Par défaut, Workflows chiffre vos données stockées au repos. Google Cloud traite et gère ce chiffrement par défaut sans intervention de votre part.
Si vous avez des exigences réglementaires ou de conformité spécifiques liées aux clés qui protègent vos données, vous pouvez utiliser clés de chiffrement gérées par le client (CMEK) pour Workflows Votre workflow et les données associées au repos sont protégés à l'aide d'une clé de chiffrement à laquelle vous seul pouvez accéder, et que vous pouvez contrôler et gérer à l'aide de Cloud Key Management Service (Cloud KMS).
Éléments protégés par CMEK
Lorsque vous déployez un workflow, vous pouvez spécifier une clé Cloud KMS. Cette clé est utilisé pour chiffrer le workflow et ses exécutions:
Un workflow requiert un fichier source contenant un workflow valide définition. Ce fichier source est chiffré à l'aide de la clé.
Une exécution de workflow exécute la définition du workflow actuelle (une révision du workflow). À l'aide de la clé associée à la révision du workflow au moment de son déploiement, le workflow compilé, ainsi que toutes les données d'entrée, de sortie et d'exécution stockées, sont chiffrées. Cela inclut les arguments d'exécution, les résultats, les erreurs et les exceptions ; livré Événements Eventarc ainsi que les requêtes et réponses HTTP et de rappel.
Avant de commencer
Avant d'utiliser CMEK dans les workflows, procédez comme suit :
Activez les API.
Console
-
Enable the Cloud KMS and Workflows APIs.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
- Mettez à jour les composants
gcloud
.gcloud components update
- Activez les API Cloud KMS et Workflows pour le projet qui stockera vos clés de chiffrement.
gcloud services enable cloudkms.googleapis.com workflows.googleapis.com
-
Cloud KMS génère des journaux d'audit Cloud lorsque les clés sont activées, désactivées ou utilisées par les ressources Workflows pour chiffrer et déchiffrer les données. Vérifiez que la journalisation est activée pour l'API Cloud KMS de votre projet et que vous avez décidé les autorisations et les rôles propres à la journalisation qui s'appliquent à votre cas d'utilisation. Pour plus pour en savoir plus, consultez Informations sur les journaux d'audit Cloud KMS
Créer un trousseau et une clé Cloud KMS
Vous pouvez créer un trousseau de clés ou en utiliser un existant. Dans le trousseau de clés, vous pouvez ajouter une clé ou utiliser une clé existante.
Récupérer l'ID de ressource d'une clé Cloud KMS
Veuillez indiquer l'ID de ressource d'une clé Cloud KMS lorsque vous activez CMEK pour un workflow. Dans ce document, consultez la section Activer les CMEK pour un workflow.
Console
Dans la console Google Cloud, accédez à la page Gestion des clés.
Cliquez sur le trousseau contenant la clé.
Pour la clé dont vous voulez récupérer l'ID de ressource, cliquez sur more_vert Plus.
Cliquez sur Copier le nom de la ressource.
L'ID de ressource pour la clé est copié dans votre presse-papiers. Son format est semblable à ce qui suit:
projects/PROJECT_NAME/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
Une clé contient zéro ou plusieurs versions de clé. L'ID de ressource d'une version de clé correspond à l'ID de la clé, suivi d'une barre oblique (
/
) et de l'ID de version. À lister toutes les versions d'une clé:- Cliquez sur le nom de la clé.
- Pour une version spécifique, cliquez sur Plus.
- Cliquez sur Copier le nom de la ressource.
gcloud
Répertoriez toutes les clés d'un trousseau de clés donné :
gcloud kms keys list --keyring RING_NAME --location LOCATION
Remplacez les éléments suivants :
RING_NAME
: nom du trousseau de clésLOCATION
: région du trousseau de clés
Le résultat inclut l'ID de ressource de chaque clé. Exemple :
NAME: projects/PROJECT_NAME/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
Une clé comporte zéro ou plusieurs versions de clé. L'ID de ressource d'une version de clé est l'ID de clé suivi d'une barre oblique (
/
) et de l'ID de version. Répertorier toutes les versions pour une clé:gcloud kms keys versions list --location LOCATION --keyring RING_NAME --key KEY_NAME
La sortie inclut l'ID de ressource pour chaque version de clé. Exemple :
NAME: projects/PROJECT_NAME/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME/2
Accorder à l'agent de service Workflows l'accès à la clé
Vous devez attribuer au agent de service Workflows le rôle IAM Chiffreur/Déchiffreur de CryptoKey Cloud KMS pour qu'il puisse accéder à la clé Cloud KMS :
Console
Lorsque vous activez CMEK pour un workflow via la console, vous êtes invité à attribuer le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS au compte de service. Pour en savoir plus, consultez la section Activer CMEK pour un workflow dans ce document.
