Créer une clé externe

Cette page vous explique comment créer des clés Cloud External Key Manager (Cloud EKM) sur un trousseau de clés existant dans Cloud Key Management Service (Cloud KMS).

Avant de commencer

Avant d'effectuer les tâches indiquées sur cette page, vous devez disposer des éléments suivants :

  • Ressource de projet Trusted Cloud contenant vos ressources Cloud KMS. Nous vous recommandons d'utiliser un projet distinct pour vos ressources Cloud KMS, qui ne contient aucune autre ressource Trusted Cloud .

    Notez le compte de service Cloud EKM de votre projet. Dans l'exemple suivant, remplacez PROJECT_NUMBER par le numéro de projet de votre Trusted Cloud projet. Ces informations sont également visibles chaque fois que vous utilisez la console Trusted Cloud pour créer une clé Cloud EKM.

        service-PROJECT_NUMBER@gcp-sa-ekms.s3ns-system.iam.gserviceaccount.com
  • Nom et emplacement du trousseau de clés dans lequel vous souhaitez créer votre clé. Choisissez un trousseau de clés dans un emplacement proche de vos autres ressources et compatible avec Cloud EKM. Pour créer un trousseau de clés, consultez Créer un trousseau de clés.
  • Dans le système partenaire de gestion des clés externes, accordez au compte de service Trusted Cloudl'accès permettant d'utiliser vos clés externes. Traitez le compte de service comme une adresse e-mail. Les partenaires EKM peuvent utiliser une terminologie différente de celle utilisée dans ce document.
  • Pour créer des clés EKM sur VPC, vous devez créer une connexion EKM.

Rôles requis

Pour obtenir les autorisations nécessaires pour créer des clés, demandez à votre administrateur de vous attribuer le rôle IAM Administrateur Cloud KMS (roles/cloudkms.admin) sur le projet ou sur une ressource parente. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle prédéfini contient les autorisations requises pour créer des clés. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour créer des clés :

  • cloudkms.cryptoKeys.create
  • cloudkms.cryptoKeys.get
  • cloudkms.cryptoKeys.list
  • cloudkms.cryptoKeyVersions.create
  • cloudkms.cryptoKeyVersions.get
  • cloudkms.cryptoKeyVersions.list
  • cloudkms.keyRings.get
  • cloudkms.keyRings.list
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
  • Pour récupérer une clé publique : cloudkms.cryptoKeyVersions.viewPublicKey

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Créer une clé externe coordonnée

Console

  1. Dans la console Trusted Cloud , accédez à la page Gestion des clés.

    Accéder à Key Management

  2. Cliquez sur le nom du trousseau de clés pour lequel vous souhaitez créer une clé.

  3. Cliquez sur Créer une clé.

  4. Dans le champ Nom de la clé, saisissez un nom pour votre clé.

  5. Pour le champ Niveau de protection, sélectionnez Externe.

  6. Pour Type de connexion du gestionnaire de clés externe (EKM), sélectionnez via VPC.

  7. Sous EKM via une connexion VPC, sélectionnez une connexion.

    Si vous ne disposez pas de l'autorisation EkmConnection.list, vous devez saisir manuellement le nom de la ressource de connexion.

  8. Cliquez sur Continuer.

  9. Dans la section Matériel de clé, vous devriez voir un message indiquant qu'un nouveau matériel de clé a été demandé par Cloud KMS et généré dans votre EKM. Si le champ Chemin d'accès à la clé s'affiche, cela signifie que la connexion EKM via VPC que vous avez sélectionnée n'est pas configurée pour les clés externes coordonnées.

  10. Configurez les autres paramètres clés selon vos besoins, puis cliquez sur Créer.

Cloud EKM envoie une requête à votre EKM pour créer une clé. La clé est indiquée comme En attente de génération jusqu'à ce que le chemin d'accès à la clé soit renvoyé par votre EKM et que la clé Cloud EKM soit disponible.

gcloud

Pour utiliser Cloud KMS sur la ligne de commande, commencez par installer ou mettre à jour Google Cloud CLI.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Remplacez les éléments suivants :

  • KEY_NAME : nom de la clé.
  • KEY_RING : nom du trousseau de clés qui inclut la clé
  • LOCATION : emplacement Cloud KMS du trousseau de clés.
  • PURPOSE : objectif de la clé.
  • ALGORITHM : algorithme à utiliser pour la clé, par exemple google-symmetric-encryption. Pour obtenir la liste des algorithmes compatibles, consultez Algorithmes.
  • VPC_CONNECTION_RESOURCE_ID : ID de ressource de la connexion EKM.

Pour en savoir plus sur toutes les options et valeurs possibles, exécutez la commande avec l'option --help.

Étapes suivantes