Activer les clés de chiffrement gérées par le client

Ce document explique comment chiffrer les données Dataplex Universal Catalog avec des clés de chiffrement gérées par le client (CMEK).

Présentation

Par défaut, Dataplex Universal Catalog chiffre le contenu client au repos. Dataplex Universal Catalog gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.

Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris le catalogue universel Dataplex. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques.  Cloud KMS vous permet également de suivre l'utilisation des clés, d'afficher les journaux d'audit et de contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.

Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Dataplex Universal Catalog est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).

Dataplex Universal Catalog utilise une clé CMEK par emplacement pour toutes les ressources Dataplex Universal Catalog.

Vous pouvez configurer une clé CMEK au niveau de l'organisation dans Dataplex Universal Catalog.

Pour en savoir plus sur CMEK en général, y compris quand et pourquoi l'activer, consultez Clés de chiffrement gérées par le client (CMEK).

Avantages du chiffrement CMEK

CMEK vous permet d'effectuer les opérations suivantes :

• Gérez les opérations du cycle de vie des clés et les autorisations d'accès.
• Suivez l'utilisation des clés avec l'API Key Inventory et les tableaux de bord "Utilisation des clés" dans Cloud KMS. Ils vous permettent de voir, par exemple, quelles clés protègent quelles ressources. Cloud Logging vous indique quand les clés ont été consultées et par qui.
• Répondez à des exigences réglementaires spécifiques en gérant vos clés de chiffrement.

Fonctionnement de CMEK avec Dataplex Universal Catalog

Les administrateurs du chiffrement Dataplex Universal Catalog de votre projet Google Cloud peuvent configurer CMEK pour Dataplex Universal Catalog en fournissant la clé Cloud KMS. Dataplex Universal Catalog utilise ensuite la clé Cloud KMS spécifiée pour chiffrer toutes les données, y compris les données existantes et les nouvelles ressources créées dans Dataplex Universal Catalog.

Fonctionnalités compatibles

• Dataplex Universal Catalog est compatible avec le chiffrement CMEK pour les fonctionnalités suivantes :
  • Qualité automatique des données
  • Profilage des données
  • Découverte des données
  • Insights sur les données
• L'origine des données ne stocke pas de contenu client ni de données sensibles. Elle ne nécessite donc pas de chiffrement CMEK.
• Les clients Assured Workloads ne peuvent pas utiliser d'autres fonctionnalités Dataplex Universal Catalog, car le chiffrement CMEK n'est pas compatible avec leur compte.
• Les clients qui n'utilisent pas Assured Workloads peuvent utiliser d'autres fonctionnalités, mais les données sont chiffrées à l'aide du chiffrement par défaut de Google.

Remarques

• Par défaut, chaque organisation est provisionnée à l'aide du chiffrement par défaut de Google.
• L'administrateur de l'organisation peut passer à CMEK dans Dataplex Universal Catalog pour n'importe quel emplacement.
• Dataplex Universal Catalog est compatible avec les clés Cloud KMS, Cloud HSM et Cloud External Key Manager.
• La rotation des clés est prise en charge. Une fois disponible, la nouvelle version de clé est automatiquement utilisée pour le chiffrement des données. Les données existantes sont également chiffrées avec cette nouvelle version.
• Dataplex Universal Catalog conserve les sauvegardes de données pendant 15 jours maximum. Toutes les sauvegardes créées après l'activation de CMEK sont chiffrées à l'aide de la clé KMS spécifiée. Les données sauvegardées avant l'activation de CMEK restent chiffrées avec le chiffrement par défaut de Google pendant 15 jours maximum.

Limites

• Le passage à CMEK est un processus irréversible. Une fois que vous avez opté pour les CMEK, vous ne pouvez pas revenir au chiffrement par défaut de Google.
• Une fois qu'une clé Cloud KMS est configurée pour Dataplex Universal Catalog, elle ne peut plus être mise à jour ni modifiée.
• Dataplex Universal Catalog n'est compatible qu'avec le chiffrement au niveau de l'organisation. Par conséquent, la configuration du chiffrement est définie au niveau de l'organisation pour un emplacement donné et est utilisée pour chiffrer les données Dataplex Universal Catalog pour tous les projets de cette organisation et de cet emplacement. Le chiffrement CMEK n'est pas compatible avec des projets spécifiques d'une organisation ou d'un dossier. La définition de règles d'administration liées à CMEK nécessite une attention particulière.
• Dataplex Universal Catalog n'est pas compatible avec les clés CMEK dans la région "global".
• La protection CMEK n'est pas disponible pour les métadonnées capturées dans les aspects et les glossaires.

