Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS.

Cette page a été traduite par l'API Cloud Translation.

Cloud External Key Manager

Cette page présente Cloud External Key Manager (Cloud EKM).

Terminologie

Gestionnaire de clés externe (EKM)

Le gestionnaire de clés utilisé en dehors de Trusted Cloud pour gérer vos clés.
Cloud External Key Manager (Cloud EKM)

Un service Trusted Cloud pour utiliser vos clés externes qui sont gérées dans un EKM compatible.
Cloud EKM via un VPC

Version de Cloud EKM dans laquelle Trusted Cloud communique avec votre gestionnaire de clés externe via un cloud privé virtuel (VPC). Pour en savoir plus, consultez la présentation des réseaux VPC.
Gestion des clés EKM depuis Cloud KMS

Vos clés utilisent le mode de gestion EKM Cloud KMS pour simplifier la gestion des clés externes chez votre partenaire de gestion de clés externes et dans Cloud EKM. Pour en savoir plus, consultez les sections Clés externes coordonnées et Gestion des clés EKM depuis Cloud KMS sur cette page.
Espace de chiffrement

Conteneur pour vos ressources chez votre partenaire de gestion de clés externes. Votre espace de chiffrement est identifié par un chemin d'accès unique. Le format du chemin d'accès à l'espace de chiffrement varie en fonction du partenaire de gestion des clés externe (par exemple, v0/cryptospaces/YOUR_UNIQUE_PATH).
EKM géré par le partenaire

Il s'agit d'un accord dans lequel votre EKM est géré pour vous par un partenaire de confiance. Pour en savoir plus, consultez la section EKM géré par un partenaire sur cette page.

Présentation

Avec Cloud EKM, vous pouvez utiliser les clés que vous gérez dans un partenaire de gestion des clés externes compatible pour protéger les données dansTrusted Cloud. Vous pouvez protéger les données au repos dans les services d'intégration de CMEK compatibles ou en appelant directement l'API Cloud Key Management Service.

Cloud EKM présente plusieurs avantages :

Provenance des clés : vous contrôlez l'emplacement et la distribution de vos clés gérées en externe. Les clés gérées en externe ne sont jamais mises en cache ni stockées dans Trusted Cloud. À la place, Cloud EKM communique directement avec le partenaire externe de gestion des clés pour chaque requête.
Contrôle des accès : vous gérez l'accès à vos clés gérées en externe dans votre gestionnaire de clés externe. Vous ne pouvez pas utiliser de clé gérée en externe dansTrusted Cloud sans avoir d'abord accordé au projet Trusted Cloud l'accès à la clé dans votre gestionnaire de clés externe. Vous pouvez révoquer cet accès à tout moment.
Gestion centralisée des clés : vous pouvez gérer vos clés et vos règles d'accès depuis une interface utilisateur unique, que vos données protégées soient stockées dans le cloud ou sur site.

Dans tous les cas, la clé réside sur le système externe et n'est jamais envoyée à Google.

Vous communiquez avec votre gestionnaire de clés externe via un cloud privé virtuel (VPC).

Fonctionnement de Cloud EKM

Les versions de clé Cloud EKM se composent des éléments suivants :

Matériel de clé externe : le matériel de clé externe d'une clé Cloud EKM est un matériel cryptographique créé et stocké dans votre EKM. Ce matériel ne quitte pas votre EKM et n'est jamais partagé avec Google.
Référence de clé : chaque version de clé Cloud EKM contient un URI ou un chemin d'accès à la clé. Il s'agit d'un identifiant unique pour le matériel de clé externe que Cloud EKM utilise lorsqu'il demande des opérations cryptographiques à l'aide de la clé.
Matériel de clé interne : lorsqu'une clé Cloud EKM symétrique est créée, Cloud KMS crée du matériel de clé supplémentaire dans Cloud KMS, qui ne quitte jamais Cloud KMS. Ce matériau de clé est utilisé comme couche de chiffrement supplémentaire lors de la communication avec votre EKM. Ce matériel de clé interne ne s'applique pas aux clés de signature asymétriques.

Pour utiliser vos clés Cloud EKM, Cloud EKM envoie des requêtes d'opérations de chiffrement à votre EKM. Par exemple, pour chiffrer des données avec une clé de chiffrement symétrique, Cloud EKM chiffre d'abord les données à l'aide du matériel de clé interne. Les données chiffrées sont incluses dans une requête envoyée à l'EKM. EKM enveloppe les données chiffrées dans une autre couche de chiffrement à l'aide du matériel de clé externe, puis renvoie le texte chiffré obtenu. Les données chiffrées à l'aide d'une clé Cloud EKM ne peuvent pas être déchiffrées sans le matériel de clé externe et le matériel de clé interne.

