Activer CMEK pour Looker (Google Cloud Core)

Par défaut, Google Cloud chiffre automatiquement les données au repos à l'aide de clés de chiffrement gérées par Google. Si vous avez des exigences réglementaires ou de conformité spécifiques concernant les clés qui protègent vos données, vous pouvez utiliser des clés (CMEK) pour le chiffrement au niveau de l'application dans Looker (Google Cloud Core).

Pour en savoir plus sur CMEK en général, y compris quand et pourquoi l'activer, consultez la documentation de Cloud Key Management Service.

Cette page explique comment configurer une instance Looker (Google Cloud Core) pour qu'elle utilise CMEK.

Comment Looker (Google Cloud Core) interagit-il avec les CMEK ?

Looker (Google Cloud Core) utilise une seule clé CMEK (via une hiérarchie de clés secondaires) pour protéger les données sensibles gérées par l'instance Looker (Google Cloud Core). Au démarrage, chaque processus de l'instance Looker effectue un appel initial à Cloud Key Management Service (KMS) pour déchiffrer la clé. Lors d'un fonctionnement normal (après le démarrage), l'ensemble de l'instance Looker effectue un seul appel à KMS toutes les cinq minutes environ pour vérifier que la clé est toujours valide.

Quels types d'instances Looker (Google Cloud Core) sont compatibles avec CMEK ?

Les instances Looker (Google Cloud Core) sont compatibles avec CMEK lorsque deux critères sont remplis :

• Les étapes de configuration CMEK décrites sur cette page sont effectuées avant la création de l'instance Looker (Google Cloud Core). Vous ne pouvez pas activer les clés de chiffrement gérées par le client sur des instances existantes.
• Les éditions d'instance doivent être Enterprise ou Intégrer.

Procédure permettant de créer une instance Looker (Google Cloud Core) avec CMEK

Cette page vous explique comment configurer CMEK pour une instance Looker (Google Cloud Core) en suivant les étapes suivantes.

1. Configurez votre environnement.
2. Utilisateurs de Google Cloud CLI, de Terraform et de l'API uniquement:créez un compte de service pour chaque projet nécessitant des clés de chiffrement gérées par le client, si aucun compte de service Looker n'a déjà été configuré pour le projet.
3. Créez un trousseau et une clé, puis définissez l'emplacement de la clé. L'emplacement correspond à la région Google Cloud dans laquelle vous souhaitez créer l'instance Looker (Google Cloud Core).
4. Utilisateurs de Google Cloud CLI, de Terraform et de l'API uniquement:copiez ou notez l'ID de clé (KMS_KEY_ID) et son emplacement, ainsi que l'ID (KMS_KEYRING_ID) du trousseau. Vous avez besoin de ces informations lorsque vous autorisez le compte de service à accéder à la clé.
5. Utilisateurs de Google Cloud CLI, Terraform et de l'API uniquement:accordez au compte de service l'accès à la clé.
6. Accédez à votre projet et créez une instance Looker (Google Cloud Core) avec les options suivantes:
   1. Sélectionnez le même emplacement que celui utilisé par la clé de chiffrement gérée par le client.
   2. Définissez l'édition sur Enterprise ou Intégrer.
   3. Activez la configuration de la clé gérée par le client.
   4. Ajoutez la clé de chiffrement gérée par le client à l'aide de son nom ou de son ID.

Une fois toutes ces étapes terminées, l'utilisation de CMEK sera activée pour votre instance Looker (Google Cloud Core).

Avant de commencer

Si ce n'est pas déjà fait, assurez-vous que votre environnement est configuré pour vous permettre de suivre les instructions de cette page. Suivez les étapes de cette section pour vous assurer que votre configuration est correcte.

1. Dans la console Google Cloud, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud. Remarque:Si vous ne prévoyez pas de conserver les ressources créées au cours de cette procédure, créez un projet au lieu de sélectionner un projet existant. Après avoir suivi ces étapes, vous pouvez supprimer le projet, ce qui supprimera les ressources qui lui sont associées.

   Accéder au sélecteur de projet

2. Vérifiez que la facturation est activée pour votre projet Google Cloud. Découvrez comment vérifier si la facturation est activée sur un projet.
3. Installez Google Cloud CLI.

4. Pour initialiser gcloudCLI, exécutez la commande suivante :

   gcloud init
   

5. Activez l'API Cloud Key Management Service.

   Activer l'API

6. Activez l'API Looker (Google Cloud Core).

   Activer l'API

Rôles requis

Pour comprendre les rôles requis pour configurer une clé CMEK, consultez la page Contrôle des accès avec IAM dans la documentation de Cloud Key Management Service.