Protéger vos clés de chiffrement

Pour continuer à accéder aux données chiffrées par CMEK, suivez ces bonnes pratiques :

• Assurez-vous que vos clés CMEK restent activées et accessibles. Si une clé est désactivée ou détruite, les données Dataplex Universal Catalog deviennent inaccessibles. Si la clé n'est pas disponible pendant plus de 30 jours, les données chiffrées avec cette clé sont automatiquement supprimées et ne peuvent pas être récupérées.
• Si la clé Cloud KMS est détruite et irrécupérable, toutes les données associées à Dataplex Universal Catalog seront définitivement perdues.
• Si Cloud KMS est temporairement indisponible, Dataplex Universal Catalog continue de prendre en charge les opérations complètes au mieux de ses capacités pendant une heure maximum. Passé ce délai, les données deviendront temporairement inaccessibles par mesure de protection.
• Lorsque vous utilisez Cloud EKM, sachez que Google ne contrôle pas la disponibilité de vos clés gérées en externe. L'indisponibilité à court terme d'une clé entraîne une inaccessibilité temporaire des données. Si une clé reste indisponible pendant 30 jours, cela entraîne une perte de données définitive.
• Une fois le chiffrement CMEK activé, ne déplacez pas de projets d'une organisation à une autre, car cela entraînerait une perte de données.

Disponibilité de Dataplex Universal Catalog

Les sections suivantes décrivent le processus et l'impact opérationnel attendu lorsque vous activez CMEK pour votre organisation Dataplex Universal Catalog.

Provisionnement initial de l'infrastructure

Une fois la configuration du chiffrement enregistrée, Dataplex Universal Catalog configure l'infrastructure nécessaire. Cette opération prend généralement entre six et huit heures. Pendant cette phase de provisionnement, vous conservez un accès complet à toutes les fonctionnalités de Dataplex Universal Catalog, et les données restent chiffrées grâce au chiffrement géré par Google. Si la règle d'administration constraints/gcp.restrictNonCmekServices est définie, les requêtes de création de ressources échouent jusqu'à ce que la phase de provisionnement soit terminée.

Chiffrement des données et disponibilité de l'API

Une fois l'infrastructure provisionnée, Dataplex Universal Catalog commence à chiffrer les données existantes stockées dans l'organisation. Pour garantir l'intégrité des données et éviter d'éventuelles incohérences lors de ce processus de chiffrement, les méthodes de l'API Dataplex sont temporairement indisponibles. Cette restriction empêche les opérations de mise à jour des données. Lorsque vous activez CMEK pour Dataplex Universal Catalog, toutes les données existantes sont chiffrées. Cette opération unique devrait prendre jusqu'à deux heures.

Opérations post-chiffrement

Une fois le chiffrement des données existantes terminé, les méthodes de l'API Dataplex sont entièrement disponibles. La création ou la modification de données dans Dataplex Universal Catalog est automatiquement chiffrée à l'aide de la clé CMEK configurée, sans aucune interruption opérationnelle ni restriction d'API.

Créer une clé et activer les CMEK

Les instructions suivantes expliquent comment créer une clé et activer CMEK pour Dataplex Universal Catalog. Vous pouvez utiliser une clé créée directement dans Cloud KMS ou une clé gérée en externe que vous rendez disponible avec Cloud EKM.

1. Dans le projet Google Cloud où vous souhaitez gérer vos clés, procédez comme suit :

   1. Activez l'API Cloud Key Management Service.

   2. Créez un trousseau de clés Cloud KMS à l'emplacement où vous souhaitez l'utiliser.

   3. Créez une clé à l'aide de l'une des options suivantes :

      • Créez une clé Cloud KMS
      • Créez une clé externe.

2. Créez et affichez le compte de service géré par Google :

   gcloud beta services identity create \
       --service=dataplex.googleapis.com \
       --organization=ORG_ID
   

   Remplacez ORG_ID par l'ID de l'organisation contenant la clé.

   Si vous êtes invité à installer le composant de commandes bêta de Google Cloud CLI, saisissez Y.

   La commande gcloud CLI services identity crée ou obtient le compte de service spécifique géré par Google que Dataplex Universal Catalog peut utiliser pour accéder à la clé Cloud KMS.

   L'ID de compte de service se présente sous la forme service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com. Un compte de service spécifique à la CMEK est également créé, au format service-org-ORG_ID@gcp-sa-dataplex-cmek.iam.gserviceaccount.com. Le compte de service spécifique à CMEK est utilisé pour chiffrer et déchiffrer les données stockées dans Dataplex Universal Catalog. Si vous utilisez VPC Service Controls pour la clé Cloud KMS, vous devez accorder l'accès au compte de service spécifique à CMEK à l'aide d'une règle d'entrée.

3. Accordez le rôle IAM de chiffreur/déchiffreur de clés cryptographiques (roles/cloudkms.cryptoKeyEncrypterDecrypter) au compte de service Dataplex Universal Catalog. Accordez cette autorisation sur la clé que vous avez créée.

