Ce document présente l'utilisation de Cloud Key Management Service (Cloud KMS) pour les clés de chiffrement gérées par le client (CMEK). L'utilisation de CMEK Cloud KMS vous permet de posséder et de contrôler les clés qui protègent vos données au repos dans Google Cloud.
Comparaison entre les clés CMEK et les clés appartenant à Google et gérées par Google
Les clés Cloud KMS que vous créez sont des clés gérées par le client. Les services Google qui utilisent vos clés sont dits disposer d'une intégration de CMEK. Vous pouvez gérer ces CMEK directement ou via Cloud KMS Autokey. Les facteurs suivants différencient le chiffrement par défaut de Google au repos des clés gérées par le client:
| Type de clé | Gérée par le client avec Autokey | Géré par le client (manuel) | Détenu et géré par Google (par défaut) |
|---|---|---|---|
| Peut afficher les métadonnées de clé | Oui | Oui | Oui |
| Propriété des clés1 | Client | Client | |
| Peut gérer et contrôler2 clés3 | La création et l'attribution de clés sont automatisées. Le contrôle manuel par le client est entièrement pris en charge. | Client, contrôle manuel uniquement | |
| Respecte les exigences réglementaires concernant les clés gérées par le client | Oui | Oui | Non |
| Partage des clés | Spécifique à un client | Spécifique à un client | Les données de plusieurs clients utilisent généralement la même clé de chiffrement de clé (KEK). |
| Contrôle de la rotation des clés | Oui | Oui | Non |
| Règles d'administration CMEK | Oui | Oui | Non |
| Journaliser l'accès administratif et aux données aux clés de chiffrement | Oui | Oui | Non |
| Tarifs | Varie : pour en savoir plus, consultez la section Tarifs. Autokey est disponible sans frais supplémentaires. | Varie : pour en savoir plus, consultez la section Tarifs | Gratuit |
1 En termes juridiques, le propriétaire de la clé indique qui détient les droits sur la clé. Les clés appartenant au client sont soumises à un accès très restreint ou n'ont aucun accès par Google.
2Le contrôle des clés consiste à définir des contrôles sur le type de clés et la façon dont elles sont utilisées, à détecter les écarts et à planifier des mesures correctives si nécessaire. Vous pouvez contrôler vos clés, mais déléguer leur gestion à un tiers.
3La gestion des clés inclut les fonctionnalités suivantes:
- Créez des clés.
- Choisissez le niveau de protection des clés.
- Attribuez l'autorité de gestion des clés.
- Contrôler l'accès aux clés
- Contrôler l'utilisation des clés
- Définissez et modifiez la période de rotation des clés, ou déclenchez une rotation des clés.
- Modifier l'état de la clé.
- Détruire les versions de clé.
Chiffrement par défaut avec des clés appartenant à Google et gérées par Google
Toutes les données stockées dans Google Cloud sont chiffrées au repos à l'aide des mêmes systèmes de gestion de clés renforcés que ceux que Google utilise pour ses propres données chiffrées. Ces systèmes de gestion de clés fournissent des contrôles d'accès et des audits de clés stricts, et chiffrent les données utilisateur au repos à l'aide de la norme de chiffrement AES-256. Google possède et contrôle les clés utilisées pour chiffrer vos données. Vous ne pouvez pas afficher ni gérer ces clés, ni consulter les journaux d'utilisation des clés. Les données de plusieurs clients peuvent utiliser la même clé de chiffrement de clé (KEK). Aucune installation, configuration ou gestion n'est requise.
Pour en savoir plus sur le chiffrement par défaut dans Google Cloud, consultez la page Chiffrement au repos par défaut.
Clés de chiffrement gérées par le client (CMEK)
Les clés de chiffrement gérées par le client sont des clés de chiffrement que vous possédez. Cette fonctionnalité vous permet de mieux contrôler les clés utilisées pour chiffrer les données au repos dans les services Google Cloud compatibles, et fournit une limite cryptographique autour de vos données. Vous pouvez gérer les clés CMEK directement dans Cloud KMS ou automatiser le provisionnement et l'attribution à l'aide de la fonctionnalité de clé automatique Cloud KMS.
