Présentation de Cloud Key Management Service

Cloud Key Management Service (Cloud KMS) vous permet de créer et de gérer des clés cryptographiques à utiliser dans les services compatibles Cloud de Confiance by S3NS et dans vos propres applications. Cloud KMS vous permet d'effectuer les opérations suivantes :

Choisir le chiffrement adapté à vos besoins

Vous pouvez utiliser le tableau suivant pour identifier le type de chiffrement qui répond à vos besoins pour chaque cas d'utilisation. La meilleure solution pour vos besoins peut inclure une combinaison d'approches de chiffrement. Par exemple, vous pouvez utiliser des clés logicielles pour vos données les moins sensibles et des clés externes pour vos données les plus sensibles. Pour en savoir plus sur les options de chiffrement décrites dans cette section, consultez Protéger les données dans Cloud de Confiance by S3NS sur cette page.

Type de chiffrement Services compatibles Fonctionnalités
Google Cloud-powered encryption keys (chiffrementCloud de Confiance par défaut) Tous les Cloud de Confiance services qui stockent des données client
  • Aucune configuration n'est requise.
  • Chiffre automatiquement les données client enregistrées dans n'importe quel service Cloud de Confiance by S3NS .
  • La plupart des services font automatiquement tourner les clés.
  • Compatible avec le chiffrement à l'aide d'AES-256.
  • Certification FIPS 140-2 niveau 1.
Clés de chiffrement gérées par le client : logiciel
(clés Cloud KMS)		 Plus de 40 services
Clés de chiffrement gérées par le client – externes
(clés Cloud EKM)		 Plus de 30 services
  • Vous contrôlez les rôles et autorisations IAM. Vous pouvez activer, désactiver ou détruire les versions de clé.
  • Les clés ne sont jamais envoyées à Google.
  • Le matériel de clé réside chez un fournisseur de gestion de clés externes (EKM) compatible.
  • Les services compatibles Cloud de Confiance se connectent à votre fournisseur EKM via un cloud privé virtuel (VPC).
  • Compatible avec les clés symétriques pour le chiffrement et le déchiffrement.
  • Effectuez manuellement la rotation de vos clés en coordination avec Cloud EKM et votre fournisseur EKM.
  • Validé FIPS 140-2 niveau 2 ou FIPS 140-2 niveau 3, selon l'EKM.
  • Les clés sont uniques pour chaque client.
Chiffrement côté client à l'aide de clés Cloud KMS Utiliser des bibliothèques clientes dans vos applications
  • Vous contrôlez le calendrier de rotation automatique des clés, les rôles et autorisations IAM, et vous pouvez activer, désactiver ou détruire des versions de clé.
  • Compatible avec les clés symétriques et asymétriques pour le chiffrement, le déchiffrement, la signature et la validation de signature.
  • La fonctionnalité varie selon le niveau de protection des clés.
Clés de chiffrement fournies par le client
  • Vous fournissez les documents clés si nécessaire.
  • Le contenu de la clé réside en mémoire. Google ne stocke pas vos clés de manière permanente sur ses serveurs.

Remarque : Les tarifs varient en fonction du type de chiffrement et du niveau de protection. Pour en savoir plus, consultez les informations tarifaires que Cloud de Confiancevous a communiquées.

Protéger les données dans Cloud de Confiance by S3NS

Google Cloud-powered encryption keys (chiffrementCloud de Confiance par défaut)

Par défaut, les données au repos dans Cloud de Confiance sont protégées par des clés dans Keystore,le service interne de gestion des clés de Cloud de Confiance. Les clés du Keystore sont gérées automatiquement par Cloud de Confiance, sans aucune configuration requise de votre part. La plupart des services font automatiquement pivoter les clés pour vous. Keystore est compatible avec une version de clé principale et un nombre limité d'anciennes versions de clé. La version de clé principale est utilisée pour chiffrer les nouvelles clés de chiffrement des données. Les anciennes versions de clé peuvent toujours être utilisées pour déchiffrer les clés de chiffrement des données existantes. Vous ne pouvez pas afficher ni gérer ces clés, ni consulter les journaux d'utilisation des clés. Les données de plusieurs clients peuvent utiliser la même clé de chiffrement de clé.

