Utiliser des clés Cloud KMS dans Google Cloud

Cette page explique comment utiliser des clés de chiffrement gérées par le client Cloud KMS dans d'autres services Google Cloud pour sécuriser vos ressources. Pour en savoir plus, consultez Clés de chiffrement gérées par le client (CMEK).

Lorsqu'un service est compatible avec les CMEK, il est dit que ce service dispose d'une intégration de CMEK. Certains services, tels que GKE, possèdent plusieurs intégrations de CMEK permettant de protéger différents types de données liées au service. Pour obtenir la liste des services avec intégrations de CMEK, consultez la section Activer CMEK pour les services compatibles sur cette page.

Avant de commencer

Avant de pouvoir utiliser des clés Cloud KMS dans d'autres services Google Cloud, vous devez disposer d'une ressource de projet contenant vos clés Cloud KMS. Nous vous recommandons d'utiliser un projet distinct pour vos ressources Cloud KMS qui ne contient aucune autre ressource Google Cloud.

Intégrations de CMEK

Préparer l'activation de l'intégration CMEK

Pour connaître la procédure exacte d'activation des CMEK, consultez la documentation sur le service Google Cloud concerné. Vous trouverez un lien vers la documentation CMEK pour chaque service dans Activer CMEK pour les services compatibles sur cette page. Pour chaque service, vous devrez suivre des étapes semblables à celles-ci:

  1. Créez un trousseau de clés ou sélectionnez-en un existant. Le trousseau de clés doit se trouver aussi près que possible, géographiquement, des ressources que vous souhaitez sécuriser.

  2. Dans le trousseau de clés sélectionné, créez une clé ou sélectionnez une clé existante. Assurez-vous que le niveau de protection, l'objectif et l'algorithme de la clé sont adaptés aux ressources que vous souhaitez protéger. Il s'agit de la clé CMEK.

  3. Obtenez l'ID de ressource de la clé CMEK. Vous en aurez besoin ultérieurement.

  4. Accordez le rôle IAM de chiffreur/déchiffreur de clés cryptographiques (roles/cloudkms.cryptoKeyEncrypterDecrypter) sur la clé CMEK au compte de service pour le service.

Une fois la clé créée et les autorisations requises attribuées, vous pouvez créer ou configurer un service pour utiliser votre clé CMEK.

Utiliser des clés Cloud KMS avec des services intégrant CMEK

Les étapes suivantes utilisent Secret Manager comme exemple. Pour connaître la procédure exacte à suivre pour utiliser une clé CMEK Cloud KMS dans un service donné, recherchez ce service dans la liste des services intégrés à CMEK.

Dans Secret Manager, vous pouvez utiliser une clé CMEK pour protéger les données au repos.

  1. Dans la console Google Cloud, accédez à la page Secret Manager.

    Accéder à Secret Manager

  2. Pour créer un secret, cliquez sur Créer un secret.

  3. Dans la section Chiffrement, sélectionnez Utiliser une clé de chiffrement gérée par le client (CMEK).

  4. Dans la zone Clé de chiffrement, procédez comme suit:

    1. Facultatif: Pour utiliser une clé dans un autre projet, procédez comme suit:

      1. Cliquez sur Changer de projet.
      2. Saisissez tout ou partie du nom du projet dans la barre de recherche, puis sélectionnez-le.
      3. Pour afficher les clés disponibles pour le projet sélectionné, cliquez sur Sélectionner.
    2. Facultatif: Pour filtrer les clés disponibles par emplacement, trousseau de clés, nom ou niveau de protection, saisissez des termes de recherche dans la barre de filtre .

    3. Sélectionnez une clé dans la liste des clés disponibles dans le projet sélectionné. Vous pouvez utiliser les informations sur l'emplacement, le trousseau de clés et le niveau de protection affichés pour vous assurer de choisir la bonne clé.

    4. Si la clé que vous souhaitez utiliser ne s'affiche pas dans la liste, cliquez sur Saisir la clé manuellement, puis saisissez son ID de ressource.

