Clés de chiffrement gérées par le client

Par défaut, Application Integration chiffre le contenu client au repos. Application Integration gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.

Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Application Integration. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Cloud KMS vous permet également d'afficher les journaux d'audit et de contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.

Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Application Integration est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).

Avant de commencer

Avant d'utiliser CMEK pour Application Integration, assurez-vous d'avoir effectué les tâches suivantes :

Avoir activé l'API Cloud KMS pour le projet qui stockera vos clés de chiffrement
Activer l'API Cloud KMS
Conseil : Vous pouvez exécuter Application Integration et Cloud Key Management Service dans le même projet Google Cloud ou dans des projets différents.
- Si vous utilisez une clé CMEK dans un projet différent (projet partagé ou hébergeant la clé) de celui dans lequel vous avez configuré Application Integration :
Attribuez le rôle IAM Administrateur Cloud KMS aux personnes qui gèrent les clés CMEK. Accordez également les autorisations IAM suivantes pour le projet qui stocke vos clés de chiffrement :
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
- cloudkms.cryptoKeyVersions.useToEncrypt
Attention : Le rôle d'administrateur Cloud KMS contient des autorisations pour la maintenance des clés et la destruction des versions de clé. Pour protéger vos ressources Cloud KMS, ce rôle ne doit être attribué qu'aux personnes responsables de l'administration des clés.

Pour en savoir plus sur l'attribution de rôles ou d'autorisations supplémentaires, consultez Accorder, modifier et révoquer des accès.
Créez un trousseau de clés et une clé.
Remarque : Le trousseau de clés et la clé CMEK doivent être créés dans la même région que celle où vous avez configuré Application Integration.

Ajouter un compte de service à la clé CMEK

Pour utiliser une clé CMEK dans Application Integration, vous devez vous assurer que votre compte de service par défaut est ajouté et qu'il dispose du rôle IAM Chiffreur/Déchiffreur de CryptoKeys pour cette clé CMEK.

Dans la console Google Cloud , accédez à la page Inventaire des clés.
Accéder à la page "Inventaire des clés"
Cochez la case correspondant à la clé CMEK souhaitée.
L'onglet Autorisations s'affiche dans le volet de droite.
Cliquez sur Ajouter un compte principal, puis saisissez l'adresse e-mail du compte de service par défaut.
Cliquez sur Sélectionner un rôle, puis sélectionnez le rôle Chiffreur/Déchiffreur de clé de chiffrement Cloud KMS dans la liste déroulante.
Cliquez sur Enregistrer.

Activer le chiffrement CMEK pour une région Application Integration

Les CMEK peuvent être utilisées pour chiffrer et déchiffrer les données stockées sur les disques persistants dans la région provisionnée.

Pour activer le chiffrement CMEK pour une région Application Integration dans votre projet Google Cloud, procédez comme suit :

Dans la console Google Cloud , accédez à la page Application Integration.
Accéder à Application Integration
Dans le menu de navigation, cliquez sur Régions.
La page Régions s'affiche et liste les régions provisionnées pour Application Integration.
Pour l'intégration existante pour laquelle vous souhaitez utiliser CMEK, cliquez sur Actions, puis sélectionnez Modifier le chiffrement.
Dans le volet Modifier le chiffrement, développez la section Paramètres avancés.
Sélectionnez Utiliser une clé de chiffrement gérée par le client (CMEK), puis procédez comme suit :
1. Sélectionnez une clé CMEK dans la liste déroulante disponible. Les clés CMEK listées dans le menu déroulant sont basées sur la région provisionnée. Pour créer une clé, consultez Créer une clé CMEK.
2. Cliquez sur Valider pour vérifier si votre compte de service par défaut a accès à la clé CMEK sélectionnée.
3. Si la validation de la clé CMEK sélectionnée échoue, cliquez sur Accorder pour attribuer le rôle IAM Chiffreur/Déchiffreur de CryptoKey au compte de service par défaut.
Cliquez sur OK.

Créer une clé CMEK

Vous pouvez créer une clé CMEK si vous ne souhaitez pas utiliser votre clé existante ou si vous n'en avez pas dans la région spécifiée.

Pour créer une clé de chiffrement symétrique, procédez comme suit dans la boîte de dialogue Créer une clé :

Sélectionnez "Trousseau de clés" :
1. Cliquez sur Trousseau de clés et sélectionnez un trousseau de clés existant dans la région spécifiée.
2. Si vous souhaitez créer un trousseau de clés pour votre clé, cliquez sur le bouton d'activation Créer un trousseau de clés, puis procédez comme suit :
  1. Cliquez sur Nom du trousseau, puis saisissez le nom de votre trousseau de clés.
  2. Cliquez sur Emplacement du trousseau de clés, puis sélectionnez l'emplacement régional de votre trousseau de clés.
    Remarque : Pour le chiffrement CMEK, votre trousseau de clés doit être créé dans la même région que celle où vous avez configuré Application Integration.
3. Cliquez sur Continuer.
Créer une clé :
1. Cliquez sur Nom de la clé, puis saisissez un nom pour votre nouvelle clé.
2. Cliquez sur Niveau de protection, puis sélectionnez Logiciel ou HSM.
  Pour en savoir plus sur les niveaux de protection, consultez Niveaux de protection Cloud KMS.
Vérifiez les informations concernant votre clé et votre trousseau de clés, puis cliquez sur Continuer.
Cliquez sur Créer.

Données chiffrées

Le tableau suivant liste les données chiffrées dans Application Integration :

Ressource	Données chiffrées
Détails de l'intégration	Paramètres de configuration des tâches Descriptions de la configuration des tâches
Informations sur l'exécution de l'intégration	Paramètres de requête Paramètres de réponse Détails de l'exécution de la tâche
Identifiants du profil d'authentification	Nom d'utilisateur et mots de passe Clés API Code d'autorisation OAuth 2.0 Identifiants clients OAuth 2.0 Identifiants de mots de passe des propriétaires de ressources OAuth 2.0 Jetons d'authentification Jetons JWT Comptes de service Certificats client SSL/TLS Jetons d'ID Google OIDC
Détails de la tâche d'approbation/suspension	Configurations d'approbation ou de suspension

Quotas Cloud KMS et Application Integration

Lorsque vous utilisez des clés CMEK dans Application Integration, vos projets peuvent consommer des quotas de requêtes de chiffrement Cloud KMS. Par exemple, les clés CMEK peuvent utiliser ces quotas pour chaque appel de chiffrement et de déchiffrement.

Les opérations de chiffrement et de déchiffrement utilisant des clés CMEK affectent les quotas de Cloud KMS de différentes manières :

Aucun quota Cloud KMS n'est consommé pour les clés CMEK logicielles générées dans Cloud KMS.
Pour les clés CMEK matérielles (parfois appelées clés Cloud HSM), les opérations de chiffrement et de déchiffrement sont comptabilisées dans les quotas Cloud HSM du projet contenant la clé.
Pour les clés CMEK externes (parfois appelées clés Cloud EKM), les opérations de chiffrement et de déchiffrement sont comptabilisées dans les quotas Cloud EKM du projet contenant la clé.

Pour en savoir plus, consultez la page Quotas Cloud KMS.