Activer CMEK pour Looker (Google Cloud Core)

Par défaut, Google Cloud chiffre automatiquement les données lorsqu'elles REST à l'aide de clés de chiffrement qui sont gérés par Google. Si vous avez des exigences réglementaires ou de conformité spécifiques concernant les clés qui protègent vos données, vous pouvez utiliser des clés (CMEK) pour le chiffrement au niveau de l'application dans Looker (Google Cloud Core).

Pour en savoir plus sur les CMEK en général, y compris quand et pourquoi les activer, consultez la page Cloud Key Management Service documentation.

Cette page explique comment configurer une instance Looker (Google Cloud Core) pour qu'elle utilise CMEK.

Comment Looker (Google Cloud Core) interagit-il avec CMEK ?

Looker (Google Cloud Core) utilise une seule clé CMEK (via une hiérarchie de clés secondaires) pour protéger les données sensibles gérées par l'instance Looker (Google Cloud Core). Au démarrage, chaque processus de l'instance Looker effectue un appel initial au Cloud Key Management Service (KMS) pour déchiffrer la clé. En fonctionnement normal (après le démarrage), l'ensemble de l'instance Looker envoie un seul appel à KMS toutes les cinq minutes environ pour vérifier que la clé est toujours valide.

Quels types d'instances Looker (Google Cloud Core) sont compatibles avec CMEK ?

Les instances Looker (Google Cloud Core) sont compatibles avec les CMEK lorsque deux critères sont remplis:

  • Les étapes de configuration du chiffrement CMEK décrites sur cette page sont effectuées avant la création de l'instance Looker (Google Cloud Core). Vous ne pouvez pas activer les clés de chiffrement gérées par le client sur des instances existantes.
  • Les éditions d'instances doivent être de type Enterprise ou Embed.

Procédure permettant de créer une instance Looker (Google Cloud Core) avec CMEK

Cette page vous explique comment configurer une clé CMEK pour une instance Looker (Google Cloud Core).

  1. Configurez votre environnement.
  2. Utilisateurs de Google Cloud CLI, de Terraform et de l'API uniquement:créez un compte de service pour chaque projet nécessitant des clés de chiffrement gérées par le client, si aucun compte de service Looker n'a déjà été configuré pour le projet.
  3. Créez un trousseau et une clé, puis définissez l'emplacement de la clé. L'emplacement correspond à la région Google Cloud dans laquelle vous souhaitez créer l'instance Looker (Google Cloud Core).
  4. Utilisateurs de la Google Cloud CLI, de Terraform et de l'API uniquement : copiez ou notez l'ID de la clé (KMS_KEY_ID) et l'emplacement de la clé, ainsi que l'ID du trousseau (KMS_KEYRING_ID). Vous avez besoin de ces informations lorsque vous accordez à la clé l'accès au compte de service.
  5. Utilisateurs de Google Cloud CLI, Terraform et de l'API uniquement:accordez au compte de service l'accès à la clé.
  6. Accédez à votre projet et créez une instance Looker (Google Cloud Core) avec les options suivantes:
    1. Sélectionnez le même emplacement que celui utilisé par la clé de chiffrement gérée par le client.
    2. Définissez l'édition sur Enterprise ou Intégrer.
    3. Activez la configuration de la clé gérée par le client.
    4. Ajoutez la clé de chiffrement gérée par le client à l'aide de son nom ou de son ID.

Une fois toutes ces étapes terminées, l'utilisation de CMEK sera activée pour votre instance Looker (Google Cloud Core).

Avant de commencer

Si ce n'est pas déjà fait, assurez-vous que votre environnement est configuré pour vous permettre de suivre les instructions de cette page. Suivez les étapes de cette section pour vous assurer que votre configuration est correcte.

  1. Dans la console Google Cloud, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud. Remarque:Si vous ne prévoyez pas de conserver les ressources créées au cours de cette procédure, créez un projet au lieu de sélectionner un projet existant. Une fois ces étapes terminées, vous pouvez supprimer le projet, ce qui supprimera les ressources qui lui sont associées.

    Accéder au sélecteur de projet

  2. Vérifiez que la facturation est activée pour votre projet Google Cloud. Découvrez comment vérifier si la facturation est activée sur un projet.
  3. Installez Google Cloud CLI.
  4. Pour initialiser gcloudCLI, exécutez la commande suivante :

    gcloud init
    

  5. Activez l'API Cloud Key Management Service.

    Activer l'API

  6. Activez l'API Looker (Google Cloud Core).

    Activer l'API

Rôles requis

Pour comprendre les rôles requis pour configurer une clé CMEK, consultez la page Contrôle des accès avec IAM dans la documentation de Cloud Key Management Service.

