Activer les clés de chiffrement gérées par le client

Ce document explique comment chiffrer les données de Dataplex Universal Catalog avec des clés de chiffrement gérées par le client (CMEK).

Présentation

Par défaut, Dataplex Universal Catalog chiffre le contenu client au repos. Dataplex Universal Catalog gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.

Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris le catalogue universel Dataplex. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Cloud KMS vous permet également de suivre l'utilisation des clés, d'afficher les journaux d'audit et de contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.

Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Dataplex Universal Catalog est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).

Dataplex Universal Catalog utilise un CMEK par emplacement pour toutes les ressources Dataplex Universal Catalog.

Vous pouvez configurer une clé CMEK au niveau de l'organisation dans le catalogue universel Dataplex.

Pour en savoir plus sur le chiffrement CMEK en général, y compris quand et pourquoi l'activer, consultez la page Clés de chiffrement gérées par le client (CMEK).

Avantages du chiffrement CMEK

CMEK vous permet d'effectuer les opérations suivantes:

• Gérer les opérations du cycle de vie des clés et les autorisations d'accès.
• Suivez l'utilisation des clés avec l'API Key Inventory et les tableaux de bord "Key Usage" (Utilisation des clés) de Cloud KMS, qui vous permettent de voir, par exemple, quelles clés protègent quelles ressources. Cloud Logging vous indique quand les clés ont été consultées et par qui.
• Respectez des exigences réglementaires spécifiques en gérant vos clés de chiffrement.

Fonctionnement des CMEK avec Dataplex Universal Catalog

Les administrateurs de chiffrement Dataplex Universal Catalog de votre Google Cloud projet peuvent configurer CMEK pour Dataplex Universal Catalog en fournissant la clé Cloud KMS. Ensuite, Dataplex Universal Catalog utilise la clé Cloud KMS spécifiée pour chiffrer toutes les données, y compris les données existantes et les nouvelles ressources créées dans Dataplex Universal Catalog.

Fonctionnalités compatibles

• Dataplex Universal Catalog est compatible avec le chiffrement CMEK pour les fonctionnalités suivantes :
  • Qualité automatique des données
  • Profilage des données
  • Découverte de données
  • Insights sur les données
• La lignée de données ne stocke pas le contenu principal du client ni les données sensibles. Elle ne nécessite donc pas de chiffrement CMEK.
• Les clients Assured Workloads ne peuvent pas utiliser d'autres fonctionnalités du catalogue universel Dataplex, car le chiffrement CMEK n'est pas pris en charge.
• Les clients qui n'utilisent pas Assured Workloads peuvent utiliser d'autres fonctionnalités, mais les données sont chiffrées à l'aide du chiffrement par défaut de Google.

Remarques

• Par défaut, chaque organisation est provisionnée à l'aide du chiffrement par défaut de Google.
• L'administrateur de l'organisation peut passer à CMEK dans Dataplex Universal Catalog pour n'importe quel emplacement.
• Le catalogue universel Dataplex est compatible avec les clés Cloud KMS, les clés Cloud HSM et les clés Cloud External Key Manager.
• La rotation de clé est prise en charge. Une fois disponible, la nouvelle version de clé est automatiquement utilisée pour le chiffrement des données. Les données existantes sont également chiffrées avec cette nouvelle version.
• Dataplex Universal Catalog conserve les sauvegardes de données pendant 15 jours maximum. Toutes les sauvegardes créées après l'activation du chiffrement CMEK sont chiffrées à l'aide de la clé KMS spécifiée. Les données sauvegardées avant l'activation du chiffrement CMEK restent chiffrées avec le chiffrement par défaut de Google pendant 15 jours maximum.

Limites

• Le passage à CMEK est un processus irréversible. Une fois que vous avez opté pour le chiffrement CMEK, vous ne pouvez plus revenir au chiffrement par défaut de Google.
• Une fois qu'une clé Cloud KMS est configurée pour Dataplex Universal Catalog, elle ne peut plus être mise à jour ni modifiée.
• Dataplex Universal Catalog n'est compatible qu'avec le chiffrement au niveau de l'organisation. Par conséquent, la configuration de chiffrement est définie au niveau de l'organisation pour un emplacement donné et permet de chiffrer les données de Dataplex Universal Catalog pour tous les projets de cette organisation et de cet emplacement. Le chiffrement CMEK n'est pas compatible avec des projets spécifiques d'une organisation ou d'un dossier. La configuration des règles d'administration liées au CMEK nécessite une réflexion approfondie.
• Le catalogue universel Dataplex n'est pas compatible avec les clés CMEK dans la région mondiale.
• La protection CMEK n'est pas disponible pour les métadonnées capturées dans les aspects et les glossaires.