La création et la gestion de clés Cloud EKM nécessitent des modifications correspondantes à la fois dans Cloud KMS et dans l'EKM. Vos clés sont des clés externes coordonnées. Les modifications correspondantes sont donc gérées pour vous à l'aide du plan de contrôle Cloud EKM. Pour en savoir plus, consultez Clés externes coordonnées sur cette page.

Le schéma suivant montre comment Cloud KMS s'intègre dans le modèle de gestion des clés. L'exemple présenté ici fait référence à Compute Engine et BigQuery, mais vous pouvez retrouver la liste complète des services compatibles avec les clés Cloud EKM dans la documentation.

Schéma illustrant le chiffrement et le déchiffrement avec Cloud EKM

Lorsque vous utilisez Cloud EKM, vous pouvez en apprendre plus sur les considérations et les restrictions.

Clés externes coordonnées

Cette section présente le fonctionnement de Cloud EKM avec des clés externes coordonnées.

Vous configurez une connexion EKM en définissant le mode de gestion EKM sur Cloud KMS. Lors de la configuration, vous devez autoriser votre EKM à accéder à votre réseau VPC et autoriser le compte de service de votre projetTrusted Cloud à accéder à votre espace de chiffrement dans votre EKM. Votre connexion EKM utilise le nom d'hôte de votre EKM et un chemin d'espace de chiffrement qui identifie vos ressources dans votre EKM.
Vous créez une clé externe dans Cloud KMS. Lorsque vous créez une clé Cloud EKM à l'aide d'une connexion EKM sur VPC avec le mode de gestion EKM Cloud KMS activé, les étapes suivantes sont effectuées automatiquement :
1. Cloud EKM envoie une demande de création de clé à votre EKM.
2. Votre EKM crée le matériel de clé demandé. Ce matériel de clé externe reste dans l'EKM et n'est jamais envoyé à Google.
3. Votre EKM renvoie un chemin d'accès à la clé à Cloud EKM.
4. Cloud EKM crée votre version de clé Cloud EKM à l'aide du chemin d'accès fourni par votre EKM.
Les opérations de maintenance sur les clés externes coordonnées peuvent être lancées depuis Cloud KMS. Par exemple, les clés externes coordonnées utilisées pour le chiffrement symétrique peuvent être alternées automatiquement selon un calendrier défini. La création de versions de clé est coordonnée dans votre EKM par Cloud EKM. Vous pouvez également déclencher la création ou la destruction de versions de clés dans votre EKM à partir de Cloud KMS à l'aide de la consoleTrusted Cloud , de gcloud CLI, de l'API Cloud KMS ou des bibliothèques clientes Cloud KMS.

Dans Trusted Cloud, la clé apparaît à côté de vos autres clés Cloud KMS et Cloud HSM, avec le niveau de protection EXTERNAL_VPC. La clé Cloud EKM et la clé du partenaire de gestion de clés externes fonctionnent conjointement pour protéger vos données. Le matériel de clé externe n'est jamais divulgué à Google.

Gestion des clés EKM depuis Cloud KMS

Les clés externes coordonnées sont possibles grâce aux connexions EKM qui utilisent la gestion des clés EKM depuis Cloud KMS. Si votre EKM est compatible avec le plan de contrôle Cloud EKM, vous pouvez activer la gestion des clés EKM à partir de Cloud KMS pour vos connexions EKM afin de créer des clés externes coordonnées. Lorsque la gestion des clés EKM à partir de Cloud KMS est activée, Cloud EKM peut demander les modifications suivantes dans votre EKM :

Créer une clé : lorsque vous créez une clé gérée en externe dans Cloud KMS à l'aide d'une connexion EKM compatible, Cloud EKM envoie votre demande de création de clé à votre EKM. Si l'opération réussit, votre EKM crée la clé et le matériel de clé, puis renvoie le chemin d'accès à la clé que Cloud EKM utilisera pour y accéder.
Effectuer la rotation d'une clé : lorsque vous effectuez la rotation d'une clé gérée en externe dans Cloud KMS à l'aide d'une connexion EKM compatible, Cloud EKM envoie votre demande de rotation à votre EKM. En cas de réussite, votre EKM crée un nouveau matériel de clé et renvoie le chemin d'accès à la clé que Cloud EKM utilisera pour accéder à la nouvelle version de clé.
Détruire une clé : lorsque vous détruisez une version de clé pour une clé gérée en externe dans Cloud KMS à l'aide d'une connexion EKM compatible, Cloud KMS programme la destruction de la version de clé dans Cloud KMS. Si la version de clé n'est pas restaurée avant la fin de la période Destruction programmée, Cloud EKM détruit sa partie du matériel cryptographique de la clé et envoie une demande de destruction à votre EKM.