  5. Terminez de configurer votre secret, puis cliquez sur Créer un secret. Secret Manager crée le secret et le chiffre à l'aide de la clé CMEK spécifiée.

Activer CMEK pour les services compatibles

Pour activer CMEK, recherchez d'abord le service souhaité dans le tableau suivant. Vous pouvez saisir des termes de recherche dans le champ pour filtrer le tableau. Tous les services de cette liste sont compatibles avec les clés logicielles et matérielles (HSM). Les produits qui s'intègrent à Cloud KMS lorsque vous utilisez des clés externes Cloud EKM sont indiqués dans la colonne EKM compatible.

Suivez les instructions pour chaque service pour lequel vous souhaitez activer les clés CMEK.

Service Protégé par les CMEK Prise en charge d'EKM Thème
Agent Assist Données au repos Oui Clés de chiffrement gérées par le client (CMEK)
AI Platform Training Données sur les disques de VM Non Utiliser les clés de chiffrement gérées par le client
AlloyDB pour PostgreSQL Données écrites dans des bases de données Oui Utiliser les clés de chiffrement gérées par le client
Anti Money Laundering AI Données dans les ressources d'instance d'IA AML Non Chiffrer des données à l'aide de clés de chiffrement gérées par le client (CMEK)
Apigee Données au repos Non Présentation de CMEK
Hub d'API Apigee Données au repos Oui Chiffrement
Application Integration Données écrites dans des bases de données pour l'intégration d'applications Non Utiliser les clés de chiffrement gérées par le client
Artifact Registry Données dans les dépôts Oui Activer les clés de chiffrement gérées par le client
Sauvegarde pour GKE Données dans Sauvegarde pour GKE Oui À propos du chiffrement CMEK dans la Sauvegarde pour GKE
BigQuery Données dans BigQuery Oui Protéger des données avec des clés Cloud KMS
Bigtable Données au repos Oui Clés de chiffrement gérées par le client (CMEK)
Cloud Composer Données d'environnement Oui Utiliser les clés de chiffrement gérées par le client
Cloud Data Fusion Données d'environnement Oui Utiliser les clés de chiffrement gérées par le client
API Cloud Healthcare Ensembles de données de l'API Cloud Healthcare Oui Utiliser des clés de chiffrement gérées par le client (CMEK)
Cloud Logging Données dans le routeur de journaux Oui Gérer les clés qui protègent les données du routeur de journaux
Cloud Logging Données dans le stockage Logging Oui Gérer les clés qui protègent les données de stockage de journalisation
Cloud Run Image du conteneur Oui Utiliser des clés de chiffrement gérées par le client avec Cloud Run
Fonctions Cloud Run Données dans les fonctions Cloud Run Oui Utiliser les clés de chiffrement gérées par le client
Cloud SQL Données écrites dans des bases de données Oui Utiliser les clés de chiffrement gérées par le client
Cloud Storage Données dans les buckets de stockage Oui Utiliser les clés de chiffrement gérées par le client
Cloud Tasks Corps et en-tête de la tâche au repos Oui Utiliser les clés de chiffrement gérées par le client
Cloud Workstations Données sur les disques de VM Oui Chiffrer les ressources de la station de travail
Colab Enterprise Environnements d'exécution et fichiers notebook Non Utiliser les clés de chiffrement gérées par le client
Compute Engine Disques persistants Oui Protéger des ressources avec des clés Cloud KMS
Compute Engine Instantanés Oui Protéger des ressources avec des clés Cloud KMS
Compute Engine Images personnalisées Oui Protéger des ressources avec des clés Cloud KMS
Compute Engine Images système Oui Protéger des ressources avec des clés Cloud KMS
Conversational Insights Données au repos Oui Clés de chiffrement gérées par le client (CMEK)
Migrations homogènes Database Migration Service Migrations MySQL : données écrites dans des bases de données Oui Utiliser des clés de chiffrement gérées par le client (CMEK)
Migrations homogènes Database Migration Service Migrations PostgreSQL : données écrites dans les bases de données Oui Utiliser des clés de chiffrement gérées par le client (CMEK)
