Cette page explique comment utiliser les clés de chiffrement gérées par le client Cloud KMS dans d'autres services Cloud de Confiance pour sécuriser vos ressources. Pour en savoir plus, consultez Clés de chiffrement gérées par le client (CMEK).
Lorsqu'un service est compatible avec les CMEK, il est dit que ce service dispose d'une intégration de CMEK. Certains services, tels que GKE, possèdent plusieurs intégrations de CMEK permettant de protéger différents types de données liées au service. Pour obtenir la liste des services avec intégrations de CMEK, consultez Activer les CMEK pour les services compatibles sur cette page.
Avant de commencer
Avant de pouvoir utiliser des clés Cloud KMS dans d'autres services Cloud de Confiance , vous devez disposer d'une ressource de projet pour contenir vos clés Cloud KMS. Nous vous recommandons d'utiliser un projet distinct pour vos ressources Cloud KMS, qui ne contient aucune autre ressource Cloud de Confiance .
Intégrations de CMEK
Préparer l'activation de l'intégration CMEK
Pour connaître la procédure exacte d'activation des CMEK, consultez la documentation sur le serviceCloud de Confiance concerné. Vous trouverez un lien vers la documentation sur les CMEK pour chaque service dans Activer les CMEK pour les services compatibles sur cette page. Pour chaque service, vous devrez probablement suivre des étapes semblables à celles-ci :
Créez un trousseau de clés ou sélectionnez-en un existant. Le trousseau de clés doit être situé aussi près que possible, géographiquement, des ressources que vous souhaitez sécuriser.
Dans le trousseau de clés sélectionné, créez une clé ou sélectionnez une clé existante. Assurez-vous que le niveau de protection, l'objectif et l'algorithme de la clé sont adaptés aux ressources que vous souhaitez protéger. Il s'agit de la clé CMEK.
Obtenez l'ID de ressource de la clé CMEK. Vous aurez besoin de cet ID de ressource ultérieurement.
Accordez le rôle IAM de chiffreur/déchiffreur de clés cryptographiques (
roles/cloudkms.cryptoKeyEncrypterDecrypter) sur la clé CMEK au compte de service pour le service.
Une fois la clé créée et les autorisations requises attribuées, vous pouvez créer ou configurer un service pour qu'il utilise votre clé CMEK.
Utiliser des clés Cloud KMS avec des services intégrant CMEK
Les étapes suivantes utilisent Secret Manager comme exemple. Pour connaître la procédure exacte à suivre pour utiliser une clé CMEK Cloud KMS dans un service donné, recherchez ce service dans la liste des services intégrés à CMEK.
Dans Secret Manager, vous pouvez utiliser une clé CMEK pour protéger les données au repos.
Dans la console Cloud de Confiance , accédez à la page Secret Manager.
Pour créer un secret, cliquez sur Créer un secret.
Dans la section Chiffrement, sélectionnez Utiliser une clé de chiffrement gérée par le client (CMEK).
Dans la zone Clé de chiffrement, procédez comme suit :
Facultatif : Pour utiliser une clé dans un autre projet, procédez comme suit :
- Cliquez sur Changer de projet.
- Saisissez tout ou partie du nom du projet dans la barre de recherche, puis sélectionnez-le.
- Pour afficher les clés disponibles pour le projet sélectionné, cliquez sur Sélectionner.
Facultatif : Pour filtrer les clés disponibles par emplacement, trousseau de clés, nom ou niveau de protection, saisissez des termes de recherche dans la barre de filtre .
Sélectionnez une clé dans la liste des clés disponibles dans le projet sélectionné. Vous pouvez utiliser les informations affichées sur l'emplacement, le trousseau de clés et le niveau de protection pour vous assurer de choisir la bonne clé.
Si la clé que vous souhaitez utiliser ne figure pas dans la liste, cliquez sur Saisir la clé manuellement, puis saisissez l'ID de ressource de la clé.
Terminez de configurer votre secret, puis cliquez sur Créer un secret. Secret Manager crée le secret et le chiffre à l'aide de la clé CMEK spécifiée.
Activer CMEK pour les services compatibles
Pour activer CMEK, commencez par localiser le service souhaité dans le tableau suivant. Vous pouvez saisir des termes de recherche dans le champ pour filtrer le tableau. Les produits qui s'intègrent à Cloud KMS lorsque vous utilisez des clés Cloud EKM externes sont indiqués dans la colonne EKM compatible.
Suivez les instructions pour chaque service pour lequel vous souhaitez activer les clés CMEK.
| Service | Protégé par les CMEK | EKM compatible | Sujet |
|---|---|---|---|
| Artifact Registry | Données dans les dépôts | Oui | Activer les clés de chiffrement gérées par le client |
| BigQuery | Données dans BigQuery | Oui | Protéger des données avec des clés Cloud KMS |
| Cloud Logging | Données dans le stockage Logging | Oui | Gérer les clés qui protègent les données de stockage Logging |
| Cloud SQL | Données écrites dans des bases de données | Oui | Utiliser les clés de chiffrement gérées par le client |
| Cloud Storage | Données dans les buckets de stockage | Oui | Utiliser les clés de chiffrement gérées par le client |
| Compute Engine | Instantanés | Oui | Protéger des ressources avec des clés Cloud KMS |
| Compute Engine | Images personnalisées | Oui | Protéger des ressources avec des clés Cloud KMS |
| Compute Engine | Images système | Oui | Protéger des ressources avec des clés Cloud KMS |
| Pub/Sub | Données associées aux sujets | Oui | Configurer le chiffrement des messages |