Dans T-Systems Sovereign Cloud, toutes les données doivent être chiffrées à l'aide de clés Cloud External Key Manager (Cloud EKM), qui sont des clés de chiffrement associées à un gestionnaire de clés externe (également abrégé en EKM). Bien que les clients puissent configurer et utiliser leur propre EKM Cloud, ils bénéficient également d'un projet provisionné par Google Cloud et T-Systems Sovereign Cloud. Dans ce projet, appelé projet de gestion des clés, des clés peuvent être créées à l'aide d'un gestionnaire de clés externe géré par T-Systems International (TSI) pour le compte du client.
Cette section décrit les étapes à suivre pour utiliser Cloud KMS lorsqu'il est associé à TSI.
Présentation
Pour créer et gérer des clés à l'aide de Cloud EKM dans T-Systems Sovereign Cloud, vous utiliserez un système de gestion des tickets appelé Issue Tracker. Vous recevrez un lien vers l'outil Issue Tracker et les informations clés sur le groupe d'accès administrateur dans votre e-mail de bienvenue. Tous les administrateurs clés doivent être ajoutés au groupe d'accès. Ces administrateurs auront ensuite accès au composant Issue Tracker afin de créer des demandes auprès de l'équipe TSI, qui effectuera les opérations de gestion des clés en votre nom.
Toutes les clés gérées par TSI doivent être créées dans le projet de gestion des clés préprovisionné. Vous pouvez héberger des données dans un projet différent de celui dans lequel se trouvent vos clés Cloud KMS. Cette fonctionnalité est compatible avec la bonne pratique de séparation des tâches entre les administrateurs de clés et les administrateurs de données.
Trouver des informations spécifiques au client
Avant de commencer à créer des clés, recherchez les informations suivantes dans votre e-mail de bienvenue initial:
- Numéro du projet Cloud KMS
- Groupe d'accès administrateur principal
- Lien vers Issue Tracker
Configurer des groupes d'accès
Le groupe d'accès des administrateurs de clés est un groupe Google privé destiné aux administrateurs de clés de votre organisation, à savoir ceux qui recevront le rôle Identity and Access Management (IAM) Administrateur Cloud KMS. Vous gérez le groupe d'accès des administrateurs de clés.
Vous recevrez votre groupe d'accès dans l'e-mail de bienvenue. Elle se présentera au format suivant:
<customer-name>-<KMS-project-number>-key-admin@googlegroups.com
Ajoutez les utilisateurs auxquels vous souhaitez attribuer le rôle Administrateur Cloud KMS dans votre projet au groupe Google. Pour en savoir plus sur la gestion de votre groupe, consultez Ajouter des personnes à votre groupe.
Créer une clé Cloud EKM
Les clés Cloud EKM permettent de chiffrer vos données sur Google Cloud. Pour utiliser les clés du gestionnaire de clés externes de TSI, vous devez d'abord créer une clé Cloud EKM. Cette clé Cloud EKM associée à TSI permet de faire référence à une clé spécifique dans l'EKM de TSI et ne peut être créée que dans le projet de gestion des clés préprovisionné.
Créer un trousseau de clés
Créez un trousseau pour conserver votre clé Cloud EKM. Pour le cloud souverain T-Systems, l'emplacement du trousseau de clés doit toujours être europe-west3. Remplacez l'espace réservé KEY_RING_NAME par le nom souhaité pour le trousseau de clés:
gcloud
gcloud kms keyrings create KEY_RING_NAME \ --location europe-west3
Obtenir le nom de la ressource de connexion Cloud EKM
Ensuite, vous devrez obtenir le nom de la ressource de connexion Cloud EKM de TSI dans le projet de gestion des clés. Il sera appelé default-ekm-connection.
gcloud
Exécutez la commande suivante et recherchez le nom de la ressource de connexion Cloud EKM contenant le nom de connexion default-ekm-connection. Elle se présentera au format projects/[PROJECT-ID]/locations/europe-west3/ekmConnections/default-ekm-connection:
gcloud kms ekm-connections list \ --location europe-west3
Exemple de résultat :
NAME: projects/test-project/locations/europe-west3/ekmConnections/default-ekm-connection SERVICE_DIRECTORY_SERVICE: projects/host-project/locations/europe-west3/namespaces/tsi-ekm-000000001/services/tsi-ekm-00000001 HOSTNAME: test_host.example.com
Copiez le nom complet de la ressource, qui est un texte en surbrillance dans la section NAME. Cette valeur sera utilisée comme valeur --crypto-key-backend lorsque vous créerez votre clé symétrique et/ou votre clé asymétrique.
