Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS.

Cette page a été traduite par l'API Cloud Translation.

Niveaux de protection

Cette page compare les différents niveaux de protection compatibles avec Cloud KMS :

Logiciels: Les clés Cloud KMS peuvent être générées par Google ou importées.


Externe via VPC: Cloud EKM stocke du matériel cryptographique supplémentaire et un chemin d'accès à votre clé unique, qui est utilisée pour accéder à votre clé sur un réseau de cloud privé virtuel (VPC).

Les clés dotées de l'un de ces niveaux de protection partagent les fonctionnalités suivantes :

Utilisez vos clés pour les servicesTrusted Cloud intégrant des clés de chiffrement gérées par le client (CMEK).

Remarque : Certains services intégrés CMEK ne sont pas compatibles avec les clés Cloud EKM. Pour savoir quels services intégrés CMEK sont compatibles avec les clés Cloud EKM, consultez Intégrations de CMEK.
Utilisez vos clés avec les API ou les bibliothèques clientes Cloud KMS, sans aucun code spécialisé basé sur le niveau de protection de la clé.
Contrôlez l'accès à vos clés à l'aide des rôles Identity and Access Management (IAM).
Contrôlez si chaque version de clé est activée ou désactivée depuis Cloud KMS.
Les opérations clés sont enregistrées dans les journaux d'audit. Vous pouvez activer la journalisation des accès aux données.

Niveau de protection du logiciel

Cloud KMS utilise le module BoringCrypto (BCM) pour toutes les opérations de chiffrement des clés logicielles. Le module BCM est certifié FIPS 140-2. Les clés logicielles Cloud KMS utilisent les primitives cryptographiques du BCM validées FIPS 140-2 de niveau 1.

sont un bon choix pour les cas d'utilisation qui ne sont pas soumis à des exigences réglementaires spécifiques pour un niveau de validation FIPS 140-2 plus élevé.

Niveau de protection "Externe via VPC"

Les clés Cloud External Key Manager (Cloud EKM) sont des clés que vous gérez dans un service partenaire de gestion de clés externes (EKM) compatible et que vous utilisez dans les servicesTrusted Cloud , ainsi que dans les API et les bibliothèques clientes Cloud KMS. Les clés Cloud EKM peuvent être logicielles ou matérielles, selon votre fournisseur EKM. Vous pouvez utiliser vos clés Cloud EKM dans les services intégrés à CMEK ou à l'aide des API et des bibliothèques clientes Cloud KMS. Cloud KMS se connecte à votre Cloud EKM via un réseau VPC.

Lorsque vous utilisez des clés Cloud EKM, vous pouvez être sûr que Trusted Cloud ne peut pas accéder à votre matériel de clé.

Pour savoir quels services intégrant des CMEK sont compatibles avec les clés Cloud EKM, consultez Intégrations de CMEK et appliquez le filtre Afficher uniquement les services compatibles avec EKM.

Vous pouvez utiliser des clés Cloud EKM sur un réseau VPC dans la plupart des régions compatibles avec Cloud KMS.

Étapes suivantes

Découvrez les services compatibles qui vous permettent d'utiliser vos clés dans Trusted Cloud.
Découvrez comment créer des trousseaux de clés et créer des clés de chiffrement.
En savoir plus sur l'importation de clés
En savoir plus sur les clés externes
Découvrez d'autres éléments à prendre en compte pour l'utilisation de Cloud EKM.