Pour créer une instance Looker (Google Cloud Core), assurez-vous de disposer du rôle IAM Administrateur Looker pour le projet dans lequel votre instance Looker (Google Cloud Core) est créée. Pour activer CMEK pour l'instance dans la console Google Cloud, assurez-vous de disposer du rôle IAM Chiffreur/Déchiffreur de CryptoKeys Cloud KMS sur la clé utilisée pour CMEK.

Si vous devez accorder au compte de service Looker l'accès à une clé Cloud KMS, vous devez disposer du rôle IAM Administrateur Cloud KMS sur la clé utilisée.

Créer un compte de service

Si vous utilisez Google Cloud CLI, Terraform ou l'API pour créer votre instance Looker (Google Cloud Core) et qu'un compte de service Looker n'a pas encore été créé pour le projet Google Cloud dans lequel il résidera, vous devez créer un compte de service pour ce projet. Si vous allez créer plusieurs instances Looker (Google Cloud Core) dans le projet, le même compte de service s'applique à toutes les instances Looker (Google Cloud Core) de ce projet. Vous ne devez créer le compte de service qu'une seule fois. Si vous utilisez la console pour créer une instance, Looker (Google Cloud Core) crée automatiquement le compte de service et lui accorde l'accès à la clé CMEK lorsque vous configurez l'option Utiliser une clé de chiffrement gérée par le client.

Pour autoriser un utilisateur à gérer des comptes de service, attribuez-lui l'un des rôles suivants :

  • Utilisateur du compte de service (roles/iam.serviceAccountUser): inclut les autorisations nécessaires pour répertorier les comptes de service, obtenir des informations sur un compte de service et emprunter son identité.
  • Administrateur de compte de service (roles/iam.serviceAccountAdmin) : comprend les autorisations permettant de répertorier les comptes de service et d'obtenir des informations sur un compte de service. Il inclut également les autorisations nécessaires pour créer, mettre à jour et supprimer des comptes de service.

Actuellement, vous ne pouvez utiliser que les commandes de la Google Cloud CLI pour créer le type de compte de service dont vous avez besoin pour les clés de chiffrement gérées par le client. Si vous utilisez la console Google Cloud, Looker (Google Cloud Core) crée automatiquement ce compte de service.

gcloud

Exécutez la commande suivante pour créer le compte de service :

gcloud beta services identity create \
--service=looker.googleapis.com \
--project=PROJECT_ID

Remplacez PROJECT_ID par le projet dans lequel se trouve l'instance Looker (Google Cloud Core).

Cette commande crée le compte de service et renvoie son nom. Vous utiliserez ce nom de compte de service au cours de la procédure décrite dans la section Accorder au compte de service l'accès à la clé.

Une fois le compte de service créé, attendez quelques minutes qu'il se propage.

Créer un trousseau de clés et une clé

Vous pouvez créer la clé dans le même projet Google Cloud que l'instance Looker (Google Cloud Core) ou dans un projet utilisateur distinct. L'emplacement du trousseau de clés Cloud KMS doit correspondre à la région dans laquelle vous souhaitez créer l'instance Looker (Google Cloud Core). Une clé associée à un emplacement multirégional ou mondial ne fonctionnera pas. La requête de création d'instance Looker (Google Cloud Core) échoue si les régions ne correspondent pas.

Suivez les instructions des pages de documentation Créer un trousseau de clés et Créer une clé pour créer un trousseau et une clé qui répondent aux deux critères suivants :

  • Le champ Emplacement du trousseau de clés doit correspondre à la région que vous définirez pour l'instance Looker (Google Cloud Core).
  • Le champ Objectif de la clé doit être Chiffrement/déchiffrement symétrique.

Consultez la section Roter votre clé pour en savoir plus sur la rotation de la clé et la création de versions de clé.

Copiez ou notez les éléments KMS_KEY_ID et KMS_KEYRING_ID.

Si vous utilisez la Google Cloud CLI, Terraform ou l'API pour configurer votre instance Looker (Google Cloud Core), suivez les instructions de la page Obtenir un ID de ressource Cloud KMS de documentation pour localiser les ID de ressource du trousseau de clés et de la clé que vous venez de créer. Copiez ou notez l'ID (KMS_KEY_ID) et l'emplacement de la clé, ainsi que l'ID (KMS_KEYRING_ID) du trousseau. Vous avez besoin de ces informations lorsque vous accordez à la clé l'accès au compte de service.

