Activer CMEK pour Looker (Google Cloud Core)

Par défaut, Google Cloud chiffre automatiquement les données au repos à l'aide de clés de chiffrement gérées par Google. Si vous avez des exigences réglementaires ou de conformité spécifiques liées aux clés qui protègent vos données, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) pour le chiffrement au niveau de l'application Looker (Google Cloud Core).

Pour en savoir plus sur les clés CMEK en général, y compris quand et pourquoi les activer, consultez la documentation de Cloud Key Management Service.

Cette page vous explique comment configurer une instance Looker (Google Cloud Core) pour utiliser des clés CMEK.

Comment Looker (Google Cloud Core) interagit-il avec les CMEK ?

Looker (Google Cloud Core) utilise une seule clé CMEK (via une hiérarchie de clés secondaires) pour protéger les données sensibles gérées par l'instance Looker (Google Cloud Core). Au démarrage, chaque processus de l'instance Looker effectue un appel initial vers Cloud Key Management Service (KMS) pour déchiffrer la clé. En fonctionnement normal (après le démarrage), l'instance Looker envoie un appel unique au service de gestion des clés toutes les cinq minutes environ pour vérifier que la clé est toujours valide.

Quels types d'instances Looker (Google Cloud Core) sont compatibles avec les CMEK ?

Les instances Looker (Google Cloud Core) sont compatibles avec les CMEK lorsque deux critères sont remplis:

• Les étapes de configuration CMEK décrites sur cette page sont effectuées avant la création de l'instance Looker (Google Cloud Core). Vous ne pouvez pas activer les clés de chiffrement gérées par le client sur des instances existantes.
• Les éditions de l'instance doivent être Enterprise ou Embed.

Workflow de création d'une instance Looker (Google Cloud Core) avec CMEK

Cette page vous guide tout au long des étapes suivantes afin de configurer une clé CMEK pour une instance Looker (Google Cloud Core).

1. Configurez votre environnement.
2. Utilisateurs de la Google Cloud CLI, de Terraform et de l'API uniquement:créez un compte de service pour chaque projet nécessitant des clés de chiffrement gérées par le client, si aucun compte de service Looker n'a déjà été configuré pour le projet.
3. Créez un trousseau de clés et une clé, puis définissez l'emplacement de la clé. L'emplacement est la région Google Cloud dans laquelle vous souhaitez créer l'instance Looker (Google Cloud Core).
4. Utilisateurs de Google Cloud CLI, de Terraform et de l'API uniquement:copiez ou notez l'ID de clé (KMS_KEY_ID) et son emplacement, ainsi que l'ID (KMS_KEYRING_ID) du trousseau. Vous en aurez besoin pour autoriser le compte de service à accéder à la clé.
5. Utilisateurs de la Google Cloud CLI, de Terraform et de l'API uniquement:accordez au compte de service l'accès à la clé.
6. Accédez à votre projet et créez une instance Looker (Google Cloud Core) avec les options suivantes :
   1. Sélectionnez le même emplacement que celui utilisé par la clé de chiffrement gérée par le client.
   2. Définissez l'édition sur Enterprise ou Embed.
   3. Activez la configuration de la clé gérée par le client.
   4. Ajoutez la clé de chiffrement gérée par le client, soit par nom, soit par ID.

Une fois toutes ces étapes terminées, votre instance Looker (Google Cloud Core) sera activée avec CMEK.

Avant de commencer

Si vous ne l'avez pas déjà fait, assurez-vous que votre environnement est configuré pour vous permettre de suivre les instructions de cette page. Suivez les étapes décrites dans cette section pour vous assurer que votre configuration est correcte.

1. Dans la console Google Cloud, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud. Remarque:Si vous ne prévoyez pas de conserver les ressources créées au cours de cette procédure, créez un projet au lieu de sélectionner un projet existant. Une fois ces étapes terminées, vous pouvez supprimer le projet. Cela entraîne la suppression des ressources qui lui sont associées.

   Accéder au sélecteur de projet

2. Vérifiez que la facturation est activée pour votre projet Google Cloud. Découvrez comment vérifier si la facturation est activée sur un projet.
3. Installez Google Cloud CLI.

4. Pour initialize gcloudCLI, exécutez la commande suivante :

   gcloud init
   

5. Activez l'API Cloud Key Management Service.

   Activer l'API

6. Activez l'API Looker (Google Cloud Core).

   Activer l'API

Rôles requis

Pour comprendre les rôles requis pour configurer des CMEK, consultez la page Contrôle des accès avec IAM dans la documentation de Cloud Key Management Service.

Pour créer une instance Looker (Google Cloud Core), assurez-vous de disposer du rôle IAM Administrateur Looker pour le projet dans lequel votre instance Looker (Google Cloud Core) est créée. Pour activer CMEK pour l'instance dans la console Google Cloud, assurez-vous de disposer du rôle IAM Chiffreur/Déchiffreur de CryptoKeys Cloud KMS sur la clé utilisée pour la CMEK.

Si vous devez autoriser le compte de service Looker à accéder à une clé Cloud KMS, vous devez disposer du rôle IAM Administrateur Cloud KMS sur la clé utilisée.