Créer une clé de chiffrement symétrique
Pour créer une clé Cloud EKM symétrique, exécutez la commande suivante dans Google Cloud CLI:
gcloud
gcloud kms keys create KEY_NAME \ --keyring KEY_RING_NAME \ --location europe-west3 \ --purpose encryption \ --protection-level external-vpc \ --default-algorithm external-symmetric-encryption \ --skip-initial-version-creation \ --crypto-key-backend EKM_CONNECTION
L'indicateur --skip-initial-version-creation permet d'empêcher la création d'une version de clé. Lorsque vous utilisez Cloud KMS avec TSI Sovereign Cloud, TSI est chargé de créer des versions de clés pour vous.
L'objectif de la clé en tant que encryption spécifie qu'il s'agit d'une clé de chiffrement symétrique. Vous devez utiliser le niveau de protection external-vpc, car l'EKM du TSI est connecté à Cloud KMS à l'aide d'un EKM via une connexion VPC.
Remplacez EKM_CONNECTION par le nom de la connexion EKM que vous avez copié dans la section Obtenir le nom de la ressource de connexion Cloud EKM ci-dessus, en utilisant le nom complet de la ressource.
L'étape ci-dessus crée une clé de chiffrement symétrique vide dans le trousseau de clés. Pour créer une version de clé, suivez les instructions de la section Étapes finales ci-dessous.
Créer une clé de signature asymétrique
La création d'une clé de signature asymétrique est semblable à la création d'une clé de chiffrement symétrique. Les principales différences résident dans l'objectif de la clé et l'algorithme par défaut.
Lorsque vous créez une clé, assurez-vous d'ajouter --skip-initial-version-creation pour empêcher la création d'une version de clé. Lorsque vous utilisez Cloud KMS avec T-Systems Sovereign Cloud, TSI est chargé de créer des versions de clés pour vous.
gcloud
gcloud kms keys create KEY_NAME \ --keyring KEY_RING_NAME \ --location europe-west3 \ --purpose asymmetric-signing \ --protection-level external-vpc \ --skip-initial-version-creation \ --default-algorithm ec-sign-p256-sha256 \ --crypto-key-backend EKM_CONNECTION
Définissez l'objectif de la clé sur asymmetric-signing pour spécifier qu'il s'agit d'une clé de signature asymétrique. Vous devez utiliser le niveau de protection external-vpc, car l'EKM de TSI est connecté à Cloud KMS à l'aide d'un EKM via une connexion VPC.
Remplacez EKM_CONNECTION par le nom de la connexion EKM que vous avez copié dans la section Obtenir le nom de la ressource de connexion Cloud EKM ci-dessus, en utilisant le nom complet de la ressource.
Les étapes ci-dessus créent une clé de chiffrement asymétrique vide dans le trousseau de clés. Pour créer une version de clé, suivez les instructions de la section Étapes finales ci-dessous.
Dernières étapes
Une fois que vous avez créé une clé Cloud EKM dans Google Cloud, l'étape finale consiste à envoyer une demande à l'équipe TSI à l'aide du formulaire de demande Issue Tracker. Pour créer la première version de clé, procédez comme suit : Votre demande sera transmise à TSI pour qu'il puisse effectuer le provisionnement des clés de son côté.
Pour obtenir des instructions détaillées sur d'autres opérations de gestion des clés, telles que la création ou la rotation de versions de clé, consultez la section Opérations de gestion des clés gérées par TSI.