Les données chiffrées avec cette version de clé ne peuvent plus être déchiffrées une fois la version de clé détruite dans Cloud KMS, même si l'EKM n'a pas encore détruit la version de clé. Pour savoir si l'EKM a bien détruit la version de la clé, consultez les détails de la clé dans Cloud KMS.

Lorsque les clés de votre EKM sont gérées depuis Cloud KMS, le matériel de clé réside toujours dans votre EKM. Google ne peut pas envoyer de demandes de gestion des clés à votre EKM sans autorisation explicite. Google ne peut pas modifier les autorisations dans votre système partenaire de gestion de clés externes. Si vous révoquez les autorisations de Google dans votre EKM, les opérations de gestion de clés tentées dans Cloud KMS échouent.

Compatibilité

Gestionnaires de clés compatibles

Vous pouvez stocker des clés externes dans les systèmes partenaires de gestion de clés externes suivants :

Compatibles à ce jour :
- Fortanix
- Futurex
- Thales

Services compatibles avec les CMEK utilisées via Cloud EKM

Les services suivants sont compatibles avec l'intégration à Cloud KMS pour les clés externes (Cloud EKM) :

Agent Assist
AlloyDB pour PostgreSQL
Hub d'API Apigee
Application Integration
Artifact Registry
Sauvegarde pour GKE
BigQuery
Bigtable
Cloud Composer
Cloud Data Fusion
API Cloud Healthcare
Cloud Logging : Données dans le routeur de journaux et données dans le stockage Logging
Cloud Run
Fonctions Cloud Run
Cloud SQL
Cloud Storage
Cloud Tasks
Cloud Workstations
Compute Engine : Disques persistants, Instantanés, Images personnalisées, et Images de machine
Conversational Insights
Database Migration Service : Migrations MySQL : données écrites dans les bases de données, Migrations PostgreSQL : données écrites dans les bases de données, Migrations de PostgreSQL vers AlloyDB : données écrites dans les bases de données, Migrations SQL Server : données écrites dans les bases de données, et données Oracle vers PostgreSQL au repos
Dataflow
Dataform
Dataplex Universal Catalog
Dataproc : Données des clusters Dataproc sur les disques de VM et Données Dataproc sans serveur sur les disques de VM
Dataproc Metastore
Dialogflow CX
Document AI
Eventarc Standard
Filestore
Firestore
Google Cloud Managed Service pour Apache Kafka
Google Cloud NetApp Volumes
Google Distributed Cloud
Google Kubernetes Engine : données sur les disques de VM et secrets au niveau de la couche d'application
Integration Connectors
Looker (Google Cloud Core)
Memorystore pour Redis
Migrate to Virtual Machines : Données migrées depuis des sources de VM VMware, AWS et Azure et Données migrées depuis des sources d'images de disque et de machine
Gestionnaire de paramètres
Pub/Sub
Secret Manager
Secure Source Manager
Spanner
Speaker ID (Disponibilité générale restreinte)
Speech-to-Text
Vertex AI
Instances Vertex AI Workbench
Workflows

Remarques

Lorsque vous utilisez une clé Cloud EKM, Google n'a aucun contrôle sur la disponibilité de votre clé gérée en externe dans le système partenaire de gestion des clés externes. Si vous perdez des clés que vous gérez en dehors de Trusted Cloud, Google ne pourra pas récupérer vos données.
Consultez les consignes relatives aux partenaires et régions de gestion des clés externes lorsque vous choisissez les emplacements de vos clés Cloud EKM.
La communication avec un service externe sur Internet peut entraîner des problèmes de fiabilité, de disponibilité et de latence. Pour les applications présentant une faible tolérance à ces types de risques, envisagez d'utiliser Cloud HSM ou Cloud KMS pour stocker votre matériel de clé.
- Si une clé externe n'est pas disponible, Cloud KMS renvoie une erreur FAILED_PRECONDITION et fournit des précisions dans le détail de l'erreur PreconditionFailure.
  
  Activez la journalisation d'audit des données pour conserver un enregistrement de toutes les erreurs liées à Cloud EKM. Les messages d'erreur contiennent des informations détaillées permettant d'identifier la source de l'erreur. Par exemple, un partenaire de gestion des clés externes ne répondant pas à une demande dans un délai raisonnable est une erreur courante.
- Vous avez besoin d'un contrat d'assistance avec le partenaire de gestion des clés externes. L'assistanceTrusted Cloud ne peut vous aider qu'en cas de problème lié aux servicesTrusted Cloud et ne peut pas vous aider directement en cas de problème lié à des systèmes externes. Parfois, vous devez collaborer avec les deux parties pour résoudre les problèmes d'interopérabilité.
Cloud EKM peut être utilisé avec Bare Metal Rack HSM pour créer une solution HSM à locataire unique intégrée à Cloud KMS. Pour en savoir plus, choisissez un partenaire Cloud EKM compatible avec les HSM à locataire unique et consultez les conditions requises pour les HSM pour rack Bare Metal.
Activez la journalisation des audits dans votre gestionnaire de clés externe pour enregistrer l'accès à vos clés EKM et leur utilisation.

