Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS. Pour en savoir plus, consultez Différences par rapport à Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Niveaux de protection

Cette page compare les différents niveaux de protection compatibles avec Cloud KMS :

Logiciels: Les clés Cloud KMS avec le niveau de protection SOFTWARE sont utilisées pour les opérations de chiffrement effectuées dans un logiciel. Les clés Cloud KMS peuvent être générées par Google ou importées.


Externe via VPC: Les clés Cloud EKM avec le niveau de protection EXTERNAL_VPC sont générées et stockées dans votre système de gestion des clés externes (EKM). Cloud EKM stocke du matériel de chiffrement supplémentaire et un chemin d'accès à votre clé unique, qui est utilisé pour accéder à votre clé sur un réseau cloud privé virtuel (VPC).

Les clés avec tous ces niveaux de protection partagent les fonctionnalités suivantes :

Utilisez vos clés pour les services intégrés de clés de chiffrement gérées par le client (CMEK) Cloud de Confiance .

Remarque : Certains services intégrés de CMEK ne sont pas compatibles avec les clés Cloud EKM. Pour savoir quels services intégrés de CMEK sont compatibles avec les clés Cloud EKM, consultez Intégrations de CMEK.
Utilisez vos clés avec les API ou les bibliothèques clientes Cloud KMS, sans aucun code spécialisé basé sur le niveau de protection de la clé.
Contrôlez l'accès à vos clés à l'aide des rôles Identity and Access Management (IAM).
Déterminez si chaque version de clé est activée ou désactivée à partir de Cloud KMS.
Les opérations sur les clés sont enregistrées dans les journaux d'audit. La journalisation des accès aux données peut être activée.

Niveau de protection logicielle

Cloud KMS utilise le module BoringCrypto (BCM) pour toutes les opérations de chiffrement des clés logicielles. Le BCM est validé FIPS 140-3. Les clés logicielles Cloud KMS utilisent les primitives cryptographiques du BCM validées FIPS 140-3 de niveau 1.

Les clés logicielles sont un bon choix pour les cas d'utilisation qui n'ont pas d'exigences réglementaires spécifiques pour un niveau de validation FIPS 140-3 plus élevé.

Niveau de protection externe via VPC

Les clés Cloud External Key Manager (Cloud EKM) sont des clés que vous gérez dans un service partenaire de gestion des clés externes (EKM) compatible et que vous utilisez dans Cloud de Confiance des services, des API et des bibliothèques clientes Cloud KMS. Les clés Cloud EKM peuvent être intégrées au logiciel ou au matériel, selon votre fournisseur EKM. Vous pouvez utiliser vos clés Cloud EKM dans des services intégrés de CMEK ou à l'aide des API et des bibliothèques clientes Cloud KMS. Cloud KMS se connecte à votre Cloud EKM sur un réseau VPC.

Lorsque vous utilisez des clés Cloud EKM, vous pouvez être sûr que Cloud de Confiance ne peut pas accéder à votre matériel de clé.

Pour savoir quels services intégrés de CMEK sont compatibles avec les clés Cloud EKM, consultez Intégrations de CMEK et appliquez le filtre Afficher uniquement les services compatibles avec EKM.

Vous pouvez utiliser des clés Cloud EKM sur un réseau VPC dans la plupart des emplacements régionaux compatibles avec Cloud KMS.

Étape suivante

Découvrez les services compatibles qui vous permettent d'utiliser vos clés dans Cloud de Confiance.
Découvrez le niveau de protection Cloud HSM à locataire unique et comment créer et gérer une instance Cloud HSM à locataire unique.
Découvrez comment créer des trousseaux de clés et créer des clés de chiffrement.
Découvrez comment importer des clés.
Découvrez les clés externes.
Découvrez d'autres éléments à prendre en compte pour l'utilisation de Cloud EKM.