Cette page a été traduite par l'API Cloud Translation.

Ressources Cloud KMS

Cette page décrit chaque type de ressource dans Cloud KMS. Pour en savoir plus, consultez la section Hiérarchie des ressources.

Clés

Une clé Cloud KMS est un objet nommé contenant une ou plusieurs versions de clé, ainsi que des métadonnées de clé. Une clé existe sur un seul trousseau de clés lié à un emplacement spécifique.

Vous pouvez autoriser et refuser l'accès aux clés à l'aide des autorisations et rôles IAM (Identity and Access Management). Vous ne pouvez pas gérer l'accès à une version de clé.

La désactivation ou la destruction d'une clé désactive ou détruit également chaque version de clé.

Les sections suivantes décrivent les propriétés d'une clé.

Selon le contexte, les propriétés d'une clé s'affichent dans un format différent.

Lorsque vous utilisez la Google Cloud CLI ou l'API Cloud Key Management Service, la propriété s'affiche sous forme d'une chaîne de lettres majuscules, telle que SOFTWARE.
Lorsque vous utilisez Google Cloud Console, la propriété est affichée sous forme de chaîne avec une majuscule à la première lettre, telle que Logiciel.

Dans les sections suivantes, chaque format est affiché là où c'est nécessaire.

Type

Le type d'une clé détermine si la clé est utilisée pour des opérations de chiffrement symétriques ou asymétriques.

Dans le chiffrement ou la signature symétriques, la même clé est utilisée pour chiffrer et déchiffrer des données, ou pour signer et valider une signature.

En chiffrement asymétrique ou signature, la clé est constituée d'une clé publique et d'une clé privée. Une clé privée avec sa clé publique correspondante est appelée paire de clés.

La clé privée est une donnée sensible, et est requise pour déchiffrer les données ou pour les signer, en fonction de l'objectif configuré de la clé.
La clé publique n'est pas considérée comme sensible, et est requise pour chiffrer des données ou pour valider une signature, en fonction de l'objectif configuré de la clé.

Le type d'une clé est un composant de son objectif et ne peut pas être modifié une fois la clé créée.

Objectif

L'objectif d'une clé indique le type d'opérations de chiffrement pour lesquelles elle peut être utilisée, par exemple Chiffrement/déchiffrement symétrique ou Signature asymétrique. Vous choisissez l'objectif lors de la création de la clé, et toutes les versions d'une clé ont le même objectif. Vous ne pouvez pas modifier l'objectif d'une clé après sa création. Pour en savoir plus sur les objectifs des clés, consultez la section Objectifs des clés.

Niveau de protection

Le niveau de protection d'une clé détermine l'environnement de stockage de la clé au repos. Le niveau de protection correspond à l'un des éléments suivants :

Logiciel (SOFTWARE dans la Google Cloud CLI et l'API Cloud Key Management Service)
HSM
Externe (EXTERNAL dans la Google Cloud CLI et l'API Cloud Key Management Service)
External_VPC (EXTERNAL_VPC dans la Google Cloud CLI et l'API Cloud Key Management Service)

Vous ne pouvez pas modifier le niveau de protection d'une clé après sa création.

Version principale

Les clés peuvent avoir plusieurs versions de clé actives et activées en même temps. Les clés de chiffrement symétrique ont une version de clé principale, qui est la version de clé utilisée par défaut pour chiffrer les données si vous ne spécifiez pas de version de clé.

Les clés asymétriques ne possèdent pas de version principale. Vous devez spécifier la version lorsque vous utilisez la clé.

Pour les clés symétriques et asymétriques, vous pouvez utiliser n'importe quelle version de clé activée pour chiffrer et déchiffrer des données, ou pour signer et valider des signatures.

Versions de clé

Chaque version d'une clé contient le matériel de clé utilisé pour le chiffrement ou la signature. Chaque version se voit attribuer un numéro de version, à partir de 1. La rotation d'une clé crée une autre version de la clé. Pour en savoir plus, consultez la page Rotation des clés.

Pour déchiffrer des données ou valider une signature, vous devez utiliser la même version de clé que celle qui a été utilisée pour chiffrer ou signer les données. Pour trouver l'ID de ressource d'une version de clé, consultez la section Récupérer l'ID de ressource d'une clé.

Vous pouvez désactiver ou détruire des versions de clé individuelles sans affecter les autres versions. Vous pouvez également désactiver ou détruire toutes les versions de clé pour une clé donnée.

Vous ne pouvez pas contrôler l'accès aux versions de clé indépendamment des autorisations en vigueur pour la clé. Accorder l'accès à une clé permet d'accéder à toutes ses versions activées.

Pour des raisons de sécurité, aucun compte principal Google Cloud ne peut afficher, ni exporter le matériel brut de la clé de chiffrement représenté par une version de clé. À la place, Cloud KMS accède au matériel de clé pour vous.

Les sections suivantes décrivent les propriétés d'une version de clé.

État

Chaque version de clé est associée à un état qui indique son état. En général, l'état d'une clé est l'un des suivants:

Activé
Désactivée
Destruction programmée
Détruite

Une version de clé ne peut être utilisée que lorsqu'elle est activée. Les versions de clé dans un état autre que "Détruite" entraînent des coûts. Pour en savoir plus sur les états des versions de clé et sur la façon dont les versions peuvent passer de l'un à l'autre, consultez la section États des versions de clé.

