Accéder à
Gestion de clés cloud

Gestion de clés cloud

Gestion des clés de chiffrement sur Google Cloud

  • Gérez les clés cloud de manière évolutive, centralisée et rapide.

  • Contribuez à répondre aux besoins de conformité, de confidentialité et de sécurité.

  • Appliquez facilement des modules de sécurité matériels (HSM) à vos données les plus sensibles.

  • Utilisez un service externe de gestion des clés pour protéger vos données dans Google Cloud et séparer les données de la clé.

  • Approuvez ou refusez toute demande d'accès à vos clés de chiffrement grâce à des justifications claires et précises.

Avantages

Faites évoluer votre sécurité à l'échelle mondiale

Profitez de l'envergure mondiale de Google pour le scaling de votre application, et laissez Google s'occuper des défis liés à la gestion des clés, tels que la redondance, la latence et la résidence des données.

Contribuez au respect des exigences de conformité

Chiffrez facilement vos données dans le cloud à l'aide de clés de chiffrement logicielles, de HSM validés FIPS 140-2 de niveau 3, de clés fournies par le client ou d'un gestionnaire de clés externe.

Profitez de l'intégration avec les produits Google Cloud

Utilisez des clés de chiffrement gérées par le client (CMEK) pour contrôler le chiffrement des données dans les produits Google Cloud tout en bénéficiant de fonctionnalités supplémentaires en termes de sécurité, telles que Google Cloud IAM et les journaux d'audit.

Principales fonctionnalités

Fonctionnalités essentielles

Centralisez la gestion des clés de chiffrement

Profitez d'un service de gestion des clés hébergé sur le cloud et vous permettant de gérer les clés cryptographiques symétriques et asymétriques pour vos services cloud de la même manière que sur site. Vous pouvez générer, utiliser, alterner et détruire des clés cryptographiques AES256, RSA 2048, RSA 3072, RSA 4096, EC P256 et EC P384.

Garantissez la sécurité matérielle de vos clés à l'aide de HSM

Hébergez des clés de chiffrement et effectuez des opérations de cryptographie dans des HSM validés FIPS 140-2 de niveau 3. Grâce à ce service entièrement géré, vous pouvez protéger vos charges de travail les plus sensibles, sans avoir à vous soucier des coûts opérationnels engendrés par la gestion d'un cluster HSM.

Assurez la compatibilité des clés externes avec EKM

Chiffrez les données grâce aux services Google intégrés à l'aide de clés de chiffrement qui sont stockées et gérées dans un système de gestion de clés tiers déployé en dehors de l'infrastructure de Google. Séparez vos données au repos et vos clés de chiffrement grâce à External Key Manager, tout en profitant de la puissance du cloud à des fins de calcul et d'analyse.

Soyez pleinement maître de l'accès à vos données

Key Access Justifications fonctionne avec Cloud EKM pour vous offrir un contrôle avancé sur vos données. Key Access Justifications est le seul produit qui vous donne une visibilité sur chaque demande d'accès à une clé de chiffrement, vous fournit une justification pour la demande et vous offre un mécanisme d'approbation ou de refus du déchiffrement selon le contexte de la demande. Ces contrôles sont régis par les engagements de Google en matière d'intégrité.

Voir toutes les fonctionnalités

Documentation

Documentation

Google Cloud Basics

Documentation de Cloud Key Management Service

Apprenez à créer, importer et gérer des clés cryptographiques, et à effectuer des opérations de chiffrement dans un seul service cloud centralisé.
Google Cloud Basics

Documentation Cloud HSM

Découvrez Cloud HSM, et apprenez à créer et à utiliser des clés de chiffrement protégées par un HSM dans Cloud Key Management Service.
Google Cloud Basics

Documentation Cloud External Key Manager

Consultez une présentation de Cloud External Key Manager (Cloud EKM).
Whitepaper

Présentation détaillée de Cloud Key Management Service

Apprenez-en plus sur le fonctionnement interne de la plate-forme Cloud KMS, et découvrez comment elle vous aide à protéger les clés et autres données sensibles que vous stockez dans Google Cloud.

Best Practice

Utiliser des clés de chiffrement gérées par le client (CMEK) avec GKE

Apprenez à utiliser des clés de chiffrement gérées par le client (CMEK) sur Google Kubernetes Engine (GKE).
Google Cloud Basics

Utiliser des clés de chiffrement gérées par le client avec Cloud SQL

La fonctionnalité CMEK vous permet d'utiliser vos propres clés de chiffrement pour les données au repos dans Cloud SQL, y compris avec MySQL, PostgreSQL et SQL Server.
Google Cloud Basics

Utiliser des clés de chiffrement gérées par le client (CMEK) avec Dataproc

Apprenez à utiliser la fonctionnalité CMEK pour chiffrer les données sur les disques persistants associés aux VM de votre cluster Dataproc et/ou les métadonnées du cluster.
Google Cloud Basics

Utiliser des clés de chiffrement gérées par le client avec Data Fusion

Découvrez comment les clés de chiffrement gérées par le client permettent à l'utilisateur de contrôler les données écrites par les pipelines Cloud Data Fusion.