Accorder au compte de service l'accès à la clé

Vous ne devez effectuer cette procédure que si les deux conditions suivantes sont remplies:

  • Vous utilisez la Google Cloud CLI, Terraform ou l'API.
  • L'accès à la clé n'a pas encore été accordé au compte de service. Par exemple, s'il existe déjà dans le même projet une instance Looker (Google Cloud Core) qui utilise la même clé, vous n'avez pas besoin d'accorder l'accès. Si l'accès à la clé a déjà été accordé par quelqu'un d'autre, vous n'avez pas besoin de l'accorder.

Pour accorder l'accès au compte de service, vous devez disposer du rôle IAM Administrateur Cloud KMS sur la clé utilisée.

Pour accorder l'accès au compte de service, procédez comme suit :

gcloud

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--location=REGION \
--keyring=KMS_KEYRING_ID \
--member=serviceAccount:SERVICE_ACCOUNT_NAME \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Remplacez les éléments suivants :

  • KMS_KEY_ID: ID de la clé KMS
  • REGION: région dans laquelle Looker (Google Cloud Core) est créé et emplacement du trousseau de clés
  • KMS_KEYRING_ID: ID du trousseau de clés KMS
  • SERVICE_ACCOUNT_NAME: nom du compte de service renvoyé lors de sa création.

Après avoir accordé le rôle IAM au compte de service, attendez quelques minutes que l'autorisation se propage.

Créer une instance Looker (Google Cloud Core) avec une clé CMEK

Pour créer une instance avec des clés de chiffrement gérées par le client dans la console Google Cloud, commencez par suivre la procédure décrite dans la section Créer un trousseau de clés et une clé, présentée précédemment, pour créer un trousseau de clés et une clé dans la même région que celle que vous utiliserez pour votre instance Looker (Google Cloud Core). Ensuite, utilisez les paramètres suivants et suivez les instructions pour créer une instance Looker (Google Cloud Core).

Pour créer une instance Looker (Google Cloud Core) avec des paramètres CMEK, sélectionnez l'une des options suivantes:

Console

  1. Assurez-vous de disposer du rôle IAM Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS sur la clé utilisée pour CMEK.
  2. Dans la section Édition de la page Créer une instance, vous devez sélectionner une édition Enterprise ou Embed pour utiliser CMEK.
  3. Dans la section Chiffrement de la page Créer une instance, sélectionnez la case d'option Clé de chiffrement gérée par le client (CMEK). Le champ déroulant Sélectionner une clé gérée par le client s'affiche.
  4. Dans le champ Sélectionner une clé gérée par le client, définissez la clé que vous souhaitez utiliser. La clé doit se trouver dans un trousseau de clés dont l'emplacement est défini sur la même région que l'instance Looker (Google Cloud Core) que vous créez. Sinon, la création de l'instance échouera. Vous pouvez sélectionner la clé de l'une des deux manières suivantes :
    1. Sélectionnez le nom de la clé dans la liste déroulante : les clés disponibles dans votre projet Google Cloud s'affichent dans une liste déroulante. Une fois que vous avez sélectionné votre clé, cliquez sur OK.
    2. Saisissez l'ID de ressource de la clé : cliquez sur le texte Vous ne trouvez pas votre clé ? Saisissez l'ID de ressource de la clé, qui s'affiche en bas du menu déroulant. Une boîte de dialogue Enter key resource ID (Saisir l'ID de ressource de la clé) s'affiche. Vous pouvez y saisir l'ID de la clé. Une fois l'ID saisi, sélectionnez Enregistrer.
  5. Une fois que vous avez sélectionné une clé, un message s'affiche vous demandant d'autoriser votre compte de service à utiliser la clé. Cliquez sur le bouton Accorder.
  6. Si le compte de service n'est pas autorisé à chiffrer et à déchiffrer les données à l'aide de la clé sélectionnée, un message s'affiche. Dans ce cas, cliquez sur Accorder pour attribuer au compte de service le rôle IAM "Chiffreur/Déchiffreur de CryptoKey Cloud KMS" sur la clé KMS sélectionnée.
  7. Une fois que vous avez terminé la configuration de votre instance Looker (Google Cloud Core), cliquez sur Créer.

gcloud

gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID\
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--kms-key=KMS_KEY_ID
--region=REGION \
--edition=EDITION
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]

Remplacez les éléments suivants :