Algorithm

L'algorithme d'une version de clé détermine la manière dont le matériel de clé est créé et les paramètres requis pour les opérations de chiffrement. Les clés symétriques et asymétriques utilisent différents algorithmes. Le chiffrement et la signature utilisent différents algorithmes.

Si vous ne spécifiez pas d'algorithme lors de la création d'une version de clé, c'est l'algorithme de la version précédente qui est utilisé.

Quel que soit l'algorithme, Cloud KMS utilise le chiffrement de type probabiliste, de sorte que le même texte brut chiffré deux fois avec la même version de clé ne donnera pas le même résultat chiffré.

Trousseaux de clés

Un trousseau de clés organise les clés dans un emplacement Google Cloud spécifique et vous permet de gérer le contrôle des accès sur des groupes de clés. Le nom d'un trousseau de clés ne doit pas nécessairement être unique au sein d'un projet Google Cloud, mais doit être unique dans un emplacement donné. Une fois le trousseau de clés créé, il ne peut plus être supprimé. Les trousseaux de clés n'entraînent aucun coût.

Identifiants de clé

Un handle de clé est une ressource Cloud KMS qui vous aide à assurer la séparation des tâches de manière sécurisée pour créer des clés Cloud KMS pour CMEK à l'aide d'Autokey. La création d'un handle de clé dans un projet de ressources déclenche la création d'une clé Cloud KMS dans le projet de clé pour la configuration CMEK à la demande.

Un handle de clé contient une référence à la clé Cloud KMS créée. Vous pouvez récupérer l'ID de ressource Cloud KMS d'une clé créée par Autokey à partir du conteneur de clé. Les outils Infrastructure as Code tels que Terraform peuvent fonctionner avec des poignées de clé pour gérer les ressources protégées par CMEK sans droits élevés.

Les poignées de clé ne sont pas visibles dans la console Google Cloud, mais pour utiliser Autokey avec l'API REST ou Terraform, vous devez utiliser des poignées de clé. Pour en savoir plus sur l'utilisation des poignées de clé, consultez Créer des ressources protégées à l'aide de Cloud KMS Autokey.

Configurations Autokey

Une configuration Autokey est une ressource au niveau du dossier qui définit si Autokey est activé pour le dossier. La configuration Autokey définit également le projet de clés utilisé pour les clés créées par Cloud KMS Autokey afin de protéger les ressources de ce dossier. Lorsque vous activez Autokey, vous créez ou mettez à jour une configuration Autokey dans le dossier de ressources. Pour en savoir plus sur l'utilisation des configurations Autokey, consultez Activer Cloud KMS Autokey.

Connexions EKM

Une connexion EKM est une ressource Cloud KMS qui organise les connexions VPC à vos EKM sur site dans un emplacement Google Cloud spécifique. Une connexion EKM vous permet de vous connecter à un gestionnaire de clés externe et d'utiliser les clés qu'il héberge via un réseau VPC. Une fois créée, une connexion EKM ne peut plus être supprimée. Les connexions EKM ne génèrent aucun coût.

Récupérer l'ID d'une ressource

Certains appels d'API et gcloud CLI peuvent nécessiter que vous fassiez référence à un trousseau, une clé ou une version de clé à l'aide de son ID de ressource, qui est une chaîne représentant le nom complet CryptoKeyVersion. Les ID de ressources sont hiérarchiques, de la même manière qu'un chemin d'accès au système de fichiers. L'ID de ressource d'une clé contient également des informations sur le trousseau de clés et l'emplacement.

Objet	Format de l'ID de ressource
Trousseau de clés	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING`
Clé	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME`
Version de la clé	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION`
Poignée de clé	`projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE`
Connexion EKM	`projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION`
Configuration d'Autokey	`folders/FOLDER_NUMBER/autopilotConfig`

Pour en savoir plus, consultez la page Obtenir un ID de ressource Cloud KMS.

Organiser les ressources

Lorsque vous planifiez l'organisation des ressources dans votre projet Google Cloud, tenez compte de vos règles métier et de la façon dont vous comptez gérer les accès. Vous pouvez accorder l'accès à une clé unique, à toutes les clés d'un trousseau ou à toutes les clés d'un projet. Les modèles d'organisation suivants sont courants :

Par environnement, tel que prod, test et develop
Par espace de travail, tel que payroll ou insurance_claims
En fonction de la sensibilité ou des caractéristiques des données, telles que unrestricted, restricted, confidential et top-secret

Cycles de vie des ressources

Les trousseaux, les clés et les versions de clé ne peuvent pas être supprimés. Cela garantit que l'identifiant de ressource d'une version de clé est unique et pointe toujours vers le matériel de clé d'origine pour cette version de clé, sauf s'il a été détruit. Vous pouvez stocker un nombre illimité de trousseaux de clés, de clés activées ou désactivées, et de versions de clés activées, désactivées ou détruites. Pour en savoir plus, consultez les sections Tarifs et Quotas.

Pour savoir comment détruire ou restaurer une version de clé, consultez la page Détruire et restaurer des versions de clé.

Une fois que vous avez programmé l'arrêt d'un projet Google Cloud, vous ne pouvez plus accéder à ses ressources, y compris aux ressources Cloud KMS, à moins que vous ne le récupériez en suivant les étapes de restauration d'un projet.

Étape suivante

Créez une clé.
En savoir plus sur les autorisations et rôles dans Cloud KMS.