Cette page explique comment utiliser des clés de chiffrement gérées par le client Cloud KMS dans d'autres services Google Cloud pour sécuriser vos ressources. Pour en savoir plus, consultez la page Clés de chiffrement gérées par le client (CMEK).
Lorsqu'un service est compatible avec les CMEK, il est censé avoir une intégration CMEK. Certains services, tels que GKE, possèdent plusieurs intégrations de CMEK permettant de protéger différents types de données liées au service. Pour obtenir la liste des services avec des intégrations CMEK, consultez Activer les CMEK pour les services compatibles sur cette page.
Avant de commencer
Avant de pouvoir utiliser des clés Cloud KMS dans d'autres services Google Cloud, vous devez disposer d'une ressource de projet qui contiendra vos clés Cloud KMS. Nous vous recommandons d'utiliser un projet distinct pour vos ressources Cloud KMS, qui ne contient aucune autre ressource Google Cloud.
Intégrations de CMEK
Se préparer à activer l'intégration CMEK
Pour connaître la procédure exacte d'activation des CMEK, consultez la documentation sur le service Google Cloud concerné. Vous trouverez un lien vers la documentation sur les CMEK pour chaque service dans la section Activer les CMEK pour les services compatibles de cette page. Pour chaque service, vous pouvez vous attendre à suivre une procédure semblable à celle-ci:
Créez un trousseau de clés ou sélectionnez-en un existant. Le trousseau de clés doit être situé le plus près possible des ressources à sécuriser.
Dans le trousseau de clés sélectionné, créez une clé ou sélectionnez une clé existante. Assurez-vous que le niveau de protection, l'objectif et l'algorithme de la clé sont adaptés aux ressources que vous souhaitez protéger. Il s'agit de la clé CMEK.
Obtenez l'ID de ressource de la clé CMEK. Vous aurez besoin de cet ID de ressource ultérieurement.
Attribuez au compte de service le rôle IAM CryptoKey Encrypter/Decrypter (
roles/cloudkms.cryptoKeyEncrypterDecrypter) sur la clé CMEK.
Après avoir créé la clé et attribué les autorisations requises, vous pouvez créer ou configurer un service pour utiliser votre clé CMEK.
Utiliser des clés Cloud KMS avec des services intégrés à CMEK
Les étapes suivantes utilisent Secret Manager à titre d'exemple. Pour connaître la procédure exacte d'utilisation d'une clé CMEK Cloud KMS dans un service donné, localisez ce service dans la liste des services intégrés à CMEK.
Dans Secret Manager, vous pouvez utiliser une clé CMEK pour protéger les données au repos.
Dans la console Google Cloud, accédez à la page Secret Manager.
Pour créer un secret, cliquez sur Créer un secret.
Dans la section Chiffrement, sélectionnez Utiliser une clé de chiffrement gérée par le client (CMEK).
Dans la zone Clé de chiffrement, effectuez les opérations suivantes:
Facultatif: Pour utiliser une clé dans un autre projet, procédez comme suit:
- Cliquez sur Switch project (Changer de projet).
- Saisissez tout ou partie du nom du projet dans la barre de recherche, puis sélectionnez le projet.
- Pour afficher les clés disponibles pour le projet sélectionné, cliquez sur Sélectionner.
Facultatif: Pour filtrer les clés disponibles par emplacement, trousseau de clés, nom ou niveau de protection, saisissez les termes de recherche dans la barre de filtre .
Sélectionnez une clé dans la liste des clés disponibles dans le projet sélectionné. Vous pouvez utiliser les informations affichées sur l'emplacement, le trousseau de clés et le niveau de protection pour vous assurer de choisir la bonne clé.
Si la clé que vous souhaitez utiliser ne figure pas dans la liste, cliquez sur Saisir la clé manuellement, puis saisissez l'ID de ressource de la clé.
Terminez la configuration de votre secret, puis cliquez sur Créer un secret. Secret Manager crée le secret et le chiffre à l'aide de la clé CMEK spécifiée.