gcloud
gcloud kms keys add-iam-policy-binding KEY_NAME \ --keyring RING_NAME \ --location LOCATION \ --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-workflows.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter
Remplacez les éléments suivants :
KEY_NAME
: nom de la clé. Exemple :my-key
RING_NAME
: nom du trousseau de clés. Exemple :my-keyring
.LOCATION
: emplacement de la clé. Exemple :us-central1
.PROJECT_NUMBER
: numéro de votre projet Google Cloud. Vous pouvez trouver le numéro de votre projet sur la page Bienvenue de la console Google Cloud ou en exécutant la commande suivante :export PROJECT=$(gcloud info --format='value(config.project)') gcloud projects describe ${PROJECT} --format="value(projectNumber)"
Tant que l'agent de service dispose du rôle roles/cloudkms.cryptoKeyEncrypterDecrypter
, un workflow de votre projet peut chiffrer et déchiffrer ses données à l'aide de la clé CMEK. Si vous révoquez ce rôle, ou si vous désactivez ou détruisez la clé CMEK, ces données ne sont plus accessibles. Dans ce document, consultez
Désactivez Cloud KMS.
Activer les CMEK pour un workflow
Lorsque vous créez un workflow ou le mettez à jour par la suite, vous pouvez spécifier la clé Cloud KMS que le workflow doit utiliser pour le chiffrement des données.
Console
Dans la console Google Cloud, accédez à la page Workflows.
Cliquez sur le nom du workflow que vous souhaitez mettre à jour.
La page Détails du workflow s'affiche.
Cliquez sur
Modifier.Sélectionnez Clé de chiffrement gérée par le client (CMEK).
Dans la liste Sélectionner une clé gérée par le client, sélectionnez ou filtrez Cloud KMS.
Facultatif : Pour saisir manuellement le nom de ressource de la clé, dans la liste Sélectionner une clé gérée par le client, cliquez sur Saisir la clé manuellement, puis saisissez le nom de ressource de la clé au format spécifié.
Si vous y êtes invité, attribuez le rôle
cloudkms.cyptoKeyEncrypterDecrypter
au Compte de service Workflows avecworkflows.serviceAgent
rôle de ressource.Cliquez sur Suivant.
Pour enregistrer vos modifications et déployer le workflow mis à jour, cliquez sur Déployer.
gcloud
gcloud workflows deploy WORKFLOW_NAME \ --source=SOURCE_FILE \ --kms-key=KEY \ --location LOCATION \ --service-account=SERVICE_ACCOUNT
Remplacez les éléments suivants :
WORKFLOW_NAME
: Nom de votre workflowSOURCE_FILE
: fichier source de votre workflow avec unyaml
pour un fichier YAML oujson
pour un fichier JSON. Exemple :myWorkflow.yaml
.KEY
: ID de ressource de la clé au formatprojects/PROJECT_NAME/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
. Vous pouvez récupérer l'ID de clé.LOCATION
: emplacement du workflowSERVICE_ACCOUNT
: compte de service utilisé pour votre workflow utilisera pour accéder à d'autres services Google Cloud ; Exemple :SERVICE_ACCOUNT_NAME@PROJECT_NAME.iam.gserviceaccount.com
Nous vous recommandons vivement d'utiliser un compte de service ne bénéficiant que des privilèges les plus faibles nécessaires pour accéder aux ressources requises. Si vous ne renseignez pas ce champ, le compte de service par défaut est utilisé. Pour en savoir plus, consultez la section Accorder à un workflow l'accès aux ressources Google Cloud.
Veuillez noter les points suivants :
- Les révisions et les exécutions de workflow sont chiffrées à l'aide de la clé spécifiée au niveau l'heure du déploiement ; les ressources précédemment chiffrées avec une clé précédente restent chiffré avec cette clé précédente. Si un workflow est ensuite modifié et qu'une nouvelle clé est spécifiée, cette révision du workflow est chiffrée avec la nouvelle clé, et toutes les exécutions ultérieures utiliseront la nouvelle clé.
- Les révisions et les exécutions de workflow qui n'étaient pas chiffrées par CMEK ne le sont toujours pas.
- Si vous désactivez CMEK pour une révision de workflow, toutes les exécutions ultérieures sont créées sans chiffrement CMEK. Dans ce document, consultez la section Désactiver CMEK pour un workflow. Les révisions et les exécutions de workflow existantes restent chiffrées avec les clés avec lesquelles elles étaient précédemment chiffrées.
Vérifier l'intégration de Cloud KMS
Vous pouvez vérifier l'intégration de la CMEK en affichant les métadonnées d'un workflow.
Console
Dans la console Google Cloud, accédez à la page Workflows.
Cliquez sur le nom du workflow que vous souhaitez vérifier.
La page Détails des workflows s'affiche.
Cliquez sur l'onglet Détails.
La valeur Chiffrement indique l'ID de ressource de Cloud KMS utilisée pour sécuriser le workflow et son exécution.
gcloud
gcloud workflows describe WORKFLOW_NAME \ --location=LOCATION
La sortie devrait ressembler à ce qui suit :
createTime: '2022-08-10T19:57:58.233177709Z' cryptoKeyName: projects/PROJECT_NAME/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME name: projects/PROJECT_NAME/locations/LOCATION/workflows/WORKFLOW_NAME revisionCreateTime: '2022-11-18T19:44:04.933633237Z' revisionId: 000009-8be serviceAccount: projects/PROJECT_NAME/serviceAccounts/SA_NAME@PROJECT_NAME.iam.gserviceaccount.com sourceContents: [...] state: ACTIVE updateTime: '2022-11-18T19:44:05.171793128Z'
La valeur cryptokeyName
correspond à l'ID de ressource de la clé Cloud KMS utilisée pour sécuriser le workflow et son exécution.