Pour créer une instance Looker (Google Cloud Core), assurez-vous de disposer du rôle IAM Administrateur Looker pour le projet dans lequel votre instance Looker (Google Cloud Core) est créée. Pour activer CMEK pour l'instance dans la console Google Cloud, assurez-vous de disposer du rôle IAM Chiffreur/Déchiffreur de CryptoKeys Cloud KMS sur la clé utilisée pour CMEK.

Si vous devez accorder au compte de service Looker l'accès à une clé Cloud KMS, vous devez disposer du rôle IAM Administrateur Cloud KMS sur la clé utilisée.

Créer un compte de service

Si vous utilisez Google Cloud CLI, Terraform ou l'API pour créer votre instance Looker (Google Cloud Core) et qu'un compte de service Looker n'a pas encore été créé pour le projet Google Cloud dans lequel il résidera, vous devez créer un compte de service pour ce projet. Si vous allez créer plusieurs instances Looker (Google Cloud Core) dans le projet, le même compte de service s'applique à toutes les instances Looker (Google Cloud Core) de ce projet. Vous ne devez créer le compte de service qu'une seule fois. Si vous utilisez la console pour créer une instance, Looker (Google Cloud Core) crée automatiquement le compte de service et lui accorde l'accès à la clé CMEK lorsque vous configurez l'option Utiliser une clé de chiffrement gérée par le client.

Pour autoriser un utilisateur à gérer des comptes de service, attribuez-lui l'un des rôles suivants :

• Utilisateur de compte de service (roles/iam.serviceAccountUser) : accorde les autorisations nécessaires pour obtenir ou répertorier un compte de service et emprunter son identité.
• Administrateur de compte de service (roles/iam.serviceAccountAdmin): inclut les autorisations nécessaires pour répertorier les comptes de service et obtenir des informations sur un compte de service. Inclut également les autorisations permettant de créer, mettre à jour et supprimer des comptes de service.

Actuellement, vous ne pouvez utiliser que les commandes de la Google Cloud CLI pour créer le type de compte de service dont vous avez besoin pour les clés de chiffrement gérées par le client. Si vous utilisez la console Google Cloud, Looker (Google Cloud Core) crée automatiquement ce compte de service pour vous.

gcloud beta services identity create \
--service=looker.googleapis.com \
--project=PROJECT_ID

Cette commande crée le compte de service et renvoie son nom. Vous utiliserez ce nom de compte de service au cours de la procédure décrite dans la section Accorder au compte de service l'accès à la clé.

Une fois le compte de service créé, attendez quelques minutes pour qu'il se propage.

Créer un trousseau de clés et une clé

Vous pouvez créer la clé dans le même projet Google Cloud que l'instance Looker (Google Cloud Core) ou dans un projet utilisateur distinct. L'emplacement du trousseau de clés Cloud KMS doit correspondre à la région dans laquelle vous souhaitez créer l'instance Looker (Google Cloud Core). Une clé d'une région mondiale ou d'un emplacement multirégional ne fonctionnera pas. La requête de création d'instance Looker (Google Cloud Core) échoue si les régions ne correspondent pas.

Suivez les instructions des pages de documentation Créer un trousseau et Créer une clé pour créer un trousseau et une clé répondant aux deux critères suivants:

• Le champ Emplacement du trousseau doit correspondre à la région que vous définirez pour l'instance Looker (Google Cloud Core).
• Le champ Objectif de la clé doit être Chiffrement/déchiffrement symétrique.

Consultez la section Roter votre clé pour en savoir plus sur la rotation de la clé et la création de versions de clé.

Copiez ou notez le KMS_KEY_ID et le KMS_KEYRING_ID

Si vous utilisez la Google Cloud CLI, Terraform ou l'API pour configurer votre instance Looker (Google Cloud core), suivez les instructions de la page de documentation Obtenir un ID de ressource Cloud KMS pour trouver les ID de ressource du trousseau de clés et de la clé que vous venez de créer. Copiez ou notez l'ID (KMS_KEY_ID) et l'emplacement de la clé, ainsi que l'ID (KMS_KEYRING_ID) du trousseau. Vous avez besoin de ces informations lorsque vous accordez à la clé l'accès au compte de service.