Créer un compte de service

Si vous utilisez Google Cloud CLI, Terraform ou l'API pour créer votre instance Looker (Google Cloud Core) et qu'aucun compte de service Looker n'a déjà été créé pour le projet Google Cloud dans lequel elle réside, vous devez en créer un pour ce projet. Si vous souhaitez créer plusieurs instances Looker (Google Cloud Core) dans un projet, le même compte de service s'applique à toutes les instances Looker (Google Cloud Core) de ce projet. Le compte de service ne doit être créé qu'une seule fois. Si vous utilisez la console pour créer une instance, Looker (Google Cloud Core) crée automatiquement le compte de service et lui accorde l'accès à la clé CMEK lorsque vous configurez l'option Utiliser une clé de chiffrement gérée par le client.

Pour autoriser un utilisateur à gérer des comptes de service, attribuez-lui l'un des rôles suivants :

• Utilisateur du compte de service (roles/iam.serviceAccountUser): inclut les autorisations nécessaires pour répertorier les comptes de service, obtenir des informations sur un compte de service et emprunter l'identité d'un compte de service.
• Administrateur de compte de service (roles/iam.serviceAccountAdmin): inclut les autorisations permettant de répertorier les comptes de service et d'obtenir des informations sur un compte de service. Inclut également des autorisations permettant de créer, de mettre à jour et de supprimer des comptes de service.

Actuellement, vous ne pouvez utiliser que les commandes Google Cloud CLI pour créer le type de compte de service dont vous avez besoin pour les clés de chiffrement gérées par le client. Si vous utilisez la console Google Cloud, Looker (Google Cloud Core) crée automatiquement ce compte de service pour vous.

gcloud beta services identity create \
--service=looker.googleapis.com \
--project=PROJECT_ID

Cette commande crée le compte de service et renvoie son nom. Vous utiliserez ce nom de compte de service lors de la procédure Accorder au compte de service l'accès à la clé.

Après avoir créé le compte de service, attendez quelques minutes que le compte de service se propage.

Créer un trousseau de clés et une clé

Vous pouvez créer la clé dans le même projet Google Cloud que l'instance Looker (Google Cloud Core) ou dans un projet utilisateur distinct. L'emplacement du trousseau de clés Cloud KMS doit correspondre à la région dans laquelle vous souhaitez créer l'instance Looker (Google Cloud Core). Une clé d'une région mondiale ou d'un emplacement multirégional ne fonctionnera pas. La requête de création d'instance Looker (Google Cloud Core) échoue si les régions ne correspondent pas.

Suivez les instructions des pages de documentation Créer un trousseau de clés et Créer une clé pour créer un trousseau et une clé répondant aux deux critères suivants:

• Le champ Emplacement du trousseau doit correspondre à la région que vous définissez pour l'instance Looker (Google Cloud Core).
• Le champ Objectif de la clé doit indiquer Chiffrement/déchiffrement symétrique.

Consultez la section Rotation de votre clé pour en savoir plus sur la rotation de la clé et la création de versions de clé.

Copiez ou notez les KMS_KEY_ID et les KMS_KEYRING_ID.

Si vous utilisez Google Cloud CLI, Terraform ou l'API pour configurer votre instance Looker (Google Cloud Core), suivez les instructions de la page Obtenir un ID de ressource Cloud KMS pour trouver les ID de ressource du trousseau de clés et de la clé que vous venez de créer. Copiez ou notez l'ID (KMS_KEY_ID) et l'emplacement de la clé, ainsi que l'ID (KMS_KEYRING_ID) du trousseau. Vous en aurez besoin pour autoriser le compte de service à accéder à la clé.

Accorder au compte de service l'accès à la clé

Cette procédure ne doit être effectuée que si les deux conditions suivantes sont remplies:

• Vous utilisez Google Cloud CLI, Terraform ou l'API.
• Le compte de service n'a pas encore été autorisé à accéder à la clé. Par exemple, s'il existe déjà une instance Looker (Google Cloud Core) dans le même projet qui utilise la même clé, vous n'avez pas besoin d'accorder l'accès. Si l'accès à la clé a déjà été accordé par une autre personne, il n'est pas nécessaire d'accorder l'accès.

Pour accorder au compte de service l'accès, vous devez disposer du rôle IAM Administrateur Cloud KMS sur la clé utilisée.

Pour accorder l'accès au compte de service, procédez comme suit :

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--location=REGION \
--keyring=KMS_KEYRING_ID \
--member=serviceAccount:SERVICE_ACCOUNT_NAME \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Après avoir accordé le rôle IAM au compte de service, attendez quelques minutes que l'autorisation se propage.

Créer une instance Looker (Google Cloud Core) avec CMEK

Pour créer une instance avec des clés de chiffrement gérées par le client dans la console Google Cloud, commencez par suivre la procédure décrite dans la section Créer un trousseau de clés et une clé, présentée précédemment, afin de créer un trousseau de clés et une clé dans la même région que celle que vous utiliserez pour votre instance Looker (Google Cloud Core). Ensuite, à l'aide des paramètres suivants, suivez les instructions pour créer une instance Looker (Google Cloud Core).