Attention : Lorsque vous utilisez des clés Cloud EKM, il existe un risque que la clé devienne indisponible. Selon les services que vous utilisez, cela peut entraîner des erreurs fatales ou des données inaccessibles. Par exemple, si vous utilisez une clé CMEK externe pour chiffrer les secrets de la couche Application de Google Kubernetes Engine, vos nœuds peuvent devenir indisponibles s'ils ne peuvent pas déchiffrer les secrets. L'impossibilité d'accéder à la clé externe peut également entraîner une perte de données définitive. Par exemple, si la clé CMEK utilisée pour chiffrer une base de données Spanner reste indisponible pendant plus de 30 jours consécutifs, Spanner supprime automatiquement la base de données. Lorsque la version de clé actuelle n'est pas disponible, vous ne pouvez pas récupérer les données en passant à une nouvelle version de clé. Pour une meilleure disponibilité, envisagez d'utiliser Cloud EKM plutôt que des clés VPC ou Cloud HSM.

Restrictions

Lorsque vous créez une clé Cloud EKM à l'aide de l'API ou du Google Cloud CLI, elle ne doit pas posséder de version de clé initiale. Cela ne s'applique pas aux clés Cloud EKM créées à l'aide de laTrusted Cloud console
Les opérations Cloud EKM sont soumises à des quotas spécifiques en plus des quotas sur les opérations Cloud KMS.

Clés de chiffrement symétriques

Les clés de chiffrement symétriques ne sont acceptées que pour les éléments suivants :
- Les clés de chiffrement gérées par le client (CMEK) dans les services d'intégration compatibles.
- Le chiffrement et déchiffrement symétriques à l'aide de Cloud KMS directement.
Les données chiffrées par Cloud EKM à l'aide d'une clé gérée en externe ne peuvent pas être déchiffrées sans Cloud EKM.

Clés de signature asymétriques

Les clés de signature asymétriques sont limitées à un sous-ensemble d'algorithmes Cloud KMS.
Les clés de signature asymétriques ne sont acceptées que pour les cas d'utilisation suivants :
- La signature asymétrique à l'aide de Cloud KMS directement.
- Clé de signature personnalisée avec Access Approval.
Une fois qu'un algorithme de signature asymétrique est défini sur une clé Cloud EKM, il ne peut plus être modifié.
La signature doit être effectuée dans le champ data.

EKM géré par le partenaire

EKM géré par un partenaire vous permet d'utiliser Cloud EKM par le biais d'un partenaire souverain de confiance qui gère votre système EKM pour vous. Avec EKM géré par un partenaire, votre partenaire crée et gère les clés que vous utilisez dans Cloud EKM. Le partenaire s'assure que votre EKM respecte les exigences de souveraineté.

Lorsque vous intégrez votre partenaire souverain, il provisionne des ressources dans Trusted Cloud et votre EKM. Ces ressources incluent un projet Cloud KMS pour gérer vos clés Cloud EKM et une connexion EKM configurée pour la gestion des clés EKM à partir de Cloud KMS. Votre partenaire crée des ressources dans des emplacements Trusted Cloud en fonction de vos exigences de résidence des données.

Chaque clé Cloud EKM inclut des métadonnées Cloud KMS, ce qui permet à Cloud EKM d'envoyer des requêtes à votre EKM pour effectuer des opérations cryptographiques à l'aide du matériel de clé externe qui ne quitte jamais votre EKM. Les clés Cloud EKM symétriques incluent également du matériel de clé interne Cloud KMS qui ne quitte jamais Trusted Cloud. Pour en savoir plus sur les aspects internes et externes des clés Cloud EKM, consultez la section Fonctionnement de Cloud EKM sur cette page.

Pour en savoir plus sur EKM géré par un partenaire, consultez Configurer une solution Cloud KMS gérée par un partenaire.

Étapes suivantes

Commencez à utiliser l'API.
Créez une connexion EKM pour utiliser EKM sur VPC.
Consultez la documentation de référence sur l'API Cloud KMS.
Apprenez-en plus sur la journalisation dans Cloud KMS. La journalisation est basée sur les opérations et s'applique aux clés présentant les deux niveaux de protection Logiciel et HSM.