent.

Lorsque vous utilisez la Google Cloud CLI ou l'API Cloud Key Management Service, la propriété est affichée sous la forme d'une chaîne de lettres majuscules, comme SOFTWARE.
Lorsque vous utilisez la console Google Cloud, la propriété est affichée sous la forme d'une chaîne avec une casse initiale (par exemple, Software).

Dans les sections suivantes, chaque format est présenté le cas échéant.

Type

Le type d'une clé détermine si la clé est utilisée pour des opérations de chiffrement symétriques ou asymétriques.

Dans le cadre du chiffrement ou de la signature symétrique, la même clé est utilisée pour chiffrer et déchiffrer des données, ou pour signer et valider une signature.

Dans le cas d'un chiffrement ou d'une signature asymétrique, la clé se compose d'une clé publique et d'une clé privée. Une clé privée et la clé publique correspondante est appelée paire de clés.

La clé privée est une donnée sensible requise pour déchiffrer des données ou signer, en fonction de sa configuration.
La clé publique n'est pas considérée comme sensible. Elle est requise pour chiffrer des données ou valider une signature, en fonction de l'objectif configuré de la clé.

Le type d'une clé est un composant de son objectif et ne peut pas être modifié une fois la clé créée.

Objectif

L'objectif d'une clé indique le type d'opérations cryptographiques pour lesquelles elle peut être utilisée, par exemple, chiffrement/déchiffrement symétrique ou signature asymétrique. Vous choisissez l'objectif lors de la création de la clé, et toutes les versions d'une clé ont le même objectif. Une fois la clé créée, son objectif ne peut plus être modifié. Pour en savoir plus sur les objectifs des clés, consultez la section Objectifs des clés.

Niveau de protection

Le niveau de protection d'une clé détermine son environnement de stockage au repos. Le niveau de protection correspond à l'un des éléments suivants :

Logiciel (SOFTWARE dans la Google Cloud CLI et l'API Cloud Key Management Service)
HSM
Externe (EXTERNAL dans la Google Cloud CLI et l'API Cloud Key Management Service)
VPC externe (EXTERNAL_VPC dans la Google Cloud CLI et l'API Cloud Key Management Service)

Le niveau de protection d'une clé ne peut plus être modifié une fois la clé créée.

Version principale

Les clés peuvent avoir plusieurs versions de clé actives et activées simultanément. Les clés de chiffrement symétriques possèdent une version de clé primaire, qui est la version de clé utilisée par défaut pour chiffrer les données si vous ne spécifiez pas de version de clé.

Les clés asymétriques n'ont pas de version principale. Vous devez spécifier la version lorsque vous utilisez la clé.

Pour les clés symétriques et asymétriques, vous pouvez utiliser n'importe quelle version de clé activée pour chiffrer et déchiffrer des données, ou pour signer et valider des signatures.

Versions de clé

Chaque version d'une clé contient le matériel de clé utilisé pour le chiffrement ou la signature. Chaque version se voit attribuer un numéro de version commençant par 1. La rotation d'une clé crée une nouvelle version de clé. Pour en savoir plus, consultez la section concernant la rotation des clés.

Pour déchiffrer des données ou valider une signature, vous devez utiliser la même version de clé que celle utilisée pour chiffrer ou signer les données. Pour trouver l'ID de ressource d'une version de clé, consultez la section Récupérer l'ID de ressource d'une clé.

Vous pouvez désactiver ou détruire des versions de clé individuelles sans affecter les autres versions. Vous pouvez également désactiver ou détruire toutes les versions d'une clé donnée.

Vous ne pouvez pas contrôler l'accès aux versions de clé indépendamment des autorisations en vigueur sur la clé. Le fait d'accorder l'accès à une clé permet d'accéder à toutes les versions activées de cette clé.

Pour des raisons de sécurité, aucun compte principal Google Cloud ne peut afficher, ni exporter le matériel brut de la clé de chiffrement représenté par une version de clé. À la place, Cloud KMS accède au matériel de clé pour vous.

Les sections suivantes décrivent les propriétés d'une version de clé.

État

Chaque version de clé est associée à un state qui vous indique son état. En général, l'état d'une clé est l'un des suivants:

Activée
Désactivée
Destruction programmée
Détruite

Une version de clé ne peut être utilisée que lorsqu'elle est activée. Les versions de clé dans n'importe quel état autre que leur destruction entraînent des frais. Pour en savoir plus sur les états de la version de clé et sur la transition entre les versions, consultez la section États des versions de clé.

Algorithme

L'algorithme d'une version de clé détermine la façon dont le matériel de clé est créé et les paramètres requis pour les opérations de chiffrement. Les clés symétriques et asymétriques utilisent des algorithmes différents. Le chiffrement et la signature utilisent des algorithmes différents.

Si vous ne spécifiez pas d'algorithme lors de la création d'une nouvelle version de clé, l'algorithme de la version précédente est utilisé.