Activer les CMEK pour les services compatibles
Pour activer les CMEK, localisez d'abord le service souhaité dans le tableau suivant. Vous pouvez saisir des termes de recherche dans le champ pour filtrer le tableau. Tous les services de cette liste sont compatibles avec les clés logicielles et matérielles (HSM). Les produits qui s'intègrent à Cloud KMS lors de l'utilisation de clés Cloud EKM externes sont indiqués dans la colonne EKM supported (Compatibilité EKM).
Suivez les instructions pour chaque service pour lequel vous souhaitez activer les clés CMEK.
| Service | Protégé par les CMEK | Compatibilité avec EKM | Sujet |
|---|---|---|---|
| AI Platform Training | Données sur les disques de VM | Non | Utiliser les clés de chiffrement gérées par le client |
| AlloyDB pour PostgreSQL | Données écrites dans des bases de données | Oui | Utiliser les clés de chiffrement gérées par le client |
| Anti Money Laundering AI | Données dans les ressources d'instances d'AML basée sur l'IA | Non | Chiffrer des données à l'aide de clés de chiffrement gérées par le client (CMEK) |
| Application Integration | Données écrites dans les bases de données pour l'intégration d'applications | Non | Utiliser les clés de chiffrement gérées par le client |
| Artifact Registry | Données dans les dépôts | Oui | Activer les clés de chiffrement gérées par le client |
| Sauvegarde pour GKE | Données stockées dans la sauvegarde pour GKE | Oui | À propos du chiffrement CMEK du service Sauvegarde pour GKE |
| BigQuery | Données dans BigQuery | Oui | Protéger des données avec des clés Cloud KMS |
| Bigtable | Données au repos | Oui | Clés de chiffrement gérées par le client (CMEK) |
| Cloud Composer | Données d'environnement | Oui | Utiliser les clés de chiffrement gérées par le client |
| Cloud Data Fusion | Données d'environnement | Oui | Utiliser les clés de chiffrement gérées par le client |
| Cloud Functions | Données dans Cloud Functions | Oui | Utiliser les clés de chiffrement gérées par le client |
| Cloud Logging | Données du routeur de journaux | Oui | Gérer les clés qui protègent les données du routeur de journaux |
| Cloud Logging | Données stockées dans Logging | Oui | Gérer les clés qui protègent les données de stockage Logging |
| Cloud Run | Image de conteneur | Oui | Utiliser des clés de chiffrement gérées par le client avec Cloud Run |
| Cloud SQL | Données écrites dans des bases de données | Oui | Utiliser les clés de chiffrement gérées par le client |
| Cloud Storage | Données dans les buckets de stockage | Oui | Utiliser les clés de chiffrement gérées par le client |
| Cloud Tasks | Corps et en-tête de la tâche au repos | Oui | Utiliser les clés de chiffrement gérées par le client |
| Cloud Workstations | Données sur les disques de VM | Oui | Chiffrer les ressources de station de travail |
| Compute Engine | Disques persistants | Oui | Protéger des ressources avec des clés Cloud KMS |
| Compute Engine | Instantanés | Oui | Protéger des ressources avec des clés Cloud KMS |
| Compute Engine | Images personnalisées | Oui | Protéger des ressources avec des clés Cloud KMS |
| Compute Engine | Images système | Oui | Protéger des ressources avec des clés Cloud KMS |
| Contact Center AI Insights | Données au repos | Oui | Clés de chiffrement gérées par le client (CMEK) |
| Migrations homogènes de Database Migration Service | Migrations MySQL : données écrites dans des bases de données | Oui | Utiliser des clés de chiffrement gérées par le client (CMEK) |
| Migrations homogènes de Database Migration Service | Migrations PostgreSQL : données écrites dans des bases de données | Oui | Utiliser des clés de chiffrement gérées par le client (CMEK) |
| Migrations homogènes de Database Migration Service | Migrations de PostgreSQL vers AlloyDB : données écrites dans les bases de données | Oui | À propos des CMEK |