Les services compatibles avec les CMEK disposent d'une intégration de CMEK. L'intégration CMEK est une technologie de chiffrement côté serveur que vous pouvez utiliser à la place du chiffrement par défaut de Google. Une fois CMEK configuré, les opérations de chiffrement et de déchiffrement des ressources sont gérées par l'agent de service des ressources. Étant donné que les services intégrés CMEK gèrent l'accès à la ressource chiffrée, le chiffrement et le déchiffrement peuvent se produire de manière transparente, sans effort pour l'utilisateur final. L'expérience d'accès aux ressources est semblable à celle du chiffrement par défaut de Google. Pour en savoir plus sur l'intégration de CMEK, consultez la section Ce qu'un service intégré aux CMEK fournit.
Vous pouvez utiliser un nombre illimité de versions de clé pour chaque clé.
Pour savoir si un service est compatible avec les CMEK, consultez la liste des services compatibles.
L'utilisation de Cloud KMS entraîne des coûts liés au nombre de versions de clé et d'opérations cryptographiques avec ces versions de clé. Pour en savoir plus sur la tarification, consultez la page Tarifs de Cloud Key Management Service. Aucun achat ni engagement minimum n'est requis.
Clés de chiffrement gérées par le client (CMEK) avec Autokey Cloud KMS
Cloud KMS Autokey simplifie la création et la gestion des CMEK en automatisant le provisionnement et l'attribution. Avec Autokey, les trousseaux de clés et les clés sont générés à la demande lors de la création de ressources. Les agents de service qui utilisent les clés pour les opérations de chiffrement et de déchiffrement sont automatiquement accordés les rôles IAM (Identity and Access Management) nécessaires.
L'utilisation de clés générées par Autokey peut vous aider à vous conformer aux normes du secteur et aux bonnes pratiques en matière de sécurité des données, y compris l'alignement de l'emplacement des clés et des données, la spécificité des clés, le niveau de protection du module matériel de sécurité (HSM), le calendrier de rotation des clés et la séparation des tâches. Autokey crée des clés qui respectent à la fois les consignes générales et les consignes spécifiques au type de ressource pour les services Google Cloud qui s'intègrent à Autokey. Les clés créées à l'aide d'Autokey fonctionnent de manière identique aux autres clés Cloud HSM avec les mêmes paramètres, y compris la prise en charge des exigences réglementaires pour les clés gérées par le client. Pour en savoir plus sur Autokey, consultez la section Présentation de la clé automatique.
Quand utiliser des clés de chiffrement gérées par le client ?
Vous pouvez utiliser des clés CMEK créées manuellement ou des clés créées par Autokey dans des services compatibles pour vous aider à atteindre les objectifs suivants:
Possédez vos clés de chiffrement.
Contrôlez et gérez vos clés de chiffrement, y compris le choix de l'emplacement, le niveau de protection, la création, le contrôle des accès, la rotation, l'utilisation et la destruction.
Générez du matériel de clé dans Cloud KMS ou importez du matériel de clé géré en dehors de Google Cloud.
Définissez des règles concernant les emplacements où vos clés doivent être utilisées.
Supprimez de manière sélective les données protégées par vos clés en cas de départ ou pour remédier aux événements de sécurité (crypto-destruction).
Créez et utilisez des clés propres à un client, en établissant une limite cryptographique autour de vos données.
Enregistrez l'accès administratif et aux données aux clés de chiffrement.
Respecter les réglementations actuelles ou futures qui exigent l'un de ces objectifs.
Services bénéficiant d'une intégration des CMEK
Comme le chiffrement par défaut de Google, le chiffrement CMEK est un chiffrement côté serveur, symétrique et enveloppant des données client. La différence avec le chiffrement par défaut de Google est que la protection CMEK utilise une clé contrôlée par le client. Les clés CMEK créées manuellement ou automatiquement à l'aide d'Autokey fonctionnent de la même manière lors de l'intégration de services.