Quel que soit l'algorithme, Cloud KMS utilise un chiffrement probabiliste. Ainsi, le même texte en clair chiffré deux fois avec la même version de clé ne renvoie pas le même texte chiffré.

Trousseaux de clés

Un trousseau de clés organise les clés dans un emplacement Google Cloud spécifique et vous permet de gérer le contrôle des accès sur des groupes de clés. Le nom d'un trousseau de clés n'a pas besoin d'être unique au sein d'un projet Google Cloud, mais doit l'être dans un emplacement donné. Une fois créé, un trousseau de clés ne peut pas être supprimé. Les trousseaux de clés n'entraînent aucuns frais.

Poignées de touches

Un gestionnaire de clés est une ressource Cloud KMS qui vous aide à couvrir en toute sécurité la séparation des tâches consistant à créer des clés Cloud KMS pour CMEK à l'aide d'Autokey. La création d'un gestionnaire de clés dans un projet de ressources déclenche la création d'une clé Cloud KMS dans le projet de clé pour la configuration de CMEK à la demande.

Un handle de clé contient une référence à la clé Cloud KMS qui a été créée. Vous pouvez récupérer l'ID de ressource Cloud KMS d'une clé créée par Autokey à partir du gestionnaire de clé. Les outils d'infrastructure en tant que code tels que Terraform peuvent utiliser des identifiants de clés pour gérer les ressources protégées par des clés CMEK sans droits élevés.

Les identifiants de clés ne sont pas visibles dans la console Google Cloud, mais pour utiliser Autokey avec l'API REST ou Terraform, vous devez utiliser des identifiants de clés. Pour en savoir plus sur l'utilisation des descripteurs de clé, consultez la page Créer des ressources protégées à l'aide de Cloud KMS Autokey.

Configurations Autokey

Une configuration Autokey est une ressource au niveau du dossier qui définit si Autokey est activé pour le dossier. La configuration d'Autokey définit également le projet de clé utilisé pour les clés créées par Cloud KMS Autokey afin de protéger les ressources de ce dossier. Lorsque vous activez Autokey, vous créez ou mettez à jour une configuration Autokey sur le dossier de ressources. Pour en savoir plus sur l'utilisation des configurations Autokey, consultez la page Activer Cloud KMS Autokey.

Connexions EKM

Une connexion EKM est une ressource Cloud KMS qui organise les connexions VPC à vos EKM sur site dans un emplacement Google Cloud spécifique. Une connexion EKM vous permet de vous connecter à un gestionnaire de clés externe et de l'utiliser via un réseau VPC. Après sa création, une connexion EKM ne peut pas être supprimée. Les connexions EKM n'entraînent aucuns frais.

Récupérer l'ID d'une ressource

Certains appels d'API et la gcloud CLI peuvent vous obliger à faire référence à un trousseau de clés, à une clé ou à une version de clé par son ID de ressource. Il s'agit d'une chaîne représentant le nom complet de la version CryptoKeyVersion. Les ID de ressources sont hiérarchiques, comme le chemin d'accès à un système de fichiers. L'ID de ressource d'une clé contient également des informations sur le trousseau et son emplacement.

Objets	Format de l'ID de ressource
Trousseau de clés	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING`
Clé	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME`
Version de la clé	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION`
Poignée de touche	`projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE`
Connexion EKM	`projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION`
Configuration d'Autokey	`folders/FOLDER_NUMBER/autopilotConfig`

Pour en savoir plus, consultez la page Obtenir un ID de ressource Cloud KMS.

Organiser les ressources

Lorsque vous planifiez l'organisation des ressources dans votre projet Google Cloud, tenez compte de vos règles métier et de la façon dont vous comptez gérer les accès. Vous pouvez accorder l'accès à une seule clé, à toutes les clés d'un trousseau de clés ou à toutes les clés d'un projet. Les modèles d'organisation suivants sont courants :

Par environnement, tel que prod, test et develop
Par espace de travail, tel que payroll ou insurance_claims
En fonction de la sensibilité ou des caractéristiques des données, telles que unrestricted, restricted, confidential et top-secret

Cycles de vie des ressources

Les trousseaux, les clés et les versions de clé ne peuvent pas être supprimés. Cela garantit que l'identifiant de ressource d'une version de clé est unique et pointe toujours vers le matériel de clé d'origine pour cette version, sauf si celui-ci a été détruit. Vous pouvez stocker un nombre illimité de trousseaux de clés, de clés activées ou désactivées, et de versions de clés activées, désactivées ou détruites. Pour en savoir plus, consultez les pages Tarifs et Quotas.

Pour savoir comment détruire ou restaurer une version de clé, consultez la page Détruire et restaurer des versions de clé.

Une fois que vous avez planifié l'arrêt d'un projet Google Cloud, vous ne pouvez plus accéder à ses ressources, y compris aux ressources Cloud KMS, sauf si vous le récupérez en suivant la procédure de restauration d'un projet.

Étapes suivantes

Créez une clé.
En savoir plus sur les autorisations et rôles dans Cloud KMS.