Cette page a été traduite par l'API Cloud Translation.

Ressources Cloud KMS

Cette page décrit chaque type de ressource dans Cloud KMS. Pour en savoir plus, consultez la section Hiérarchie des ressources.

Clés

Une clé Cloud KMS est un objet nommé contenant une ou plusieurs clés versions, ainsi que les métadonnées de la clé. Une clé existe sur un seul trousseau de clés lié à un emplacement spécifique.

Vous pouvez autoriser et refuser l'accès aux clés à l'aide des autorisations et rôles IAM (Identity and Access Management). Vous ne pouvez pas gérer l'accès à une clé version.

La désactivation ou la destruction d'une clé désactive ou détruit également chaque version de clé.

Les sections suivantes décrivent les propriétés d'une clé.

Selon le contexte, les propriétés d'une clé s'affichent dans un format différent.

Lorsque vous utilisez la Google Cloud CLI ou l'API Cloud Key Management Service, la propriété est affichée sous forme de chaîne de lettres majuscules (SOFTWARE, par exemple).
Lorsque vous utilisez la console Google Cloud, la propriété s'affiche sous la forme d'une chaîne avec Majuscules initiales, comme Software (Logiciel).

Dans les sections suivantes, chaque format est présenté le cas échéant.

Type

Le type d'une clé détermine si la clé est utilisée pour des opérations de chiffrement symétriques ou asymétriques.

Dans le chiffrement ou la signature symétrique, la même clé est utilisée pour chiffrer et déchiffrer données ou signer et valider une signature.

Dans le cas d’un chiffrement ou d’une signature asymétrique, la clé se compose d’une clé publique et d’un clé privée. Une clé privée et la clé publique correspondante s'appelle une clé d'appairage.

La clé privée est une donnée sensible requise pour déchiffrer des données. en fonction de l'objectif configuré de la clé.
La clé publique n'est pas considérée comme sensible et est requise pour chiffrer les données ou pour vérifier une signature, selon l'objectif configuré de la clé.

Le type d'une clé est un composant de son objectif et ne peut pas être modifié après la clé est créée.

Objectif

L'objectif d'une clé indique le type d'opérations cryptographiques dont elle peut être utilisé, par exemple, Chiffrement/Déchiffrement symétrique ou Asymétrique signature. Vous choisissez l'objectif lors de la création de la clé, ainsi que toutes les versions clé ont le même objectif. L'objectif d'une clé ne peut plus être modifié une fois qu'elle est créé. Pour en savoir plus sur les objectifs des clés, consultez Objectifs des clés :

Niveau de protection

Le niveau de protection d'une clé détermine son environnement de stockage reste. Le niveau de protection correspond à l'un des éléments suivants :

Logiciel (SOFTWARE dans la Google Cloud CLI et l'API Cloud Key Management Service)
HSM
Externe (EXTERNAL dans la Google Cloud CLI et l'API Cloud Key Management Service)
VPC externe (EXTERNAL_VPC dans la Google Cloud CLI et l'API Cloud Key Management Service)

Le niveau de protection d'une clé ne peut plus être modifié une fois la clé créée.

Version principale

Une clé peut avoir plusieurs versions de clé actives et activées en même temps en temps réel. Les clés de chiffrement symétriques possèdent une version de clé primaire, à savoir utilisée par défaut pour chiffrer les données si vous ne spécifiez pas de version de clé.

Les clés asymétriques n'ont pas de version principale. vous devez spécifier la version à l'aide de la clé.

Pour les clés symétriques et asymétriques, vous pouvez utiliser n'importe quelle version de clé activée pour : chiffrer et déchiffrer des données ou pour signer et valider des signatures.

Versions de clé

Chaque version d'une clé contient le matériel de clé utilisé pour le chiffrement ou la signature. Chaque version se voit attribuer un numéro commençant par 1. La rotation d'une clé crée nouvelle version de clé. Pour en savoir plus sur la rotation clés.

Pour déchiffrer des données ou valider une signature, vous devez utiliser la même version de clé que celle utilisée a été utilisé pour chiffrer ou signer les données. Pour trouver l'ID de ressource d'une version de clé, consultez Récupérer l'ID de ressource d'une clé

Vous pouvez désactiver ou détruire des versions de clé individuelles sans affecter les autres versions. Vous pouvez également désactiver ou détruire toutes les versions d'une clé donnée.

Vous ne pouvez pas contrôler l'accès aux versions de clé indépendamment des autorisations accordées dans sur la clé. Le fait d'accorder l'accès à une clé donne accès à toutes ses compatibles.

Pour des raisons de sécurité, aucun compte principal Google Cloud ne peut afficher, ni exporter le matériel brut de la clé de chiffrement représenté par une version de clé. À la place, Cloud KMS accède au matériel de clé pour vous.

Les sections suivantes décrivent les propriétés d'une version de clé.

État

Chaque version de clé est associée à un état qui vous indique son état. En général, un de la clé peut être l'un des suivants:

Activé
Désactivée
Destruction programmée
Détruite

Une version de clé ne peut être utilisée que lorsqu'elle est activée. Versions de clé dans n'importe quel état autres que la destruction entraînent des coûts. Pour en savoir plus sur les clés les états des versions et la manière dont elles peuvent passer de l'un à l'autre, consultez la section Version de clé de sortie.