  • INSTANCE_NAME : nom de votre instance Looker (Google Cloud Core). Il n'est pas associé à l'URL de l'instance.
  • PROJECT_ID: nom du projet Google Cloud dans lequel vous créez l'instance Looker (Google Cloud Core)
  • OAUTH_CLIENT_ID et OAUTH_CLIENT_SECRET: ID client OAuth et secret OAuth que vous avez créés lorsque vous avez configuré votre client OAuth. Une fois l'instance créée, saisissez son URL dans la section URI de redirection autorisés du client OAuth.
  • KMS_KEY_ID : ID de la clé KMS
  • REGION: région dans laquelle votre instance Looker (Google Cloud Core) est hébergée. Les régions disponibles sont listées sur la page de documentation Emplacements de Looker (Google Cloud Core).
  • EDITION: pour activer les CMEK, EDITION doit être core-embed-annual ou core-enterprise-annual
  • CONSUMER_NETWORK: votre réseau VPC ou votre VPC partagé Doit être défini si vous créez une instance IP privée.
  • RESERVED_RANGE : plage d'adresses IP du VPC dans lequel Google provisionnera un sous-réseau pour votre instance Looker (Google Cloud Core). Doit être défini si vous créez une instance IP privée.

Vous pouvez inclure les options suivantes :

  • --private-ip-enabled active les adresses IP privées.
  • --public-ip-enabled active l'adresse IP publique.
  • --no-public-ip-enabled désactive l'adresse IP publique.

Terraform

Utilisez les ressources Terraform suivantes ressource permettant de provisionner une instance Looker Enterprise (Google Cloud Core) avec une connexion réseau privée:

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez la page Commandes Terraform de base.

Votre instance Looker (Google Cloud Core) est désormais configurée pour utiliser les CMEK.

Afficher les informations sur les clés d'une instance configurée pour utiliser les CMEK

Une fois que vous avez créé une instance Looker (Google Cloud Core), vous pouvez vérifier si les CMEK sont activés.

Pour savoir si CMEK est activé, sélectionnez l'une des options suivantes :

Console

  1. Dans la console Google Cloud, accédez à la page Instances Looker.
  2. Cliquez sur le nom d'une instance pour ouvrir la page Détails correspondante. Si l'option CMEK est activée sur une instance, la ligne Chiffrement indique le chiffrement utilisé pour l'instance. Le champ Clé de chiffrement gérée par le client (CMEK) indique l'identifiant de la clé.

gcloud

gcloud looker instances describe INSTANCE_NAME --region=REGION --format config

Remplacez les éléments suivants :

  • INSTANCE_NAME: nom de votre instance Looker (Google Cloud Core) il n'est pas associé à l'URL de l'instance
  • REGION: région dans laquelle l'instance a été créée

Cette commande doit renvoyer un kmsKeyName, un kmsKeyNameVersion et un kmsKeyState pour confirmer que l'instance a été configurée avec CMEK.

Utiliser Cloud External Key Manager (Cloud EKM)

Pour protéger les données des instances Looker (Google Cloud core), vous pouvez utiliser des clés que vous gérez dans un système partenaire de gestion de clés externes compatible. Pour en savoir plus, consultez la page de documentation de Cloud External Key Manager, y compris la section Remarques.

Lorsque vous êtes prêt à créer une clé Cloud EKM, consultez la section Fonctionnement de la page de documentation Cloud External Key Manager. Une fois la clé créée, indiquez son nom lorsque vous créez une instance Looker (Google Cloud Core).

Google ne contrôle pas la disponibilité des clés dans un système partenaire de gestion de clés externes.

Effectuer une rotation de votre clé

Vous pouvez effectuer une rotation de votre clé pour renforcer la sécurité. Chaque fois que vous effectuez une rotation de clé, une nouvelle version de clé est créée. Pour en savoir plus sur la rotation des clés, consultez la page de documentation Rotation des clés.

Si vous effectuez une rotation de la clé utilisée pour sécuriser votre instance Looker (Google Cloud Core), la version de clé précédente reste nécessaire pour accéder aux sauvegardes ou aux exportations effectuées lorsque cette version de clé était utilisée. C'est pourquoi Google vous recommande de laisser la version précédente de la clé activée pendant au moins 45 jours après la rotation pour vous assurer que ces éléments restent accessibles. Par défaut, les versions de clé sont conservées jusqu'à ce qu'elles soient désactivées ou détruites.