Accorder au compte de service l'accès à la clé

Cette procédure ne doit être effectuée que si les deux conditions suivantes sont remplies :

• Vous utilisez la Google Cloud CLI, Terraform ou l'API.
• L'accès à la clé n'a pas encore été accordé au compte de service. Par exemple, s'il existe déjà dans le même projet une instance Looker (Google Cloud Core) qui utilise la même clé, vous n'avez pas besoin d'accorder l'accès. Si quelqu'un d'autre a déjà accordé l'accès à la clé, vous n'avez pas besoin de l'accorder.

Vous devez disposer du rôle IAM Administrateur Cloud KMS sur la clé utilisée pour accorder l'accès au compte de service.

Pour accorder l'accès au compte de service, procédez comme suit :

gcloud kms keys add-iam-policy-binding KMS_KEY_ID \
--location=REGION \
--keyring=KMS_KEYRING_ID \
--member=serviceAccount:SERVICE_ACCOUNT_NAME \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Après avoir attribué le rôle IAM au compte de service, attendez quelques minutes pour que l'autorisation se propage.

Créer une instance Looker (Google Cloud Core) avec CMEK

Pour créer une instance avec des clés de chiffrement gérées par le client dans la console Google Cloud, commencez par suivre la procédure décrite dans la section Créer un trousseau de clés et une clé, présentée précédemment, pour créer un trousseau de clés et une clé dans la même région que celle que vous utiliserez pour votre instance Looker (Google Cloud Core). Ensuite, utilisez les paramètres suivants et suivez les instructions pour créer une instance Looker (Google Cloud Core).

Pour créer une instance Looker (Google Cloud Core) avec des paramètres CMEK, sélectionnez l'une des options suivantes :

gcloud looker instances create INSTANCE_NAME \
--project=PROJECT_ID \
--oauth-client-id=OAUTH_CLIENT_ID\
--oauth-client-secret=OAUTH_CLIENT_SECRET \
--kms-key=KMS_KEY_ID
--region=REGION \
--edition=EDITION
[--consumer-network=CONSUMER_NETWORK --private-ip-enabled --reserved-range=RESERVED_RANGE]
[--no-public-ip-enabled]
[--public-ip-enabled]

# Creates an Enterprise edition Looker (Google Cloud core) instance with full, Private IP functionality.
resource "google_looker_instance" "main" {
  name               = "my-instance"
  platform_edition   = "LOOKER_CORE_ENTERPRISE_ANNUAL"
  region             = "us-central1"
  private_ip_enabled = true
  public_ip_enabled  = false
  reserved_range     = google_compute_global_address.main.name
  consumer_network   = data.google_compute_network.main.id
  admin_settings {
    allowed_email_domains = ["google.com"]
  }
  encryption_config {
    kms_key_name = google_kms_crypto_key.main.id
  }
  maintenance_window {
    day_of_week = "THURSDAY"
    start_time {
      hours   = 22
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  deny_maintenance_period {
    start_date {
      year  = 2050
      month = 1
      day   = 1
    }
    end_date {
      year  = 2050
      month = 2
      day   = 1
    }
    time {
      hours   = 10
      minutes = 0
      seconds = 0
      nanos   = 0
    }
  }
  oauth_config {
    client_id     = "my-client-id"
    client_secret = "my-client-secret"
  }
  depends_on = [
    google_service_networking_connection.main,
    google_kms_crypto_key.main
  ]
}

resource "google_kms_key_ring" "main" {
  name     = "keyring-example"
  location = "us-central1"
}

resource "google_kms_crypto_key" "main" {
  name     = "crypto-key-example"
  key_ring = google_kms_key_ring.main.id
}

resource "google_service_networking_connection" "main" {
  network                 = data.google_compute_network.main.id
  service                 = "servicenetworking.googleapis.com"
  reserved_peering_ranges = [google_compute_global_address.main.name]
}

resource "google_compute_global_address" "main" {
  name          = "looker-range"
  purpose       = "VPC_PEERING"
  address_type  = "INTERNAL"
  prefix_length = 20
  network       = data.google_compute_network.main.id
}

data "google_project" "main" {}

data "google_compute_network" "main" {
  name = "default"
}

resource "google_kms_crypto_key_iam_member" "main" {
  crypto_key_id = google_kms_crypto_key.main.id
  role          = "roles/cloudkms.cryptoKeyEncrypterDecrypter"
  member        = "serviceAccount:service-${data.google_project.main.number}@gcp-sa-looker.iam.gserviceaccount.com"
}

Votre instance Looker (Google Cloud Core) est désormais configurée pour utiliser les CMEK.

Afficher les informations sur les clés d'une instance configurée pour utiliser les CMEK

Une fois que vous avez créé une instance Looker (Google Cloud Core), vous pouvez vérifier si les CMEK sont activés.