Les services cloud intégrant des clés CMEK utilisent les clés que vous créez dans Cloud KMS pour protéger vos ressources.
Les services intégrés à Cloud KMS utilisent le chiffrement symétrique.
Vous choisissez le niveau de protection de la clé.
Toutes les clés sont AES-GCM 256 bits.
Le matériel de clé ne quitte jamais la limite du système Cloud KMS.
Vos clés symétriques sont utilisées pour chiffrer et déchiffrer dans le modèle de chiffrement par enveloppe.
Les services intégrés aux CMEK suivent les clés et les ressources
Les ressources protégées par CMEK disposent d'un champ de métadonnées contenant le nom de la clé qui les chiffre. En général, les clients peuvent voir ces informations dans les métadonnées des ressources.
Le suivi des clés indique les ressources qu'une clé protège, pour les services compatibles avec le suivi des clés.
Les clés peuvent être répertoriées par projet.
Les services intégrés aux CMEK gèrent l'accès aux ressources
Le principal qui crée ou affiche des ressources dans le service intégré CMEK n'a pas besoin du Chiffreur/Déchiffreur de CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) pour le CMEK utilisé pour protéger la ressource.
Chaque ressource de projet dispose d'un compte de service spécial appelé agent de service, qui effectue le chiffrement et le déchiffrement à l'aide de clés gérées par le client. Une fois que vous avez accordé à l'agent de service l'accès à une clé CMEK, cet agent de service utilisera cette clé pour protéger les ressources de votre choix.
Lorsqu'un demandeur souhaite accéder à une ressource chiffrée avec une clé gérée par le client, l'agent de service tente automatiquement de déchiffrer la ressource demandée. Si l'agent de service est autorisé à déchiffrer à l'aide de la clé et que vous ne l'avez pas désactivée ni détruite, il fournit l'utilisation du chiffrement et du déchiffrement de la clé. À défaut, la requête échoue.
Aucun accès supplémentaire de l'utilisateur à la demande n'est requis. Étant donné que l'agent de service gère le chiffrement et le déchiffrement en arrière-plan, l'expérience utilisateur pour accéder aux ressources est semblable à celle du chiffrement par défaut de Google.
Utiliser Autokey pour CMEK
Pour chaque dossier dans lequel vous souhaitez utiliser Autokey, un processus de configuration unique est nécessaire. Vous pouvez choisir un dossier dans lequel travailler avec la prise en charge d'Autokey, ainsi qu'un projet de clé associé dans lequel Autokey stocke les clés de ce dossier. Pour en savoir plus sur l'activation d'Autokey, consultez Activer Cloud KMS Autokey.
Par rapport à la création manuelle de clés CMEK, Autokey ne nécessite pas les étapes de configuration suivantes:
Les administrateurs de clés n'ont pas besoin de créer manuellement des trousseaux de clés ni de clés, ni d'attribuer des droits aux agents de service qui chiffrent et déchiffrent les données. L'agent de service Cloud KMS effectue ces actions en leur nom.
Les développeurs n'ont pas besoin de planifier à l'avance la demande de clés avant la création de ressources. Ils peuvent demander eux-mêmes des clés à Autokey si nécessaire, tout en préservant la séparation des tâches.
Lorsque vous utilisez Autokey, il n'y a qu'une seule étape: le développeur demande les clés lors de la création de ressources. Les clés renvoyées sont cohérentes pour le type de ressource prévu.
Les CMEK créées avec Autokey se comportent de la même manière que les clés créées manuellement pour les fonctionnalités suivantes:
Les services intégrés aux CMEK se comportent de la même manière.
L'administrateur de clés peut continuer à surveiller toutes les clés créées et utilisées via le tableau de bord Cloud KMS et le suivi de l'utilisation des clés.
Les règles d'administration fonctionnent de la même manière avec Autokey qu'avec les CMEK créées manuellement.