Protéger vos clés de chiffrement

Pour garantir un accès continu aux données chiffrées par CMEK, suivez ces bonnes pratiques:

• Assurez-vous que vos clés CMEK restent activées et accessibles. Si une clé est désactivée ou détruite, les données de Dataplex Universal Catalog deviennent inaccessibles. Si la clé n'est pas disponible pendant plus de 30 jours, les données chiffrées avec cette clé sont automatiquement supprimées et ne peuvent pas être récupérées.
• Si la clé Cloud KMS est détruite et non récupérable, toutes les données du catalogue universel Dataplex associées seront définitivement perdues.
• Lorsque Cloud KMS est temporairement indisponible, le catalogue universel Dataplex continue de prendre en charge les opérations complètes dans la mesure du possible pendant une heure maximum. Passé ce délai, les données deviendront temporairement inaccessibles à titre de mesure de protection.
• Lorsque vous utilisez Cloud EKM, sachez que Google ne contrôle pas la disponibilité de vos clés gérées en externe. L'indisponibilité à court terme des clés entraîne une inaccessibilité temporaire des données. Une indisponibilité de clé qui se poursuit pendant 30 jours entraîne une perte de données définitive.
• Une fois le chiffrement CMEK activé, ne déplacez pas de projets d'une organisation à une autre, car cette action entraîne une perte de données.

Disponibilité de Dataplex Universal Catalog

Les sections suivantes décrivent le processus et l'impact opérationnel attendu lorsque vous activez le chiffrement CMEK pour votre organisation Dataplex Universal Catalog.

Provisionnement initial de l'infrastructure

Une fois la configuration du chiffrement enregistrée, Dataplex Universal Catalog configure l'infrastructure nécessaire. Cette procédure prend généralement entre 6 et 8 heures. Au cours de cette phase de provisionnement, vous conservez un accès complet à toutes les fonctionnalités de Dataplex Universal Catalog. Les données restent chiffrées via un chiffrement géré par Google. Si la règle d'administration constraints/gcp.restrictNonCmekServices est définie, les requêtes de création de ressources échouent jusqu'à la fin de la phase de provisionnement.

Chiffrement des données et disponibilité des API

Après le provisionnement de l'infrastructure, Dataplex Universal Catalog commence à chiffrer les données existantes stockées dans l'organisation. Pour garantir l'intégrité des données et éviter les incohérences potentielles lors de ce processus de chiffrement, les méthodes de l'API Dataplex Universal Catalog sont temporairement indisponibles. Cette restriction empêche les opérations de mise à jour des données. Lorsque vous activez initialement la CMEK pour Dataplex Universal Catalog, toutes les données existantes sont chiffrées. Cette opération unique devrait prendre jusqu'à deux heures.

Opérations post-chiffrement

Une fois le chiffrement des données existantes terminé, les méthodes de l'API Dataplex Universal Catalog sont entièrement disponibles. La création ou la modification de données dans Dataplex Universal Catalog est automatiquement chiffrée à l'aide du CMEK configuré, sans interruption opérationnelle ni restriction d'API.

Créer une clé et activer CMEK

Les instructions suivantes expliquent comment créer une clé et activer CMEK pour le catalogue universel Dataplex. Vous pouvez utiliser une clé créée directement dans Cloud KMS ou une clé gérée en externe que vous rendez disponible avec Cloud EKM.

1. Dans le projet Google Cloud dans lequel vous souhaitez gérer vos clés, procédez comme suit:

   1. Activez l'API Cloud Key Management Service.

   2. Créez un trousseau de clés Cloud KMS à l'emplacement où vous souhaitez l'utiliser.

   3. Créez une clé à l'aide de l'une des options suivantes:

      • Créez une clé Cloud KMS
      • Créez une clé externe.

2. Créez et affichez le compte de service géré par Google:

   gcloud beta services identity create \
       --service=dataplex.googleapis.com \
       --organization=ORG_ID
   

   Remplacez ORG_ID par l'ID de l'organisation qui contient la clé.

   Si vous êtes invité à installer le composant de commandes bêta de Google Cloud CLI, saisissez Y.

   La commande services identity de gcloud CLI crée ou récupère le compte de service géré par Google spécifique que le catalogue universel Dataplex peut utiliser pour accéder à la clé Cloud KMS.

   L'ID du compte de service se présente sous la forme service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.

3. Accordez le rôle IAM de chiffreur/déchiffreur de clés cryptographiques (roles/cloudkms.cryptoKeyEncrypterDecrypter) au compte de service du catalogue universel Dataplex. Accordez cette autorisation à la clé que vous avez créée.

