Utiliser les clés de chiffrement gérées par le client

Par défaut, Google Cloud chiffre automatiquement les données au repos à l'aide de clés de chiffrement gérées par Google. Si vous avez des exigences réglementaires ou de conformité spécifiques concernant les clés qui protègent vos données, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) pour vos instances de notebooks gérés par Vertex AI Workbench.

Cette page décrit certains avantages et limites spécifiques de l'utilisation du chiffrement CMEK avec les notebooks gérés, et explique comment configurer une nouvelle instance de notebooks gérés pour utiliser le chiffrement CMEK.

Pour en savoir plus sur le chiffrement CMEK en général, y compris quand et pourquoi l'activer, consultez la page Clés de chiffrement gérées par le client.

Avantages du chiffrement CMEK

D'une manière générale, CMEK est particulièrement utile si vous avez besoin d'un contrôle total sur les clés utilisées pour chiffrer vos données. Avec CMEK, vous pouvez gérer vos clés dans Cloud Key Management Service. Par exemple, vous pouvez désactiver des clés, les alterner ou définir un calendrier de rotation à l'aide de l'API Cloud KMS.

Lorsque vous exécutez une instance de notebooks gérés, celle-ci s'exécute dans une infrastructure de calcul gérée par Google. Lorsque vous activez CMEK pour une instance de notebooks gérés, Vertex AI Workbench utilise la clé que vous désignez, et non une clé gérée par Google, pour chiffrer vos données utilisateur.

La clé CMEK ne chiffre pas les métadonnées, telles que le nom et la région de l'instance, associées à votre instance de notebooks gérés. Les métadonnées associées aux instances de notebooks gérés sont toujours chiffrées à l'aide du mécanisme de chiffrement par défaut de Google.

Limites du chiffrement CMEK

Pour réduire la latence et éviter que les ressources ne dépendent de services répartis sur plusieurs domaines de défaillance, nous vous recommandons de protéger les instances régionales de notebooks gérés en faisant appel à des clés situées au même emplacement.

  • Vous pouvez chiffrer des instances régionales de notebooks gérés à l'aide de clés situées au même emplacement ou dans l'emplacement global. Par exemple, vous pouvez chiffrer les données utilisateur dans la région us-west1 à l'aide d'une clé dans us-west1 ou global.
  • Configurer CMEK pour les notebooks gérés ne configure pas automatiquement CMEK pour les autres produits Google Cloud que vous utilisez. Pour chiffrer des données dans d'autres produits Google Cloud avec CMEK, vous devez effectuer une configuration supplémentaire.

Configurer CMEK pour votre instance de notebooks gérés

Dans les sections suivantes, nous allons voir comment créer un trousseau de clés et une clé dans Cloud Key Management Service, accorder des autorisations de chiffrement et de déchiffrement au compte de service pour votre clé, et créer une instance de notebooks gérés utilisant CMEK.

Avant de commencer

Nous vous recommandons d'utiliser une configuration compatible avec la séparation des tâches. Pour configurer CMEK pour les notebooks gérés, vous pouvez utiliser deux projets Google Cloud distincts :

  • Un projet Cloud KMS : projet permettant de gérer votre clé de chiffrement.
  • Un projet de notebooks gérés : un projet permettant d'accéder aux instances de notebooks gérés et d'interagir avec tous les autres produits Google Cloud dont vous avez besoin pour votre cas d'utilisation

Vous pouvez également utiliser un seul projet Google Cloud. Pour ce faire, utilisez le même projet pour toutes les tâches suivantes.

Configurer le projet Cloud KMS

  1. Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

  2. Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

  3. Vérifiez que la facturation est activée pour votre projet Google Cloud.

  4. Activez l'API Cloud KMS

    Activer l'API

    5.

  5. Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

  6. Vérifiez que la facturation est activée pour votre projet Google Cloud.

  7. Activez l'API Cloud KMS

    Activer l'API

    8.

Configurer le projet de notebooks gérés

  1. Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

  2. Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

  3. Vérifiez que la facturation est activée pour votre projet Google Cloud.

  4. Activez Notebooks API.

    Activer l'API

    5.

  5. Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

  6. Vérifiez que la facturation est activée pour votre projet Google Cloud.

  7. Activez Notebooks API.

    Activer l'API

    8.