Désactiver et réactiver des versions de clé

Consultez les pages de documentation suivantes:

Si une version de clé utilisée pour sécuriser une instance Looker (Google Cloud Core) est désactivée, l'instance Looker (Google Cloud Core) doit cesser de fonctionner, effacer toutes les données sensibles non chiffrées qu'elle pourrait avoir en mémoire et attendre que la clé redevienne disponible. Le processus est le suivant :

  1. La version de clé utilisée pour sécuriser une instance Looker (Google Cloud Core) est désactivée.
  2. Dans un délai d'environ 15 minutes, l'instance Looker (Google Cloud Core) détecte que la version de clé est révoquée, arrête de fonctionner et efface toutes les données chiffrées en mémoire.
  3. Une fois l'instance arrêtée, les appels aux API Looker renvoient un message d'erreur.
  4. Une fois l'instance arrêtée, l'interface utilisateur de Looker (Google Cloud Core) renvoie un message d'erreur.
  5. Si vous réactivez la version de clé, vous devez déclencher manuellement un redémarrage de l'instance.

Si vous désactivez une version de clé et que vous ne souhaitez pas attendre que l'instance Looker (Google Cloud Core) s'arrête d'elle-même, vous pouvez déclencher manuellement un redémarrage de l'instance afin qu'elle détecte immédiatement la version de clé révoquée.

Détruire des versions de clé

Consultez la page de documentation suivante :

Si une version de clé utilisée pour sécuriser une instance Looker (Google Cloud Core) est détruite, l'instance Looker devient inaccessible. L'instance doit être supprimée. Vous ne pourrez plus accéder à ses données.

Résoudre les problèmes

Cette section décrit des mesures que vous pouvez appliquer lorsque vous recevez un message d'erreur lors de la configuration ou de l'utilisation d'instances activées avec CMEK.

Les opérations d'administration de Looker (Google Cloud Core), telles que la création ou la mise à jour, peuvent échouer en raison d'erreurs Cloud KMS et de l'absence de rôles ou d'autorisations. Les causes habituelles d'échec sont les suivantes : la version de clé Cloud KMS est manquante, la version de clé Cloud KMS est désactivée ou détruite, les autorisations IAM sont insuffisantes pour accéder à la version de clé Cloud KMS ou la version de clé Cloud KMS se trouve dans une région différente de celle de l'instance Looker (Google Cloud core). Utilisez le tableau de dépannage suivant pour diagnostiquer et résoudre les problèmes courants.

Tableau de dépannage des clés de chiffrement gérées par le client

Message d'erreur Causes possibles Stratégies de dépannage
Le compte de service par produit et par projet est introuvable Le nom du compte de service est incorrect. Assurez-vous d'avoir créé un compte de service pour le projet utilisateur approprié.

Accéder à la page "Comptes de service"

Impossible d'accorder l'accès au compte de service Le compte utilisateur n'a pas l'autorisation d'accorder l'accès à cette version de clé.

Ajoutez le rôle Administrateur de l'organisation à votre compte utilisateur ou de service.

ACCÉDER À LA PAGE COMPTES IAM

La version de clé Cloud KMS est détruite La version de clé est détruite. Si la version de clé est détruite, vous ne pouvez pas l'utiliser pour chiffrer ou déchiffrer des données. L'instance Looker (Google Cloud Core) doit être supprimée.
La version de clé Cloud KMS est désactivée La version de clé est désactivée.

Réactivez la version de clé Cloud KMS.

ACCÉDER À LA PAGE "GESTION DES CLÉS"

Autorisation insuffisante pour utiliser la clé Cloud KMS Le rôle cloudkms.cryptoKeyEncrypterDecrypter est manquant sur le compte utilisateur ou de service que vous utilisez pour exécuter des opérations sur des instances Looker (Google Cloud Core), ou la version de clé Cloud KMS n'existe pas.

Ajoutez le rôle cloudkms.cryptoKeyEncrypterDecrypter à votre compte utilisateur ou de service.

ACCÉDER À LA PAGE COMPTES IAM

Si votre compte dispose déjà du rôle, consultez la section Créer un trousseau et une clé pour savoir comment créer une version de clé. Suivez ensuite à nouveau la procédure de création d'instance.

La clé Cloud KMS est introuvable La version de clé n'existe pas. Créez une nouvelle version de clé et suivez à nouveau la procédure de création d'instance. Consultez la section Créer un trousseau et une clé.
L'instance Looker (Google Cloud Core) et la version de clé Cloud KMS se trouvent dans des régions différentes La version de clé Cloud KMS et l'instance Looker (Google Cloud Core) doivent se trouver dans la même région. Cela ne fonctionnera pas si la version de clé Cloud KMS se trouve dans une région mondiale ou dans un emplacement multirégional. Créez une version de clé dans la même région que celle où vous souhaitez créer des instances, puis répétez la procédure de création d'instance. Consultez la section Créer un trousseau de clés et une clé.

Étape suivante