Pour créer une instance d'adresse IP privée avec des paramètres CMEK, sélectionnez l'une des options suivantes:

gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID\
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--kms-key=KMS_KEY_ID
--region=REGION \
--edition=EDITION
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

Les CMEK sont désormais activés sur votre instance Looker (Google Cloud Core).

Afficher les informations sur les clés d'une instance configurée pour utiliser les CMEK

Une fois que vous avez créé une instance Looker (Google Cloud Core), vous pouvez vérifier si CMEK est activé.

Pour voir si les CMEK sont activées, sélectionnez l'une des options suivantes:

gcloud looker instances describe INSTANCE_NAME --region=REGION --format config

Utiliser Cloud External Key Manager (Cloud EKM)

Pour protéger les données dans les instances Looker (Google Cloud Core), vous pouvez utiliser des clés que vous gérez au sein d'un partenaire de gestion de clés externes compatible. Pour en savoir plus, consultez la page de documentation de Cloud External Key Manager, y compris la section Considérations.

Lorsque vous êtes prêt à créer une clé Cloud EKM, consultez la section Fonctionnement de la page de documentation Cloud External Key Manager de la documentation. Une fois la clé créée, indiquez son nom lorsque vous créez une instance Looker (Google Cloud Core).

Google ne contrôle pas la disponibilité des clés dans un système partenaire externe de gestion des clés.

Effectuer une rotation de votre clé

Vous pouvez effectuer une rotation de votre clé pour renforcer la sécurité. À chaque rotation de votre clé, une nouvelle version de clé est créée. Pour en savoir plus sur la rotation des clés, consultez la page de documentation Rotation des clés.

Si vous effectuez une rotation de la clé utilisée pour sécuriser votre instance Looker (Google Cloud Core), la version de clé précédente reste nécessaire pour accéder aux sauvegardes ou aux exportations effectuées lorsque cette version de clé était utilisée. C'est pourquoi Google recommande de laisser la version de clé précédente activée pendant au moins 45 jours après la rotation pour que ces éléments restent accessibles. Les versions de clé sont conservées par défaut jusqu'à ce qu'elles soient désactivées ou détruites.

Désactiver et réactiver des versions de clé

Consultez les pages de documentation suivantes:

• Désactiver une version de clé activée
• Activer une version de clé désactivée

Si une version de clé utilisée pour sécuriser une instance Looker (Google Cloud Core) est désactivée, l'instance Looker (Google Cloud Core) doit cesser de fonctionner, effacer toutes les données sensibles non chiffrées en mémoire et attendre que la clé redevienne disponible. Le processus est le suivant :

1. La version de clé utilisée pour sécuriser une instance Looker (Google Cloud Core) est désactivée.
2. Dans un délai d'environ 15 minutes, l'instance Looker (Google Cloud Core) détecte que la version de clé a été révoquée, cesse de fonctionner et efface toutes les données chiffrées en mémoire.
3. Une fois l'instance arrêtée, les appels aux API Looker renvoient un message d'erreur.
4. Une fois l'instance arrêtée, l'interface utilisateur de Looker (Google Cloud Core) affiche un message d'erreur.
5. Si vous réactivez la version de clé, vous devez déclencher manuellement un redémarrage de l'instance.

Si vous désactivez une version de clé et que vous ne souhaitez pas attendre que l'instance Looker (Google Cloud Core) s'arrête automatiquement, vous pouvez déclencher manuellement un redémarrage de l'instance afin que l'instance Looker (Google Cloud Core) détecte immédiatement la version de clé révoquée.

Détruire des versions de clé

Consultez la page de documentation suivante:

• Détruire et restaurer des versions de clé

Si une version de clé utilisée pour sécuriser une instance Looker (Google Cloud Core) est détruite, l'instance Looker devient inaccessible. L'instance doit être supprimée, et vous ne pourrez plus accéder à ses données.

Résoudre les problèmes

Cette section décrit les mesures que vous pouvez appliquer lorsque vous recevez un message d'erreur lors de la configuration ou de l'utilisation d'instances utilisant CMEK.

Les opérations d'administrateur Looker (Google Cloud Core), telles que la création ou la mise à jour, peuvent échouer en raison d'erreurs Cloud KMS et de l'absence de rôles ou d'autorisations. Les raisons courantes d'échec sont les suivantes : une version de clé Cloud KMS manquante, une version de clé Cloud KMS désactivée ou détruite, des autorisations IAM insuffisantes pour accéder à la version de clé Cloud KMS ou la version de clé Cloud KMS se trouvant dans une région différente de celle de l'instance Looker (Google Cloud Core). Utilisez le tableau de dépannage suivant pour diagnostiquer et résoudre les problèmes courants.

Tableau de dépannage des clés de chiffrement gérées par le client

Étapes suivantes

• Administrer une instance Looker (Google Cloud Core) depuis la console Google Cloud
• Paramètres d'administration de Looker (Google Cloud Core)