Migrations homogènes de Database Migration Service Migrations de PostgreSQL vers AlloyDB : données écrites dans les bases de données Oui À propos de CMEK
Migrations hétérogènes de Database Migration Service Données au repos d'Oracle vers PostgreSQL Oui Utiliser des clés de chiffrement gérées par le client (CMEK) pour les migrations continues
Dataflow Données d'état du pipeline Oui Utiliser les clés de chiffrement gérées par le client
Dataform Données dans les dépôts Oui Utiliser les clés de chiffrement gérées par le client
Dataproc Données des clusters Dataproc sur les disques de VM Oui Clés de chiffrement gérées par le client
Dataproc Données Dataproc sans serveur sur les disques de VM Oui Clés de chiffrement gérées par le client
Dataproc Metastore Données au repos Oui Utiliser les clés de chiffrement gérées par le client
Datastream Données en transit Non Utiliser des clés de chiffrement gérées par le client (CMEK)
Dialogflow CX Données au repos Oui Clés de chiffrement gérées par le client (CMEK)
Document AI Données au repos et données utilisées Oui Clés de chiffrement gérées par le client (CMEK)
Eventarc Advanced (bêta) Données au repos Non Utiliser des clés de chiffrement gérées par le client (CMEK)
Eventarc Standard Données au repos Oui Utiliser des clés de chiffrement gérées par le client (CMEK)
Filestore Données au repos Oui Chiffrer des données avec des clés de chiffrement gérées par le client
Firestore Données au repos Oui Utiliser des clés de chiffrement gérées par le client (CMEK)
Google Cloud Managed Service pour Apache Kafka Données associées aux sujets Oui Configurer le chiffrement des messages
Google Cloud NetApp Volumes Données au repos Non Créer une stratégie CMEK
Cloud distribué de Google Données sur les nœuds Edge Oui Sécurité du stockage local
Google Kubernetes Engine Données sur les disques de VM Oui Utiliser des clés de chiffrement gérées par le client (CMEK)
Google Kubernetes Engine Secrets au niveau de la couche application Oui Chiffrement des secrets au niveau de la couche d'application
Looker (Google Cloud Core) Données au repos Oui Activer CMEK pour Looker (Google Cloud Core)
Memorystore pour Redis Données au repos Oui Clés de chiffrement gérées par le client (CMEK)
Migrate to Virtual Machines Données migrées depuis des sources de VM VMware, AWS et Azure Oui Utiliser des CMEK pour chiffrer les données stockées lors d'une migration
Migrate to Virtual Machines Données migrées à partir de sources d'images de disque et de machine Oui Utiliser des CMEK pour chiffrer les données sur des disques et des images système cibles
Pub/Sub Données associées aux sujets Oui Configurer le chiffrement des messages
Secret Manager Charges utiles des secrets Oui Activer les clés de chiffrement gérées par le client pour Secret Manager
Secure Source Manager Instances Oui Chiffrer des données avec des clés de chiffrement gérées par le client
Spanner Données au repos Oui Clés de chiffrement gérées par le client (CMEK)
Speaker ID (disponibilité générale restreinte) Données au repos Oui Utiliser des clés de chiffrement gérées par le client
Speech-to-Text Données au repos Oui Utiliser les clés de chiffrement gérées par le client
Vertex AI Données associées aux ressources Oui Utiliser les clés de chiffrement gérées par le client
Vertex AI Agent Builder Données au repos Non Clés de chiffrement gérées par le client
Notebooks gérés par Vertex AI Workbench Données utilisateur au repos Non Clés de chiffrement gérées par le client
Notebooks Vertex AI Workbench gérés par l'utilisateur Données sur les disques de VM Non Clés de chiffrement gérées par le client
Instances Vertex AI Workbench Données sur les disques de VM Oui Clés de chiffrement gérées par le client
Workflows Données au repos Oui Utiliser des clés de chiffrement gérées par le client (CMEK)