Cette page a été traduite par l'API Cloud Translation.

Activer les clés de chiffrement gérées par le client pour les évaluations

Ce document explique comment chiffrer les données d'évaluation Workload Manager avec des clés de chiffrement gérées par le client (CMEK).

Présentation

Par défaut, Workload Manager chiffre le contenu client au repos. Workload Manager gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.

Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Workload Manager. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Grâce à Cloud KMS, vous pouvez également afficher les journaux d'audit et contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.

Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Workload Manager est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).

Limites

Les limites suivantes s'appliquent aux chiffrements CMEK dans Workload Manager :

CMEK n'est disponible que pour les évaluations de type de règle personnalisée Workload Manager. D'autres fonctionnalités du Gestionnaire de charges de travail, telles que les évaluations ou le déploiement SAP, utilisent le chiffrement par défaut de Google, car aucun contenu client au repos n'est impliqué.
Workload Manager applique les clés CMEK au stockage qu'il possède uniquement.

Avant de commencer

Avant de pouvoir utiliser CMEK, vous devez créer une clé Cloud Key Management Service et accorder les autorisations requises.

Créez un trousseau de clés et une clé.

Sélectionnez un projet, puis suivez le guide Cloud KMS sur la création de clés symétriques pour créer un trousseau et une clé. L'emplacement du trousseau de clés doit correspondre à celui de l'évaluation.

Notez que Workload Manager est compatible avec les clés gérées externes. Pour en savoir plus, consultez Cloud External Key Manager.
octroyer des autorisations ;

Pour accorder l'accès à la clé Cloud KMS, attribuez le rôle roles/cloudkms.cryptoKeyEncrypterDecrypter à l'agent de service Workload Manager. L'agent de service est service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com, où PROJECT_ID est l'ID du projet dans lequel l'évaluation est créée.

Fonctionnement de CMEK pour les évaluations de type de règle personnalisée

Cette section décrit le fonctionnement de CMEK pour les évaluations de types de règles personnalisés.

Provisionnement de clés KMS

Vous pouvez fournir une clé Cloud KMS lors de la création ou de la mise à jour d'une évaluation de type de règle personnalisée. Cette disposition est facultative. Si aucune clé Cloud KMS n'est spécifiée, Workload Manager utilise le chiffrement Google par défaut. La clé Cloud KMS fournie doit exister et le rôle Chiffreur/Déchiffreur (roles/cloudkms.cryptoKeyEncrypterDecrypter) doit être attribué au compte de service Workload Manager pour pouvoir utiliser la clé Cloud KMS. Workload Manager valide la clé Cloud KMS lors de la création ou de la mise à jour de l'évaluation, et renvoie des erreurs.

Chiffrement des données

Lorsque vous exécutez une évaluation avec une clé Cloud KMS provisionnée, Workload Manager utilise la clé Cloud KMS fournie pour chiffrer le stockage appartenant à Workload Manager :

Bucket Cloud Storage temporaire utilisé par l'opération d'évaluation. Le bucket Cloud Storage temporaire est créé au début d'une évaluation et supprimé à la fin de l'évaluation.
Ensembles de données BigQuery dans lesquels les résultats de l'évaluation sont stockés.

Workload Manager n'utilise pas ces clés pour chiffrer les données dans les buckets Cloud Storage où vous stockez les règles personnalisées, ni dans les ensembles de données BigQuery externes que vous utilisez pour enregistrer les résultats de l'évaluation.

Accès aux données

Workload Manager chiffre les résultats de l'évaluation avec la version principale de la clé Cloud KMS fournie au moment de l'exécution de l'évaluation. Vous pouvez accéder aux résultats d'une évaluation et les consulter si la version de clé Cloud KMS spécifique reste activée.

L'accès aux résultats de l'évaluation n'est pas affecté par la rotation des clés KMS. La rotation de clés crée une version, mais les versions précédentes sont conservées.

Les résultats de l'évaluation ne sont pas rechiffrés lorsque la clé est alternée.

Configurer CMEK pour les évaluations de types de règles personnalisés

Pour utiliser les CMEK pour les évaluations de types de règles personnalisés, commencez par créer une clé dans Cloud KMS, puis accordez-lui les autorisations requises, comme décrit dans Avant de commencer. Vous pourrez ensuite utiliser la clé pour créer ou mettre à jour des évaluations, les exécuter et afficher leurs résultats.

Créer une évaluation avec CMEK

Vous pouvez créer des évaluations de type de règle personnalisées avec CMEK de la même manière que décrit sur la page Créer une évaluation. Vous pouvez activer la CMEK après avoir sélectionné les régions.

Sélectionnez Clé de chiffrement gérée par le client (CMEK) dans la liste Chiffrement (facultatif).
Sélectionnez une clé Cloud KMS.

Mettre à jour une évaluation avec CMEK

Vous pouvez mettre à jour une évaluation pour utiliser des clés CMEK.

Sur la page de modification de l'évaluation, sélectionnez Clé de chiffrement gérée par le client (CMEK) dans la liste Chiffrement (facultatif).
Sélectionnez une clé Cloud KMS.

Afficher les résultats de l'évaluation avec CMEK

Vous pouvez afficher les résultats de l'évaluation de la même manière que décrit sur la page Afficher les résultats de l'évaluation. Aucune autre action n'est requise.

Quotas Cloud KMS et Workload Manager

Lorsque vous utilisez des clés CMEK dans Workload Manager, vos projets peuvent consommer des quotas de requêtes de chiffrement Cloud KMS. Par exemple, les évaluations Workload Manager chiffrées avec CMEK peuvent utiliser ces quotas. Les opérations de chiffrement et de déchiffrement à l'aide de clés CMEK n'affectent les quotas Cloud KMS que si vous utilisez des clés matérielles (Cloud HSM) ou externes (Cloud EKM). Pour en savoir plus, consultez la page Quotas Cloud KMS.

Pour les clés externes, le quota par défaut est de 100 RPS par projet de clé pour les opérations de chiffrement. Si nécessaire, vous pouvez demander un quota EKM plus élevé.

Étapes suivantes

En savoir plus sur CMEK sur Google Cloud
Découvrez comment utiliser CMEK avec d'autres produits Google Cloud.