Vous ne trouvez pas ce que vous cherchez ?

Cas d'utilisation

Cas d'utilisation

Cas d'utilisation
Assurer la conformité réglementaire

Cloud KMS, en combinaison avec Cloud HSM et Cloud EKM, est compatible avec un large éventail d'obligations de conformité qui impliquent des procédures et des technologies spécifiques en matière de gestion des clés. Il opère de façon évolutive et cloud native, sans pour autant affecter l'agilité de la mise en œuvre dans le cloud. Chaque obligation s'accompagne d'exigences variées : chiffrement matériel (HSM), séparation des clés et des données (EKM), ou encore traitement sécurisé des clés (KMS dans son ensemble). La gestion des clés est conforme à la norme FIPS 140-2.

Cas d'utilisation
Gérer les clés de chiffrement grâce à du matériel sécurisé

Il se peut que les clients, étant soumis à des règles de conformité, doivent héberger leurs clés de chiffrement et effectuer des opérations de cryptographie sur un appareil validé FIPS 140-2 de niveau 3. Grâce à la possibilité de stocker leurs clés dans un HSM validé FIPS, ils peuvent répondre aux exigences des autorités de régulation et maintenir leur conformité dans le cloud. Cette possibilité est également cruciale pour les clients souhaitant s'assurer que leur fournisseur cloud ne puisse ni consulter, ni exporter leur matériel de clé.

Cas d'utilisation
Gérer les clés de chiffrement en dehors du cloud

Les clients soumis à des exigences de sécurité réglementaires ou régionales doivent rester en possession de leurs clés de chiffrement lorsqu'ils adoptent le cloud computing. External Key Manager leur permet de séparer leurs données au repos et leurs clés de chiffrement tout en profitant de la puissance du cloud à des fins de calcul et d'analyse. Les clients ont une visibilité complète et peuvent savoir qui a accès aux clés, quand elles ont été utilisées et où elles se trouvent.

Architecture de référence d'EKM : un flux associe les utilisateurs de Google Cloud à BigQuery et à Compute Engine. Les trois éléments mènent aux outils de gestion du service de gestion des clés, puis à un service externe de gestion des clés et, enfin, à un service tiers de gestion des clés : External Key Manager.
Cas d'utilisation
Key Access Justifications et flux des données dans EKM

Key Access Justifications donne aux clients Google Cloud une visibilité sur chaque demande d'accès à une clé de chiffrement, leur fournit une justification pour la demande et leur offre un mécanisme d'approbation ou de refus du déchiffrement selon le contexte de la demande. Les cas d'utilisation se concentrent à la fois sur l'application et sur la visibilité en termes d'accès aux données.

Schéma de KAJ : sur la gauche, un rectangle gris indique "Accès suite au déchiffrement réalisé par External Key Manager" et montre quatre encadrés superposés : "Accès client", "Accès administrateur", "Accès binaire" et "Données client (chiffrées)". Les trois premiers traverse la colonne d'exemples de justification. Les trois flux s'intitulent (1) "CUSTOMER_INITIATED_ACCESS", (2) l'un des éléments suivants : CUSTOMER_INITIATED_SUPPORT, GOOGLE_INITIATED_SERVICE, THIRD_PARTY_DATA_REQUEST, GOOGLE_INITIATED_REVIEW et (3) GOOGLE_INITIATED_SYSTEM_OPERATION. Ces trois flux mènent à l'encadré "External Key Manager du client", dans la colonne "Client".
Cas d'utilisation
Chiffrement universel des données

Chiffrez de manière transparente les données lorsqu'elles sont envoyées dans le cloud à l'aide de votre solution de gestion des clés externes, de sorte qu'un seul service Confidential VM puisse les déchiffrer et y exécuter des calculs.

Flux de gauche à droite de l'accès illustrant le déchiffrement depuis le gestionnaire de clés externe (EKM). L'accès client mène au gestionnaire de clés externe du client. L'accès administrateur, tels que l'assistance demandée par le client, les services initiés par Google, les demandes de données tierces ou les avis initiés par Google, mènent au système EKM du client. L'accès binaire (opération du système lancée par Google) mène au système EKM du client. Les données client chiffrées restent inaccessibles.

