Niveaux de protection

Cette page compare les différents niveaux de protection compatibles avec Cloud KMS :

Logiciels
Les clés Cloud KMS de niveau de protection SOFTWARE sont utilisées pour les opérations de chiffrement effectuées dans un logiciel.
Les clés Cloud KMS peuvent être générées par Google ou importées.
Externe via VPC
Les clés Cloud EKM de niveau de protection EXTERNAL_VPC sont générées et stockées dans votre système externe de gestion des clés (EKM).
Cloud EKM stocke du matériel cryptographique supplémentaire et un chemin d'accès à votre clé unique, qui est utilisée pour accéder à votre clé sur un réseau de cloud privé virtuel (VPC).

Les clés dotées de l'un de ces niveaux de protection partagent les fonctionnalités suivantes :

  • Utilisez vos clés pour les servicesTrusted Cloud intégrant des clés de chiffrement gérées par le client (CMEK).

  • Utilisez vos clés avec les API ou les bibliothèques clientes Cloud KMS, sans aucun code spécialisé basé sur le niveau de protection de la clé.

  • Contrôlez l'accès à vos clés à l'aide des rôles Identity and Access Management (IAM).

  • Contrôlez si chaque version de clé est activée ou désactivée depuis Cloud KMS.

  • Les opérations clés sont enregistrées dans les journaux d'audit. Vous pouvez activer la journalisation des accès aux données.

Niveau de protection du logiciel

Cloud KMS utilise le module BoringCrypto (BCM) pour toutes les opérations de chiffrement des clés logicielles. Le module BCM est certifié FIPS 140-2. Les clés logicielles Cloud KMS utilisent les primitives cryptographiques du BCM validées FIPS 140-2 de niveau 1.

sont un bon choix pour les cas d'utilisation qui ne sont pas soumis à des exigences réglementaires spécifiques pour un niveau de validation FIPS 140-2 plus élevé.

Niveau de protection "Externe via VPC"

Les clés Cloud External Key Manager (Cloud EKM) sont des clés que vous gérez dans un service partenaire de gestion de clés externes (EKM) compatible et que vous utilisez dans les servicesTrusted Cloud , ainsi que dans les API et les bibliothèques clientes Cloud KMS. Les clés Cloud EKM peuvent être logicielles ou matérielles, selon votre fournisseur EKM. Vous pouvez utiliser vos clés Cloud EKM dans les services intégrés à CMEK ou à l'aide des API et des bibliothèques clientes Cloud KMS. Cloud KMS se connecte à votre Cloud EKM via un réseau VPC.

Lorsque vous utilisez des clés Cloud EKM, vous pouvez être sûr que Trusted Cloud ne peut pas accéder à votre matériel de clé.

Pour savoir quels services intégrant des CMEK sont compatibles avec les clés Cloud EKM, consultez Intégrations de CMEK et appliquez le filtre Afficher uniquement les services compatibles avec EKM.

Vous pouvez utiliser des clés Cloud EKM sur un réseau VPC dans la plupart des régions compatibles avec Cloud KMS.

Étapes suivantes