Cette page fournit la liste des services Cloud de Confiance by S3NS qui proposent des intégrations à Cloud KMS. Ces services appartiennent généralement à l'une des catégories suivantes :
Une intégration de clé de chiffrement gérée par le client (CMEK) vous permet de chiffrer les données au repos de ce service à l'aide d'une clé Cloud KMS dont vous êtes propriétaire et que vous gérez. Les données protégées par une clé CMEK ne peuvent pas être déchiffrées sans accès à cette clé.
Un service compatible avec les CMEK ne stocke pas les données, ou ne les stocke que pendant une courte période, par exemple lors du traitement par lot. Ces données sont chiffrées à l'aide d'une clé éphémère qui n'existe qu'en mémoire et n'est jamais écrite sur le disque. Lorsque les données ne sont plus nécessaires, la clé éphémère est vidée de la mémoire et les données ne sont plus accessibles. Le résultat d'un service compatible avec les CMEK peut être stocké dans un service intégré à CMEK, tel que Cloud Storage.
Vos applications peuvent utiliser Cloud KMS d'une autre manière. Par exemple, vous pouvez chiffrer directement les données d'application avant de les transmettre ou de les stocker.
Pour en savoir plus sur la protection des données au repos dans Cloud de Confiance et sur le fonctionnement des clés de chiffrement gérées par le client (CMEK), consultez Clés de chiffrement gérées par le client (CMEK).
Intégrations de CMEK
Le tableau suivant répertorie les services qui s'intègrent à Cloud KMS. Les produits qui s'intègrent à Cloud KMS lorsque vous utilisez des clés Cloud EKM externes sont indiqués sous EKM compatible.
| Service | Protégé par les CMEK | EKM compatible | Sujet |
|---|---|---|---|
| Artifact Registry | Données dans les dépôts | Oui | Activer les clés de chiffrement gérées par le client |
| BigQuery | Données dans BigQuery | Oui | Protéger des données avec des clés Cloud KMS |
| Cloud Logging | Données dans le stockage Logging | Oui | Gérer les clés qui protègent les données de stockage Logging |
| Cloud SQL | Données écrites dans des bases de données | Oui | Utiliser les clés de chiffrement gérées par le client |
| Cloud Storage | Données dans les buckets de stockage | Oui | Utiliser les clés de chiffrement gérées par le client |
| Compute Engine | Instantanés | Oui | Protéger des ressources avec des clés Cloud KMS |
| Compute Engine | Images personnalisées | Oui | Protéger des ressources avec des clés Cloud KMS |
| Compute Engine | Images système | Oui | Protéger des ressources avec des clés Cloud KMS |
| Pub/Sub | Données associées aux sujets | Oui | Configurer le chiffrement des messages |
Services compatibles avec les CMEK
Le tableau suivant liste les services qui n'utilisent pas de clés de chiffrement gérées par le client (CMEK), car ils ne stockent pas de données à long terme. Pour en savoir plus sur la conformité CMEK de ces services, consultez Conformité CMEK.
| Service | Sujet |
|---|---|
| API Gateway | Conformité CMEK dans API Gateway |
| Cloud Build | Conformité CMEK dans Cloud Build |
| Cloud Trace | Conformité CMEK dans Cloud Trace |
| Container Registry | Utiliser un bucket de stockage protégé par les CMEK |
| Cloud Vision | Conformité CMEK dans l'API Vision |
| Service de transfert de stockage | Clés de chiffrement gérées par le client |
Autres intégrations avec Cloud KMS
Ces pages décrivent d'autres façons d'utiliser Cloud KMS avec d'autres servicesCloud de Confiance .
| Produit | Sujet |
|---|---|
| Tout service | Chiffrer les données d'application avant de les transmettre ou de les stocker |
| Cloud Build | Chiffrer les ressources avant de les ajouter à une compilation |
| Sensitive Data Protection | Créer une clé encapsulée |