Ce chiffrement par défaut utilise des modules cryptographiques certifiés FIPS 140-2 de niveau 1.

Clés de chiffrement gérées par le client (CMEK)

Les clés Cloud KMS utilisées pour protéger vos ressources dans les services intégrés aux CMEK sont des clés de chiffrement gérées par le client (CMEK).

Vous pouvez utiliser vos clés Cloud KMS dans les services compatibles pour atteindre les objectifs suivants :

  • Vous possédez vos clés de chiffrement.

  • Contrôlez et gérez vos clés de chiffrement, y compris leur emplacement, leur niveau de protection, leur création, contrôle des accès, leur rotation, leur utilisation et leur destruction.

  • Supprimez sélectivement les données protégées par vos clés en cas de désactivation ou pour corriger des événements de sécurité (cryptodestruction).

  • Créez des clés dédiées à locataire unique qui établissent une limite cryptographique autour de vos données.

  • Consignez les accès administratifs et aux données aux clés de chiffrement.

  • Respecter les réglementations actuelles ou futures qui exigent l'un de ces objectifs.

Lorsque vous utilisez des clés Cloud KMS avec des services intégrés à CMEK, vous pouvez utiliser des règles d'administration pour vous assurer que les CMEK sont utilisées comme spécifié dans les règles. Par exemple, vous pouvez définir une règle d'administration qui garantit que vos ressources Cloud de Confiance compatibles utilisent vos clés Cloud KMS pour le chiffrement. Les règles d'administration peuvent également spécifier le projet dans lequel les ressources clés doivent résider.

Les fonctionnalités et le niveau de protection fournis dépendent du niveau de protection de la clé :

  • Clés logicielles : vous pouvez générer des clés logicielles dans Cloud KMS et les utiliser dans toutes les Cloud de Confiance régions. Vous pouvez créer des clés symétriques avec rotation automatique ou des clés asymétriques avec rotation manuelle. Les clés logicielles gérées par le client utilisent des modules de cryptographie logicielle validés FIPS 140-2 de niveau 1. Vous pouvez également contrôler la période de rotation, les rôles et autorisations IAM (Identity and Access Management), ainsi que les règles d'administration qui régissent vos clés. Vous pouvez utiliser vos clés logicielles avec de nombreuses ressources compatibles Cloud de Confiance.

  • Clés logicielles importées : vous pouvez importer des clés logicielles que vous avez créées ailleurs pour les utiliser dans Cloud KMS. Vous pouvez importer de nouvelles versions de clé pour effectuer manuellement la rotation des clés importées. Vous pouvez utiliser des rôles et des autorisations IAM, ainsi que des règles d'administration pour contrôler l'utilisation de vos clés importées.

  • Clés externes et Cloud EKM : vous pouvez utiliser des clés qui résident dans un gestionnaire de clés externe (EKM). Cloud EKM vous permet d'utiliser des clés conservées dans un gestionnaire de clés compatible pour sécuriser vos ressourcesCloud de Confiance . Vous vous connectez à votre EKM via un cloud privé virtuel (VPC). Certains Cloud de Confiance services compatibles avec les clés Cloud KMS ne le sont pas avec les clés Cloud EKM.

Clés Cloud KMS

Vous pouvez utiliser vos clés Cloud KMS dans des applications personnalisées à l'aide des bibliothèques clientes Cloud KMS ou de l'API Cloud KMS. Les bibliothèques clientes et l'API vous permettent de chiffrer et de déchiffrer des données, de signer des données et de valider des signatures.

Clés de chiffrement fournies par le client (CSEK)

Cloud Storage peut utiliser des clés de chiffrement fournies par le client (CSEK). Avec les clés de chiffrement fournies par le client, vous stockez le matériel de clé et le fournissez à Cloud Storage lorsque cela est nécessaire. Cloud de Confiance ne stocke en aucun cas vos clés CSEK.