Toutes les fonctionnalités

Toutes les fonctionnalités

Compatibilité avec les clés symétriques et asymétriques
Avec Cloud KMS, vous pouvez créer, utiliser, alterner (automatiquement ou non) et détruire des clés cryptographiques AES256 symétriques, ainsi que des clés RSA 2048, RSA 3072, RSA 4096, EC P256 et EC P384 asymétriques. Avec HSM, chiffrez, déchiffrez et signez avec des clés cryptographiques AES-256 symétriques, ainsi que des clés RSA 2048, RSA 3072, RSA 4096, EC P256 et EC P384 asymétriques.
Création de clés externes avec EKM
Générez votre clé externe à l'aide d'un des gestionnaires de clés externes suivants : Equinix, Fortanix, Ionic, Thales et Unbound. Une fois votre clé externe associée à Cloud KMS, vous pouvez l'utiliser pour protéger vos données au repos dans BigQuery et Compute Engine.
Délai de destruction d'une clé
Cloud KMS impose un délai de 24 heures pour la destruction matérielle d'une clé, afin d'éviter toute perte de données accidentelle ou résultant d'une malveillance.
Chiffrement et déchiffrement via l'API
Cloud KMS est une API REST qui peut utiliser une clé pour chiffrer, déchiffrer ou signer des données, comme des secrets, à des fins de stockage.
Haute disponibilité à l'échelle mondiale
Cloud KMS est disponible dans plusieurs emplacements dans le monde et dans plusieurs zones multirégionales, ce qui vous permet de placer votre service là où vous le souhaitez pour profiter d'une faible latence et d'une haute disponibilité.
Rotation des clés automatique ou à la demande
Cloud KMS vous permet de définir un calendrier de rotation pour la génération automatique par les clés symétriques d'une nouvelle version de clé à intervalles fixes. Plusieurs versions d'une clé symétrique peuvent être actives à tout moment pour le déchiffrement. En revanche, une seule version de clé principale peut être utilisée pour le chiffrement des nouvelles données. Avec EKM, créez une clé gérée en externe directement depuis la console Cloud KMS.
Attestation de déclaration avec HSM
Avec Cloud HSM, validez la création d'une clé dans le module HSM à l'aide de jetons d'attestation générés pour les opérations de création de clé.
Intégration à GKE
Chiffrez vos secrets Kubernetes au niveau de la couche d'application dans GKE, à l'aide de clés que vous gérez dans Cloud KMS. Vous pouvez également stocker des clés API, des mots de passe, des certificats et autres données sensibles grâce au système de stockage Secret Manager.
Maintien de la séparation entre clés et données
Avec EKM, séparez vos données au repos et vos clés de chiffrement tout en profitant de la puissance du cloud à des fins de calcul et d'analyse.
Résidence des données de clés
Si vous utilisez Cloud KMS, vos clés cryptographiques seront stockées dans la région où vous déployez la ressource. Avec Cloud HSM, vous avez également la possibilité de stocker ces clés dans un module de sécurité matériel situé dans la région de votre choix.
Importation des clés
Il est possible que vous utilisiez des clés cryptographiques existantes créées sur site ou dans un système de gestion des clés externe. Vous pouvez importer ces clés dans Cloud HSM, ou importer vos clés logicielles dans Cloud KMS.
Justifications d'accès
Avec Key Access Justifications, obtenez des motifs clairs pour chaque demande de déchiffrement qui ferait passer vos données de l'état de repos à celui d'utilisation.
Automatisation des règles
Key Access Justifications (version bêta) vous permet d'établir des règles automatiques qui approuvent ou refusent l'accès aux clés en fonction de justifications spécifiques. Votre gestionnaire de clés externe, fourni par les partenaires technologiques de Google Cloud, s'occupe du reste.
Engagement sur l'intégrité
Les contrôles fournis par Key Access Justifications sont régis par les engagements de Google en matière d'intégrité, vous permettant ainsi de travailler en toute confiance.

Tarification

Tarifs

Les frais de Cloud Key Management Service sont calculés en fonction de l'utilisation des produits suivants : Cloud Key Management Service, Cloud External Key Manager et Cloud HSM.

Produit
Prix (en USD)
Cloud KMS : versions de clé actives
0,06 $ par mois

Cloud KMS : opérations d'utilisation des clés (chiffrement/déchiffrement)

0,03 $ pour 10 000 opérations
Cloud KMS : opérations d'administration des clés
gratuit
Cloud HSM : versions de clé (AES-256, RSA 2048)
1,00 $ par mois
Cloud HSM : versions de clé (RSA 3072, RSA 4096)

0 à 2 000 versions de clé : 2,50 $ par mois

Plus de 2 001 versions de clé : 1 $ par mois

Cloud HSM : versions de clé (EC P256, EC P384)

0 à 2 000 versions de clé : 2,50 $ par mois

Plus de 2 001 versions de clé : 1 $ par mois

Cloud EKM : versions de clé
3,00 $ par mois
Cloud EKM : opérations d'utilisation des clés
0,03 $ pour 10 000 opérations

Si vous ne payez pas en USD, les tarifs indiqués dans votre devise sur la page des codes SKU de Google Cloud s'appliquent.

Partenaires

Partenaires

Mettez en place External Key Manager avec l'un de ces fournisseurs de gestion de clés leaders du marché.

Passez à l'étape suivante

Profitez de 300 $ de crédits gratuits et de plus de 20 produits Always Free pour commencer à créer des applications sur Google Cloud.

Google Cloud
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Console
  • Faites des économies grâce à notre approche transparente concernant la tarification
  • Le paiement à l'usage de Google Cloud permet de réaliser des économies automatiques basées sur votre utilisation mensuelle et des tarifs réduits pour les ressources prépayées. Contactez-nous dès aujourd'hui afin d'obtenir un devis.
Google Cloud