Pour savoir si CMEK est activé, sélectionnez l'une des options suivantes :

gcloud looker instances describe INSTANCE_NAME --region=REGION --format config

Utiliser Cloud External Key Manager (Cloud EKM)

Pour protéger les données des instances Looker (Google Cloud core), vous pouvez utiliser des clés que vous gérez dans un système partenaire de gestion de clés externes compatible. Pour en savoir plus, consultez la page de documentation Cloud External Key Manager, y compris la section Éléments à prendre en compte.

Lorsque vous êtes prêt à créer une clé Cloud EKM, consultez la section Fonctionnement de la page de documentation Cloud External Key Manager. Une fois la clé créée, indiquez son nom lorsque vous créez une instance Looker (Google Cloud Core).

Google ne contrôle pas la disponibilité des clés dans un système partenaire de gestion de clés externes.

Effectuer une rotation de votre clé

Vous pouvez faire pivoter votre clé pour renforcer la sécurité. À chaque rotation de votre clé, une nouvelle version de clé est créée. Pour en savoir plus sur la rotation des clés, consultez la page de documentation Rotation des clés.

Si vous effectuez une rotation de la clé utilisée pour sécuriser votre instance Looker (Google Cloud Core), la version de clé précédente reste nécessaire pour accéder aux sauvegardes ou aux exportations effectuées lorsque cette version de clé était utilisée. C'est pourquoi nous vous recommandons de laisser la version de clé précédente activée pendant au moins 45 jours après la rotation, afin que ces éléments restent accessibles. Par défaut, les versions de clé sont conservées jusqu'à ce qu'elles soient désactivées ou détruites.

Désactiver et réactiver des versions de clé

Consultez les pages de documentation suivantes:

• Désactiver une version de clé activée
• Activer une version de clé désactivée

Si une version de clé utilisée pour sécuriser une instance Looker (Google Cloud Core) est désactivée, l'instance Looker (Google Cloud Core) doit cesser de fonctionner, effacer toutes les données sensibles non chiffrées qu'elle pourrait avoir en mémoire et attendre que la clé redevienne disponible. Le processus est le suivant :

1. La version de clé utilisée pour sécuriser une instance Looker (Google Cloud Core) est désactivée.
2. Dans un délai d'environ 15 minutes, l'instance Looker (Google Cloud Core) détecte que la version de clé est révoquée, arrête de fonctionner et efface toutes les données chiffrées en mémoire.
3. Une fois l'instance arrêtée, les appels aux API Looker renvoient un message d'erreur.
4. Une fois l'instance arrêtée, l'interface utilisateur de Looker (Google Cloud Core) renvoie un message d'erreur.
5. Si vous réactivez la version de clé, vous devez déclencher manuellement un redémarrage de l'instance.

Si vous désactivez une version de clé et que vous ne souhaitez pas attendre que l'instance Looker (Google Cloud Core) s'arrête automatiquement, vous pouvez déclencher manuellement un redémarrage de l'instance afin que l'instance Looker (Google Cloud Core) détecte immédiatement la version de clé révoquée.

Détruire des versions de clé

Consultez la page de documentation suivante:

• Détruire et restaurer des versions de clé

Si une version de clé utilisée pour sécuriser une instance Looker (Google Cloud Core) est détruite, l'instance Looker devient inaccessible. L'instance doit être supprimée. Vous ne pourrez plus accéder à ses données.

Résoudre les problèmes

Cette section décrit ce que vous pouvez faire lorsque vous recevez un message d'erreur lors de la configuration ou de l'utilisation d'instances utilisant CMEK.

Les opérations d'administrateur Looker (Google Cloud Core), telles que la création ou la mise à jour, peuvent échouer en raison d'erreurs Cloud KMS et de l'absence de rôles ou d'autorisations. Les causes habituelles d'échec sont les suivantes : la version de clé Cloud KMS est manquante, la version de clé Cloud KMS est désactivée ou détruite, les autorisations IAM sont insuffisantes pour accéder à la version de clé Cloud KMS ou la version de clé Cloud KMS se trouve dans une région différente de celle de l'instance Looker (Google Cloud core). Utilisez le tableau de dépannage ci-dessous pour diagnostiquer et résoudre les problèmes courants.

Tableau de dépannage des clés de chiffrement gérées par le client

Étape suivante

• Administrer une instance Looker (Google Cloud Core) à partir de la console Google Cloud
• Paramètres d'administration de Looker (Google Cloud Core)