Cette page compare les différents niveaux de protection compatibles avec Cloud KMS :
- Logiciels Les clés Cloud KMS de niveau de protection
- Les clés Cloud KMS peuvent être générées par Google ou importées.
-
- Externe via VPC
Les clés Cloud EKM de niveau de protectionEXTERNAL_VPC
sont générées et stockées dans votre système externe de gestion des clés (EKM). - Cloud EKM stocke du matériel cryptographique supplémentaire et un chemin d'accès à votre clé unique, qui est utilisée pour accéder à votre clé sur un réseau de cloud privé virtuel (VPC).
SOFTWARE
sont utilisées pour les opérations de chiffrement effectuées dans un logiciel.Les clés dotées de l'un de ces niveaux de protection partagent les fonctionnalités suivantes :
Utilisez vos clés pour les servicesTrusted Cloud intégrant des clés de chiffrement gérées par le client (CMEK).
Utilisez vos clés avec les API ou les bibliothèques clientes Cloud KMS, sans aucun code spécialisé basé sur le niveau de protection de la clé.
Contrôlez l'accès à vos clés à l'aide des rôles Identity and Access Management (IAM).
Contrôlez si chaque version de clé est activée ou désactivée depuis Cloud KMS.
Les opérations clés sont enregistrées dans les journaux d'audit. Vous pouvez activer la journalisation des accès aux données.
Niveau de protection du logiciel
Cloud KMS utilise le module BoringCrypto (BCM) pour toutes les opérations de chiffrement des clés logicielles. Le module BCM est certifié FIPS 140-2. Les clés logicielles Cloud KMS utilisent les primitives cryptographiques du BCM validées FIPS 140-2 de niveau 1.
sont un bon choix pour les cas d'utilisation qui ne sont pas soumis à des exigences réglementaires spécifiques pour un niveau de validation FIPS 140-2 plus élevé.Niveau de protection "Externe via VPC"
Les clés Cloud External Key Manager (Cloud EKM) sont des clés que vous gérez dans un service partenaire de gestion de clés externes (EKM) compatible et que vous utilisez dans les servicesTrusted Cloud , ainsi que dans les API et les bibliothèques clientes Cloud KMS. Les clés Cloud EKM peuvent être logicielles ou matérielles, selon votre fournisseur EKM. Vous pouvez utiliser vos clés Cloud EKM dans les services intégrés à CMEK ou à l'aide des API et des bibliothèques clientes Cloud KMS. Cloud KMS se connecte à votre Cloud EKM via un réseau VPC.
Lorsque vous utilisez des clés Cloud EKM, vous pouvez être sûr que Trusted Cloud ne peut pas accéder à votre matériel de clé.Pour savoir quels services intégrant des CMEK sont compatibles avec les clés Cloud EKM, consultez Intégrations de CMEK et appliquez le filtre Afficher uniquement les services compatibles avec EKM.
Vous pouvez utiliser des clés Cloud EKM sur un réseau VPC dans la plupart des régions compatibles avec Cloud KMS.
Étapes suivantes
- Découvrez les services compatibles qui vous permettent d'utiliser vos clés dans Trusted Cloud.
- Découvrez comment créer des trousseaux de clés et créer des clés de chiffrement.
- En savoir plus sur l'importation de clés
- En savoir plus sur les clés externes
- Découvrez d'autres éléments à prendre en compte pour l'utilisation de Cloud EKM.