Algorithm

L'algorithme d'une version de clé détermine la façon dont le matériel de clé est créé et requis pour les opérations de chiffrement. Clés symétriques et asymétriques utilisent des algorithmes différents. Le chiffrement et la signature utilisent des algorithmes différents.

Si vous ne spécifiez pas d'algorithme lors de la création d'une nouvelle version de clé, l'algorithme de la version précédente est utilisée.

Quel que soit l'algorithme, Cloud KMS utilise un chiffrement probabiliste, afin que le même texte en clair chiffré deux fois avec la même version de clé ne renvoyer le même texte chiffré.

Trousseaux de clés

Un trousseau organise les clés dans un environnement Google Cloud spécifique location et vous permet de gérer le contrôle des accès à des groupes de clés. Un trousseau de clés n'a pas besoin d'être unique au sein d'un projet Google Cloud, mais doit être uniques dans une zone géographique donnée. Une fois créé, un trousseau de clés ne peut pas être supprimé. Les trousseaux de clés n'entraînent aucuns frais.

Poignées de touches

Un gestionnaire de clé est une ressource Cloud KMS qui vous aide à couvrir en toute sécurité séparation des tâches afin de créer des clés Cloud KMS pour les CMEK Autokey. La création d'un gestionnaire de clés dans un projet de ressources déclenche la création d'une clé Cloud KMS dans le projet de clé pour les CMEK à la demande ; setup.

Un gestionnaire de clé contient une référence à la clé Cloud KMS qui a été créé. Vous pouvez récupérer l'ID de ressource Cloud KMS d'une clé créée par Autokey depuis le gestionnaire de touches. Les outils de type Infrastructure as Code Terraform peut utiliser des poignées de clés pour gérer les ressources protégées par CMEK avec des droits élevés.

Les identifiants de clé ne sont pas visibles dans la console Google Cloud, mais ils permettent d'utiliser Autokey. avec l'API REST ou Terraform, vous devez utiliser des gestionnaires de clés. Pour plus sur l'utilisation des poignées de clé, consultez la section Créer des ressources protégées à l'aide de Cloud KMS Autokey

Configurations Autokey

Une configuration Autokey est une ressource au niveau du dossier qui définit Autokey est activé pour le dossier. La configuration d'Autokey définit le projet de clé utilisé pour les clés créées par Cloud KMS Autokey pour protéger les ressources de ce dossier. Lorsque vous activez Autokey, vous créez ou mettre à jour une configuration Autokey sur le dossier de ressources. Pour plus sur l'utilisation des configurations Autokey, consultez la section Activer Cloud KMS Autokey

Connexions EKM

Une connexion EKM est une ressource Cloud KMS qui organise des connexions VPC à vos EKM sur site dans un Emplacement Google Cloud. Une connexion EKM vous permet de vous connecter et d’utiliser d'un gestionnaire de clés externe via un réseau VPC. Après création, la connexion EKM ne peut pas être supprimée. Les connexions EKM n'engendrent pas tous les coûts.

Récupérer l'ID d'une ressource

Certains appels d'API et la gcloud CLI peuvent vous obliger à faire référence à une clé l'anneau, la clé ou la version de clé par son ID de ressource, qui est une chaîne représentant le nom complet de la version CryptoKeyVersion. Les ID de ressource sont hiérarchiques, à un chemin de système de fichiers. L'ID de ressource d'une clé contient également des informations sur le le trousseau de clés et son emplacement.

Objet	Format de l'ID de ressource
Trousseau de clés	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING`
Clé	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME`
Version de la clé	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION`
Poignée de touche	`projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE`
Connexion EKM	`projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION`
Configuration d'Autokey	`folders/FOLDER_NUMBER/autopilotConfig`

Pour en savoir plus, consultez la page Obtenir un ID de ressource Cloud KMS.

Organiser les ressources

Lorsque vous planifiez l'organisation des ressources dans votre projet Google Cloud, tenez compte de vos règles métier et de la façon dont vous comptez gérer les accès. Vous pouvez accorder l'accès à une seule clé, à toutes les clés d'un trousseau de clés ou à toutes les clés d'un projet. Les modèles d'organisation suivants sont courants :

Par environnement, tel que prod, test et develop
Par espace de travail, tel que payroll ou insurance_claims
En fonction de la sensibilité ou des caractéristiques des données, telles que unrestricted, restricted, confidential et top-secret

Cycles de vie des ressources

Les trousseaux, les clés et les versions de clé ne peuvent pas être supprimés. Cela permet de s'assurer identifiant de ressource d'un la version de clé est unique et pointe toujours vers le matériel de clé d'origine pour cette version, sauf si a été détruite. Vous pouvez stocker un nombre illimité de trousseaux de clés, ainsi que de clés activées ou désactivées, et des versions de clé activées, désactivées ou détruites. Pour en savoir plus, consultez Tarifs et Quotas.

Pour savoir comment détruire ou restaurer une version de clé, consultez la section Détruire et restaurer versions de clé.

Une fois que vous avez planifié l'arrêt d'un projet Google Cloud, vous ne pouvez pas accéder aux ressources du projet, y compris à Cloud KMS ressources, sauf si vous récupérez le projet en suivant la procédure permettant de restaurer projet.

Étape suivante

Créez une clé.
En savoir plus sur les autorisations et rôles dans Cloud KMS.