   Console

   1. Accédez à la page Gestion des clés.

      Accéder à la page "Gestion des clés"

   2. Cliquez sur le trousseau de clés.

   3. Dans la liste des clés disponibles, cliquez sur celle que vous avez créée.

   4. Cliquez sur l'onglet Autorisations.

   5. Cliquez sur Accorder l'accès.

   6. Dans le volet Grant access (Accorder l'accès) qui s'affiche, procédez comme suit pour accorder l'accès au compte de service du catalogue universel Dataplex:

      1. Dans Ajouter des comptes principaux, saisissez le compte de service service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.
      2. Dans Attribuer des rôles, sélectionnez le rôle Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS.
      3. Cliquez sur Enregistrer.

   gcloud

   Attribuez au compte de service le rôle cloudkms.cryptoKeyEncrypterDecrypter:

   gcloud kms keys add-iam-policy-binding KEY_NAME \
       --location=LOCATION \
       --keyring KEY_RING \
       --project=KEY_PROJECT_ID \
       --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \
       --role roles/cloudkms.cryptoKeyEncrypterDecrypter
   

   Remplacez les éléments suivants :

   • KEY_NAME : nom de la clé
   • LOCATION : emplacement
   • KEY_RING: trousseau de clés
   • KEY_PROJECT_ID: ID du projet de clé

4. Attribuez-vous le rôle Administrateur du chiffrement Dataplex.

   Console

   Suivez les instructions pour attribuer un rôle IAM.

   gcloud

   gcloud organizations add-iam-policy-binding ORG_ID \
       --member='user:USER_EMAIL' \
       --role='roles/dataplex.encryptionAdmin'
   

   Remplacez les éléments suivants :

   • ORG_ID: ID de l'organisation qui contient la clé.
   • USER_EMAIL : adresse e-mail de l'utilisateur.

5. Configurez Dataplex Universal Catalog pour qu'il utilise votre clé CMEK.

   Console

   1. Dans la console Google Cloud , accédez à la page Dataplex.

      Accéder à Dataplex

   2. Cliquez sur Paramètres.

   3. Dans Sélectionner une région pour la CMEK, sélectionnez une région. La région que vous sélectionnez doit correspondre à l'emplacement de la clé Cloud KMS.

   4. Dans Sélectionner la clé de chiffrement, sélectionnez la clé que vous avez créée.

   5. Cliquez sur Enregistrer.

      Le processus de chiffrement des données prend un certain temps. Une fois le processus terminé, le message suivant s'affiche: Data Encryption is complete. Your selected CMEK key is now protecting your data.

   gcloud

   1. Définissez la configuration du chiffrement dans Dataplex Universal Catalog:

      gcloud dataplex encryption-config create default \
          --location=LOCATION \
          --organization=ORG_ID \
          --key=KEY_RESOURCE_ID
      

      Remplacez les éléments suivants :

      • ORG_ID: ID de l'organisation qui contient la clé.
      • KEY_RESOURCE_ID: ID de ressource de clé, par exemple projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. Remplacez PROJECT_ID par l'ID du projet clé.

   2. Vérifiez que le processus de chiffrement est terminé:

      gcloud dataplex encryption-config describe default \
          --location=LOCATION \
          --organization=ORG_ID
      

   Le processus de chiffrement des données prend un certain temps. Une fois le processus terminé, le message suivant s'affiche: encryptionState: COMPLETED.

Journalisation et surveillance

Auditez les requêtes Dataplex Universal Catalog envoyées à Cloud KMS en activant la journalisation d'audit pour l'API Cloud KMS.

Règles d'administration CMEK

Google Cloud fournit des contraintes de règles d'administration pour appliquer l'utilisation de CMEK et contrôler les clés Cloud KMS autorisées dans votre organisation. Ces contraintes permettent de s'assurer que les données du catalogue universel Dataplex sont systématiquement protégées par CMEK.

• constraints/gcp.restrictNonCmekServices applique l'utilisation obligatoire de CMEK pour les ressources Dataplex Universal Catalog.

  • Ajouter dataplex.googleapis.com à la liste des noms de services Google Cloud et définir la contrainte sur Deny interdit la création de ressources Dataplex Universal Catalog qui ne sont pas protégées par CMEK.

  • Si aucune clé Cloud KMS n'est spécifiée pour l'emplacement demandé dans les paramètres de chiffrement CMEK, les requêtes de création de ressources dans le catalogue universel Dataplex échouent.

  • Cette règle est validée au niveau du projet de ressources individuelles.

• constraints/gcp.restrictCmekCryptoKeyProjects limite la sélection des clés Cloud KMS pour CMEK aux hiérarchies de ressources désignées.

  • En configurant une liste d'indicateurs de hiérarchie des ressources (projets, dossiers ou organisations) et en définissant la contrainte sur Allow, Dataplex Universal Catalog est limité à l'utilisation de clés CMEK uniquement à partir des emplacements spécifiés.

  • Si une clé Cloud KMS d'un projet non autorisé est fournie, les requêtes de création de ressources protégées par CMEK dans le catalogue universel Dataplex échouent.

  • Cette stratégie est validée au niveau du projet de ressources lors de la création de la ressource.

  • Cette règle est validée au niveau de l'organisation lors de la configuration des paramètres de chiffrement CMEK.

  • Pour éviter les incohérences, assurez-vous que les configurations au niveau du projet sont conformes aux règles applicables à l'ensemble de l'organisation.

Pour en savoir plus sur la configuration des règles d'administration#39;administration, consultez la section Règles d'administration CMEK.

Étapes suivantes

• En savoir plus sur CMEK