   Console

   1. Accédez à la page Gestion des clés.

      Accéder à la page "Gestion des clés"

   2. Cliquez sur le trousseau de clés.

   3. Dans la liste des clés disponibles, cliquez sur celle que vous avez créée.

   4. Cliquez sur l'onglet Autorisations.

   5. Cliquez sur Accorder l'accès.

   6. Dans le volet Accorder l'accès qui s'affiche, procédez comme suit pour accorder l'accès au compte de service Dataplex Universal Catalog :

      1. Dans Ajouter des comptes principaux, saisissez le compte de service service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.
      2. Dans Attribuer des rôles, sélectionnez le rôle Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS.
      3. Cliquez sur Enregistrer.

   gcloud

   Attribuez le rôle cloudkms.cryptoKeyEncrypterDecrypter au compte de service :

   gcloud kms keys add-iam-policy-binding KEY_NAME \
       --location=LOCATION \
       --keyring KEY_RING \
       --project=KEY_PROJECT_ID \
       --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \
       --role roles/cloudkms.cryptoKeyEncrypterDecrypter
   

   Remplacez les éléments suivants :

   • KEY_NAME : nom de la clé
   • LOCATION : emplacement
   • KEY_RING : trousseau de clés
   • KEY_PROJECT_ID : ID du projet de la clé

4. Attribuez-vous le rôle Administrateur du chiffrement Dataplex.

   Console

   Suivez les instructions pour attribuer un rôle IAM.

   gcloud

   gcloud organizations add-iam-policy-binding ORG_ID \
       --member='user:USER_EMAIL' \
       --role='roles/dataplex.encryptionAdmin'
   

   Remplacez les éléments suivants :

   • ORG_ID : ID de l'organisation contenant la clé.
   • USER_EMAIL : adresse e-mail de l'utilisateur.

5. Configurez Dataplex Universal Catalog pour qu'il utilise votre clé CMEK.

   Console

   1. Dans la console Google Cloud , accédez à la page Dataplex.

      Accéder à Dataplex

   2. Cliquez sur Paramètres.

   3. Dans Sélectionner une région pour la CMEK, sélectionnez une région. La région que vous sélectionnez doit correspondre à l'emplacement de la clé Cloud KMS.

   4. Dans Sélectionner la clé de chiffrement, sélectionnez la clé que vous avez créée.

   5. Cliquez sur Enregistrer.

      Le processus de chiffrement des données prend un certain temps. Une fois le processus terminé, le message suivant s'affiche : Data Encryption is complete. Your selected CMEK key is now protecting your data.

   gcloud

   1. Définissez la configuration du chiffrement dans Dataplex Universal Catalog :

      gcloud dataplex encryption-config create default \
          --location=LOCATION \
          --organization=ORG_ID \
          --key=KEY_RESOURCE_ID
      

      Remplacez les éléments suivants :

      • ORG_ID : ID de l'organisation contenant la clé.
      • KEY_RESOURCE_ID : ID de ressource de la clé, par exemple projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. Remplacez PROJECT_ID par l'ID du projet clé.

   2. Vérifiez que le processus de chiffrement est terminé :

      gcloud dataplex encryption-config describe default \
          --location=LOCATION \
          --organization=ORG_ID
      

   Le processus de chiffrement des données prend un certain temps. Une fois le processus terminé, le message suivant s'affiche : encryptionState: COMPLETED.

Journalisation et surveillance

Auditez les requêtes Dataplex Universal Catalog envoyées à Cloud KMS en activant la journalisation d'audit pour l'API Cloud KMS.

Règles d'administration CMEK

Google Cloud fournit des contraintes de règles d'administration pour appliquer l'utilisation de CMEK et contrôler les clés Cloud KMS autorisées dans votre organisation. Ces contraintes permettent de s'assurer que les données du catalogue universel Dataplex sont systématiquement protégées par CMEK.

• constraints/gcp.restrictNonCmekServices impose l'utilisation obligatoire de CMEK pour les ressources Dataplex Universal Catalog.

  • Si vous ajoutez dataplex.googleapis.com à la liste des noms de services Google Cloud et définissez la contrainte sur Deny, vous empêchez la création de ressources Dataplex Universal Catalog qui ne sont pas protégées par CMEK.

  • Si aucune clé Cloud KMS n'est spécifiée pour l'emplacement demandé dans les paramètres de chiffrement CMEK, les requêtes de création de ressources dans Dataplex Universal Catalog échoueront.

  • Cette règle est validée au niveau du projet de ressource individuelle.

• constraints/gcp.restrictCmekCryptoKeyProjects limite la sélection des clés Cloud KMS pour CMEK aux hiérarchies de ressources désignées.

  • En configurant une liste d'indicateurs de hiérarchie des ressources (projets, dossiers ou organisations) et en définissant la contrainte sur Allow, Dataplex Universal Catalog est limité à l'utilisation de clés CMEK uniquement à partir des emplacements spécifiés.

  • Si une clé Cloud KMS provenant d'un projet non autorisé est fournie, les requêtes de création de ressources protégées par CMEK dans Dataplex Universal Catalog échoueront.

  • Cette règle est validée au niveau du projet de ressource lors de la création de la ressource.

  • Cette règle est validée au niveau de l'organisation lors de la configuration des paramètres de chiffrement CMEK.

  • Pour éviter les incohérences, assurez-vous que les configurations au niveau du projet sont conformes aux règles de l'ensemble de l'organisation.

Pour en savoir plus sur la configuration des règles d'administration, consultez Règles d'administration CMEK.

Étapes suivantes

• En savoir plus sur CMEK