Clés de chiffrement gérées par le client

Par défaut, l'Application Integration chiffre le contenu client au repos. Application Integration gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.

Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris l'Application Integration. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Cloud KMS vous permet également d'afficher les journaux d'audit et de contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.

Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources d'Application Integration est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).

Avant de commencer

Assurez-vous d'avoir effectué les tâches suivantes avant d'utiliser CMEK pour l'Application Integration:

Activez l'API Cloud KMS pour le projet qui stockera vos clés de chiffrement.
Activer l'API Cloud KMS
Conseil:Vous pouvez exécuter Application Integration et Cloud KMS dans le même projet Google Cloud ou dans des projets différents.
Attribuez le rôle IAM Administrateur Cloud KMS ou accordez les autorisations IAM suivantes au projet qui stockera vos clés de chiffrement :
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
Pour en savoir plus sur l'attribution de rôles ou d'autorisations supplémentaires, consultez la page Accorder, modifier et révoquer des accès.

Attention : Le rôle Administrateur Cloud KMS inclut des autorisations pour la maintenance des clés et la destruction des versions de clé. Pour protéger vos ressources Cloud KMS, ce rôle ne doit être attribué qu'aux personnes chargées de l'administration des clés.
Créez un trousseau de clés et une clé.
Remarque : Le trousseau de clés doit être créé dans la même région que celle dans laquelle vous avez configuré l'intégration d'applications.

Ajouter un compte de service à une clé CMEK

Pour utiliser une clé CMEK dans Application Integration, vous devez vous assurer que votre compte de service par défaut est ajouté et attribué au rôle IAM Chiffreur/Déchiffreur de CryptoKeys pour cette clé CMEK.

Dans la console Google Cloud , accédez à la page Inventaire des clés.
Accéder à la page "Inventaire des clés"
Cochez la case correspondant à la clé CMEK souhaitée.
L'onglet Autorisations s'affiche dans le volet de droite.
Cliquez sur Ajouter un compte principal, puis saisissez l'adresse e-mail du compte de service par défaut.
Cliquez sur Sélectionner un rôle, puis sélectionnez le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS dans la liste déroulante disponible.
Cliquez sur Enregistrer.

Activer le chiffrement CMEK pour une région d'Application Integration

Le CMEK peut être utilisé pour chiffrer et déchiffrer les données stockées sur les dans le champ d'application de la région provisionnée.

Pour activer le chiffrement CMEK pour une région d'Application Integration dans votre projet Google Cloud, procédez comme suit :

Dans la console Google Cloud , accédez à la page Application Integration (Intégration d'applications).
Accéder à Application Integration
Dans le menu de navigation, cliquez sur Régions.
La page Regions (Régions) s'affiche, listant les régions provisionnées pour Application Integration.
Pour l'intégration existante pour laquelle vous souhaitez utiliser une CMEK, cliquez sur Actions, puis sélectionnez Modifier le chiffrement.
Dans le volet Modifier le chiffrement, développez la section Paramètres avancés.
Sélectionnez Utiliser une clé de chiffrement gérée par le client (CMEK), puis procédez comme suit :
1. Sélectionnez une clé CMEK dans la liste déroulante disponible. Les clés CMEK listées dans le menu déroulant sont basées sur la région provisionnée. Pour créer une clé, consultez Créer une clé CMEK.
2. Cliquez sur Vérifier pour vérifier si votre compte de service par défaut dispose d'un accès à la clé CMEK sélectionnée.
3. Si la validation de la clé CMEK sélectionnée échoue, cliquez sur Accorder pour attribuer le rôle IAM Chiffreur/Déchiffreur de clés cryptographiques au compte de service par défaut.
Cliquez sur OK.

Créer une CMEK

Vous pouvez créer une clé CMEK si vous ne souhaitez pas utiliser votre clé existante ou si vous n'en avez pas dans la région spécifiée.

Pour créer une clé de chiffrement symétrique, procédez comme suit dans la boîte de dialogue Create a new key (Créer une clé) :

Sélectionnez "Trousseau de clés" :
1. Cliquez sur Trousseau de clés, puis sélectionnez un trousseau de clés existant dans la région spécifiée.
2. Si vous souhaitez créer un trousseau de clés pour votre clé, cliquez sur le bouton d'activation Créer un trousseau de clés, puis procédez comme suit :
  1. Cliquez sur Nom du trousseau, puis saisissez un nom pour votre trousseau de clés.
  2. Cliquez sur Emplacement du trousseau de clés, puis sélectionnez l'emplacement régional de votre trousseau de clés.
    Remarque:Pour le chiffrement CMEK, votre trousseau de clés doit être créé dans la même région que l'intégration d'applications.
3. Cliquez sur Continuer.
Créer une clé :
1. Cliquez sur Nom de la clé, puis saisissez un nom pour votre nouvelle clé.
2. Cliquez sur Niveau de protection, puis sélectionnez Logiciel ou HSM.
  Pour en savoir plus sur les niveaux de protection, consultez Niveaux de protection Cloud KMS.
Vérifiez les informations sur votre clé et votre trousseau, puis cliquez sur Continuer.
Cliquez sur Créer.

Données chiffrées

Le tableau suivant répertorie les données chiffrées dans Application Integration:

Ressource	Données chiffrées
Détails de l'intégration	Paramètres de configuration de la tâche Descriptions de la configuration des tâches
Informations sur l'exécution de l'intégration	Paramètres de requête Paramètres de réponse Détails de l'exécution de la tâche
Identifiants du profil d'authentification	Noms d'utilisateur et mots de passe Clés API Code d'autorisation OAuth 2.0 Identifiants clients OAuth 2.0 Identifiants de mots de passe des propriétaires de ressources OAuth 2.0 Jetons d'authentification Jetons JWT Comptes de service Certificats client SSL/TLS Jetons d'ID Google OIDC
Détails de la tâche Approbation/Suspension	Configurations d'approbation ou de suspension

Quotas Cloud KMS et Application Integration

Lorsque vous utilisez des clés de chiffrement gérées par le client (CMEK) dans l'Application Integration, vos projets peuvent consommer des quotas de requêtes de chiffrement Cloud KMS. Par exemple, les clés CMEK peuvent utiliser ces quotas pour chaque appel de chiffrement et de déchiffrement.

Les opérations de chiffrement et de déchiffrement utilisant des clés CMEK affectent les quotas de Cloud KMS de différentes manières :

Pour les clés logicielles CMEK générées dans Cloud KMS, aucun quota Cloud KMS n'est consommé.
Pour les clés CMEK matérielles (parfois appelées clés Cloud HSM), les opérations de chiffrement et de déchiffrement sont décomptées des quotas Cloud HSM dans le projet qui contient la clé.
Pour les clés CMEK externes (parfois appelées clés Cloud EKM), les opérations de chiffrement et de déchiffrement sont décomptées des quotas Cloud EKM dans le projet qui contient la clé.

Pour en savoir plus, consultez la page Quotas Cloud KMS.