Désactiver les CMEK pour un workflow
Vous pouvez désactiver les clés CMEK pour un workflow afin qu'il n'utilise plus les clés Cloud KMS.
Console
Dans la console Google Cloud, accédez à la page Workflows.
Cliquez sur le nom du workflow que vous souhaitez mettre à jour.
La page Détails du workflow s'affiche.
Cliquez sur
Modifier.Pour désactiver le bouton radio Clé de chiffrement gérée par le client (CMEK), sélectionnez Clé de chiffrement gérée par Google.
Cliquez sur Suivant.
Pour enregistrer vos modifications et déployer le workflow mis à jour, cliquez sur Déployer.
gcloud
gcloud workflows deploy WORKFLOW_NAME \ --source=SOURCE_FILE \ --clear-kms-key \ --service-account=SERVICE_ACCOUNT
Cette action désactive les CMEK pour la révision de workflow actuelle et toute sont créées sans chiffrement CMEK. Workflow existant les révisions et les exécutions restent chiffrées à l'aide des clés qu'elles précédemment chiffrées.
Désactiver Cloud KMS
Si vous souhaitez révoquer l'accès aux données à votre workflow ou à ses exécutions, vous pouvez désactiver Cloud KMS de deux manières :
Désactiver ou détruire la version de clé primaire de votre de chiffrement gérée par le client. La désactivation d'une version de clé CMEK entraîne l'accès à toutes les données protégées par cette version de clé. La destruction d'une version de clé est la contrepartie permanente de cette action. Les deux n’affectent que les flux de travail et de workflow associées à une clé spécifique. Vous ne pouvez pas créer d'exécutions ni afficher les ressources associées à la clé désactivée ou détruite. Toute exécution active échouera et affichera une erreur correspondante .
Révoquez le rôle IAM
cloudkms.cryptoKeyEncrypterDecrypter
de l'agent de service Workflows. Cela a un impact sur tous les workflows du Projet Google Cloud compatible avec le chiffrement à l'aide de CMEK. Vous ne pouvez pas créer des workflows et des exécutions intégrés à la CMEK, ou afficher les pour les ressources chiffrées par CMEK. Toutes les exécutions actives échouent et un message d'erreur correspondant s'affiche.
Même si aucune de ces opérations ne garantit une révocation immédiate des accès, les modifications de Cloud IAM se propagent généralement plus rapidement. Pour plus d'informations, consultez la page Cohérence des ressources Cloud KMS et Propagation des modifications des accès
Dépannage
Vous pouvez rencontrer des erreurs lorsque vous utilisez Cloud KMS avec Workflows Le tableau suivant décrit différents problèmes et comment les résoudre.
Problème | Description |
---|---|
Autorisation cloudkms.cryptoKeyVersions.useToEncrypt refusée |
Soit la clé Cloud KMS fournie n'existe pas, soit l'autorisation n'est pas correctement configurée.
Solution :
|
La version de clé n'est pas activée | La version de clé Cloud KMS fournie a été désactivée.
Solution: réactivez la version de clé Cloud KMS. |
La région du trousseau de clés ne correspond pas à la ressource à protéger | La région du trousseau de clés KMS fournie est différente de celle du
du workflow.
Solution : utilisez un trousseau de clés Cloud KMS et un workflow protégé de la même région. Notez qu'ils peuvent se trouver dans différentes projects.) Pour en savoir plus, consultez Emplacements Cloud KMS Emplacements des workflows. |
La limite de quota Cloud KMS est dépassée | Vous avez atteint votre limite de quota pour les requêtes Cloud KMS.
Solution: limitez le nombre d'appels Cloud KMS ou d'augmenter la limite de quota. Pour en savoir plus, consultez la page Quotas Cloud KMS. |
Traitement de l'état d'indisponibilité d'une clé
Si, pour une raison quelconque, Cloud KMS n'est pas disponible, Workflows risque de ne pas pouvoir récupérer l'état de votre clé à partir de Cloud KMS.
Si l'état de la clé n'est pas disponible, le workflow ou son exécution renvoie
Une valeur state: UNAVAILABLE
et les détails associés dans le champ stateError
.
Si l'état de la clé devient indisponible au cours de l'exécution du workflow (par
exemple, une autorisation est révoquée lors d'un rappel), une erreur d'exécution se produit,
renvoyant une valeur state: FAILED
et les détails associés dans le champ error
.
Tarifs
Cette intégration n'entraîne pas de coûts supplémentaires au-delà des opérations de clés, qui sont facturés à votre projet Google Cloud. Pour en savoir plus sur les tarifs actuels, consultez la page Tarifs de Cloud KMS.