Ressources Cloud KMS

Cet article décrit chaque type de ressource dans Cloud KMS. Pour en savoir plus, consultez la section Hiérarchie des ressources.

Clés

Une clé Cloud KMS est un objet nommé contenant une ou plusieurs versions de clé, ainsi que des métadonnées de clé. Une clé existe sur un seul trousseau de clés lié à un emplacement spécifique.

Vous pouvez autoriser et refuser l'accès aux clés à l'aide des autorisations et rôles IAM (Identity and Access Management). Il n'est pas possible de gérer l'accès à une version de clé.

La désactivation ou la destruction d'une clé désactive ou détruit également chaque version de clé.

Les sections suivantes décrivent les propriétés d'une clé.

Selon le contexte, les propriétés d'une clé s'affichent dans un format différent.

  • Lorsque vous utilisez Google Cloud CLI ou l'API Cloud Key Management Service, la propriété est affichée sous la forme d'une chaîne de lettres majuscules, par exemple SOFTWARE.
  • Lorsque vous utilisez la console Google Cloud, la propriété est affichée sous la forme d'une chaîne avec une majuscule initiale, comme dans Software (Logiciel).

Dans les sections ci-dessous, chaque format est affiché là où c'est nécessaire.

Type

Le type d'une clé détermine si la clé est utilisée pour des opérations de chiffrement symétriques ou asymétriques.

Dans le chiffrement symétrique, l'intégralité de la clé est requise pour chiffrer ou déchiffrer des données. Les clés symétriques ne peuvent pas être utilisées pour la signature.

En chiffrement asymétrique ou signature, la clé est constituée d'une clé publique et d'une clé privée.

  • La clé privée est considérée comme une donnée sensible, et est requise pour déchiffrer les données ou pour les signer, en fonction de l'objectif configuré de la clé.
  • La clé publique n'est pas considérée comme sensible, et est requise pour chiffrer des données ou pour valider une signature, en fonction de l'objectif configuré par la clé.

    Vous ne pouvez pas modifier le type d'une clé après sa création.

Le type d'une clé est un composant de son objectif.

Objectif

L'objectif de la clé détermine si celle-ci peut être utilisée pour le chiffrement ou pour la signature. Vous choisissez l'objectif lors de la création de la clé, et toutes les versions ont le même objectif.

Le but d'une clé symétrique est toujours le chiffrement/déchiffrement symétrique.

Le but d'une clé asymétrique est soit chiffrement/déchiffrement asymétrique, soit la signature asymétrique.

Vous ne pouvez pas modifier l'objectif d'une clé après sa création.

Version principale

Une clé possède plusieurs versions, mais une clé symétrique peut avoir au maximum une version de clé principale. Si vous ne spécifiez pas de version de clé, la version de clé primaire est utilisée pour chiffrer les données.

Les clés asymétriques ne possèdent pas de version primaire. Vous devez spécifier la version lorsque vous utilisez la clé.

Pour les clés symétriques et asymétriques, vous pouvez utiliser n'importe quelle version de clé activée pour chiffrer ou déchiffrer des données, qu'il s'agisse de la version principale ou non.

Versions de clé

Chaque version d'une clé contient le matériel de clé utilisé pour le chiffrement ou la signature. La version d'une clé est représentée par un entier, commençant à partir de 1. Pour déchiffrer des données ou valider une signature, vous devez utiliser la même version de clé que celle qui a été utilisée pour chiffrer ou signer les données. Pour rechercher et référencer l'ID de ressource d'une version de clé, consultez la section Récupérer l'ID de ressource d'une clé.

Vous pouvez désactiver ou détruire une version de clé sans affecter les autres versions. La rotation d'une clé entraîne la création d'une version. Pour en savoir plus, consultez la page Rotation des clés.

La désactivation ou la destruction d'une clé désactive ou détruit toutes les versions de cette clé. Vous pouvez désactiver de manière sélective une version de clé sans affecter les autres versions.

Il n'est pas possible de gérer l'accès à une version de clé. Accorder l'accès à une clé permet également d'accéder à toutes ses versions activées.

Pour des raisons de sécurité, aucun compte principal Google Cloud ne peut afficher, ni exporter le matériel brut de la clé de chiffrement représenté par une version de clé. À la place, Cloud KMS accède au matériel de clé pour vous.

Les sections suivantes décrivent les propriétés d'une version de clé.

État

L'state d'une version de clé correspond toujours à l'un des éléments suivants :

  • Activé
  • Désactivé
  • Destruction programmée
  • Détruite

Une version de clé ne peut être utilisée que lorsqu'elle est activée. Les versions de clé dans un état autre que la destruction entraînent des coûts.