Pour en savoir plus sur Autokey, consultez la section Présentation d'Autokey. Pour en savoir plus sur la création de ressources protégées par CMEK avec Autokey, consultez Créer des ressources protégées à l'aide de Cloud KMS Autokey.
Créer manuellement des CMEK
Lorsque vous créez manuellement vos clés CMEK, vous devez planifier et créer des trousseaux de clés, des clés et des emplacements de ressources avant de pouvoir créer des ressources protégées. Vous pouvez ensuite utiliser vos clés pour protéger les ressources.
Pour connaître la procédure exacte d'activation des CMEK, consultez la documentation sur le service Google Cloud concerné. Certains services, tels que GKE, possèdent plusieurs intégrations de CMEK permettant de protéger différents types de données liées au service. Vous devrez suivre des étapes semblables aux suivantes:
Créez un trousseau de clés Cloud KMS ou choisissez-en un existant. Lorsque vous créez votre trousseau de clés, choisissez un emplacement géographiquement proche des ressources que vous protégez. Le trousseau de clés peut se trouver dans le même projet que les ressources que vous protégez ou dans des projets différents. L'utilisation de différents projets vous permet de mieux contrôler les rôles IAM et de faciliter la séparation des tâches.
Vous créez ou importez une clé Cloud KMS dans le trousseau de clés choisi. Il s'agit de la clé CMEK.
Vous attribuez le rôle IAM de chiffreur/déchiffreur de clés cryptographiques encrypter-decrypter-role sur la CMEK au compte de service pour le service.
Lorsque vous créez une ressource, configurez-la pour qu'elle utilise le CMEK. Par exemple, vous pouvez configurer un cluster GKE pour utiliser des CMEK afin de protéger les données au repos sur les disques de démarrage des nœuds.
Pour qu'un demandeur puisse accéder aux données, il n'a pas besoin d'un accès direct au CMEK.
Tant que l'agent de service dispose du rôle CryptoKey Encrypter/Decrypter (Chiffreur/Déchiffreur de clés cryptographiques), le service peut chiffrer et déchiffrer ses données. Si vous révoquez ce rôle, ou si vous désactivez ou détruisez la CMEK, ces données ne sont plus accessibles.
Conformité CMEK
Certains services sont intégrés à CMEK et vous permettent de gérer vous-même les clés. Certains services offrent plutôt une compatibilité avec les CMEK, ce qui signifie que les données temporaires et la clé éphémère ne sont jamais écrites sur le disque. Pour obtenir la liste complète des services intégrés et compatibles, consultez la section Services compatibles avec les CMEK.
Suivi de l'utilisation des clés
Le suivi de l'utilisation des clés vous indique les ressources Google Cloud de votre organisation qui sont protégées par vos CMEK. Grâce au suivi de l'utilisation des clés, vous pouvez afficher les ressources, les projets et les produits Google Cloud uniques protégés qui utilisent une clé spécifique, et savoir si les clés sont utilisées. Pour en savoir plus sur le suivi de l'utilisation des clés, consultez Afficher l'utilisation des clés.
Règles d'administration CMEK
Google Cloud propose des contraintes de règles d'administration pour garantir une utilisation cohérente des CMEK dans l'ensemble des ressources d'une organisation. Ces contraintes permettent aux administrateurs de l'organisation de nécessiter l'utilisation de CMEK et de spécifier des limites et des contrôles sur les clés Cloud KMS utilisées pour la protection CMEK, y compris les éléments suivants:
Limites concernant les clés Cloud KMS utilisées pour la protection CMEK
Limites concernant les niveaux de protection des clés autorisés
Limites concernant l'emplacement des CMEK
Commandes de destruction des versions de clé
Étape suivante
- Consultez la liste des services avec intégrations de CMEK.
- Consultez la liste des services compatibles avec les CMEK.
- Consultez la liste des types de ressources pouvant être associés au suivi de l'utilisation des clés.
- Consultez la liste des services compatibles avec Autokey.