| Migrations hétérogènes de Database Migration Service | Données au repos Oracle vers PostgreSQL | Oui | Utiliser des clés de chiffrement gérées par le client (CMEK) pour les migrations continues |
| Dataflow | Données d'état du pipeline | Oui | Utiliser les clés de chiffrement gérées par le client |
| Dataform (Preview) | Données dans les dépôts | Non | Utiliser les clés de chiffrement gérées par le client |
| Dataproc | Données des clusters Dataproc sur les disques de VM | Oui | Clés de chiffrement gérées par le client |
| Dataproc | Données Dataproc sans serveur sur les disques de VM | Oui | Clés de chiffrement gérées par le client |
| Dataproc Metastore | Données au repos | Oui | Utiliser les clés de chiffrement gérées par le client |
| Datastream | Données en transit | Non | Utiliser des clés de chiffrement gérées par le client (CMEK) |
| Dialogflow CX | Données au repos | Non | Clés de chiffrement gérées par le client (CMEK) |
| Document AI | Données au repos et en cours d'utilisation | Oui | Clés de chiffrement gérées par le client (CMEK) |
| Eventarc | Données au repos | Oui | Utiliser des clés de chiffrement gérées par le client (CMEK) |
| Filestore | Données au repos | Oui | Chiffrer des données avec des clés de chiffrement gérées par le client |
| Google Distributed Cloud Edge | Données sur les nœuds périphériques | Oui | Sécurité du stockage local |
| Google Kubernetes Engine | Données sur les disques de VM | Oui | Utiliser des clés de chiffrement gérées par le client (CMEK) |
| Google Kubernetes Engine | Secrets au niveau de la couche d'application | Oui | Chiffrement des secrets au niveau de la couche d'application |
| Looker (Google Cloud Core) | Données au repos | Oui | Activer les CMEK pour Looker (Google Cloud Core) |
| Memorystore pour Redis | Données au repos | Oui | Clés de chiffrement gérées par le client (CMEK) |
| Migrate to Virtual Machines (Preview) | Données migrées à partir de sources VMware | Oui | Enregistrer le connecteur Migrate en tant que source Google Cloud |
| Migrate to Virtual Machines (Preview) | Données migrées à partir de sources AWS | Oui | Créer une source AWS |
| Migrate to Virtual Machines (Preview) | Données migrées depuis des sources Azure | Oui | Créer une source Azure |
| Migrate to Virtual Machines (Preview) | Disques migrés | Oui | Configurer la cible pour un disque de VM migré |
| Migrate to Virtual Machines (Preview) | VM migrées | Oui | Configurer la cible pour une VM migrée |
| Pub/Sub | Données associées aux sujets | Oui | Configurer le chiffrement des messages |
| Secret Manager | Charges utiles des secrets | Oui | Activer les clés de chiffrement gérées par le client pour Secret Manager |
| Secure Source Manager | Instances | Oui | Chiffrer des données avec des clés de chiffrement gérées par le client |
| Spanner | Données au repos | Oui | Clés de chiffrement gérées par le client (CMEK) |
| Speaker ID (disponibilité générale limitée) | Données au repos | Oui | Utiliser des clés de chiffrement gérées par le client |
| Speech-to-Text | Données au repos | Oui | Utiliser les clés de chiffrement gérées par le client |
| Vertex AI | Données associées aux ressources | Oui | Utiliser les clés de chiffrement gérées par le client |
| Notebooks gérés par Vertex AI Workbench | Données utilisateur au repos | Non | Clés de chiffrement gérées par le client |
| Notebooks Vertex AI Workbench gérés par l'utilisateur | Données sur les disques de VM | Non | Clés de chiffrement gérées par le client |
| Instances Vertex AI Workbench | Données sur les disques de VM | Oui | Clés de chiffrement gérées par le client |
| Workflows | Données au repos | Oui | Utiliser des clés de chiffrement gérées par le client (CMEK) |