Niveau de protection

Le niveau de protection d'une version de clé détermine l'environnement de stockage de la clé au repos. Le niveau de protection correspond à l'un des éléments suivants :

  • Logiciel (SOFTWARE dans la Google Cloud CLI et l'API Cloud Key Management Service)
  • HSM
  • Externe (EXTERNAL dans la Google Cloud CLI et l'API Cloud Key Management Service)
  • External_VPC (EXTERNAL_VPC dans la Google Cloud CLI et l'API Cloud Key Management Service)

Bien que le niveau de protection soit une propriété d'une version de clé, il ne peut pas être modifié après la création de la clé.

Algorithme

L'algorithme d'une version de clé détermine la manière dont le matériel de clé est créé et les paramètres requis pour les opérations de chiffrement. Les clés symétriques et asymétriques acceptent différents algorithmes.

Si vous ne spécifiez pas d'algorithme lors de la création d'une version de clé, c'est l'algorithme de la version précédente qui est utilisé.

Quel que soit l'algorithme, Cloud KMS utilise le chiffrement de type probabiliste, de sorte que le même texte brut chiffré deux fois avec la même version de clé ne donnera pas le même résultat chiffré.

Trousseaux de clés

Un trousseau de clés organise les clés dans un emplacement Google Cloud spécifique et vous permet de gérer le contrôle des accès sur des groupes de clés. Le nom d'un trousseau de clés ne doit pas nécessairement être unique au sein d'un projet Google Cloud, mais doit être unique dans un emplacement donné. Une fois le trousseau de clés créé, il ne peut plus être supprimé. Les trousseaux de clés n'entraînent pas de coûts de stockage.

Connexions EKM

Une connexion EKM est une ressource Cloud KMS qui organise les connexions VPC à vos EKM sur site dans un emplacement Google Cloud spécifique. Une connexion EKM vous permet de vous connecter à un gestionnaire de clés externe et d'utiliser ses clés sur un réseau VPC. Après sa création, une connexion EKM ne peut pas être supprimée. Les connexions EKM n'entraînent aucun coût de stockage.

Récupérer l'ID d'une ressource

Certains appels d'API et gcloud CLI peuvent nécessiter que vous fassiez référence à un trousseau de clés, à une clé ou à une version de clé par leur ID de ressource, qui est une chaîne représentant le nom complet de CryptoKeyVersion. Les ID de ressources sont hiérarchiques, de la même manière qu'un chemin d'accès au système de fichiers. L'ID de ressource d'une clé contient également des informations sur le trousseau de clés et l'emplacement.

Objet Format de l'ID de ressource
Trousseau de clés projects/project-id/locations/location/keyRings/keyring
Clé projects/project-id/locations/location/keyRings/keyring/cryptoKeys/key
Version de la clé projects/project-id/locations/location/keyRings/keyring/cryptoKeys/key/cryptoKeyVersions/version
Connexion EKM projects/project-id/locations/location/ekmConnections/ekmConnection

Pour en savoir plus, consultez la page Obtenir un ID de ressource Cloud KMS.

Organiser les ressources

Lorsque vous planifiez l'organisation des ressources dans votre projet Google Cloud, tenez compte de vos règles métier et de la façon dont vous comptez gérer les accès. Vous pouvez accorder l'accès à une clé unique, à toutes les clés d'un trousseau ou à toutes les clés d'un projet. Les modèles d'organisation suivants sont courants :

  • Par environnement, tel que prod, test et develop
  • Par espace de travail, tel que payroll ou insurance_claims
  • En fonction de la sensibilité ou des caractéristiques des données, telles que unrestricted, restricted, confidential et top-secret

Cycles de vie des ressources

Les trousseaux, les clés et les versions de clé ne peuvent pas être supprimés. Cela garantit que l'identifiant de ressource d'une version de clé est unique et qu'il pointe toujours vers le matériel d'origine de cette version, sauf si celle-ci a été détruite. Vous pouvez stocker un nombre illimité de trousseaux de clés, de clés activées ou désactivées, et de versions de clé activées, désactivées ou détruites. Pour en savoir plus, consultez les pages Tarifs et Quotas.

Pour savoir comment détruire ou restaurer une version de clé, consultez la page Détruire et restaurer des versions de clé.

Si vous programmez l'arrêt d'un projet Google Cloud, vous ne pourrez plus accéder à ses ressources, y compris aux ressources Cloud KMS, à moins que vous ne le récupériez en suivant les étapes de restauration d'un projet.

Étapes suivantes