Clés de chiffrement gérées par le client

Par défaut, Integration Connectors chiffre le contenu client au repos. Integration Connectors gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.

Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Integration Connectors. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Cloud KMS vous permet également d'afficher les journaux d'audit et de contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.

Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Integration Connectors est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).

Avant de commencer

Avant d'utiliser CMEK pour les connecteurs Integration Connectors, assurez-vous d'avoir effectué les tâches suivantes :

  1. Avoir activé l'API Cloud KMS pour le projet qui stockera vos clés de chiffrement

    Activer l'API Cloud KMS

  2. Attribuez le rôle IAM Administrateur Cloud KMS ou accordez les autorisations IAM suivantes pour le projet qui stockera vos clés de chiffrement :
    • cloudkms.cryptoKeys.setIamPolicy
    • cloudkms.keyRings.create
    • cloudkms.cryptoKeys.create

    Pour en savoir plus sur l'attribution de rôles ou d'autorisations supplémentaires, consultez Accorder, modifier et révoquer des accès.

  3. Créez un trousseau de clés et une clé.

Ajouter un compte de service à la clé CMEK

Pour utiliser une clé CMEK dans Integration Connectors, vous devez vous assurer que votre compte de service par défaut (au format service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com) est ajouté et qu'il dispose du rôle IAM Chiffreur/Déchiffreur de CryptoKeys pour cette clé CMEK.

  1. Dans la console Google Cloud , accédez à la page Inventaire des clés.

    Accéder à la page "Inventaire des clés"

  2. Cochez la case correspondant à la clé CMEK souhaitée.

    L'onglet Autorisations s'affiche dans le volet de droite.

  3. Cliquez sur Ajouter un compte principal, puis saisissez l'adresse e-mail du compte de service par défaut.
  4. Cliquez sur Sélectionner un rôle, puis sélectionnez le rôle Chiffreur/Déchiffreur de clé de chiffrement Cloud KMS dans la liste déroulante.
  5. Cliquez sur Enregistrer.

Activer le chiffrement CMEK pour une région Integration Connectors existante

Vous pouvez utiliser des CMEK pour chiffrer et déchiffrer les données compatibles stockées dans une région (également appelée "emplacement"). Pour activer le chiffrement CMEK pour une région Integration Connectors existante, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Connecteurs d'intégration > Connexions.

    Accédez à la page Toutes les connexions.

  2. Filtrez les connexions pour trouver l'emplacement requis.

    Vous obtiendrez la liste de toutes les connexions pour l'emplacement (région) spécifié.

  3. Suspendez toutes les connexions dans la région.
  4. Accédez à la page Integration Connectors > Régions. Cette liste répertorie toutes les régions où Integration Connectors est disponible.
  5. Pour la région dans laquelle vous souhaitez activer CMEK, cliquez sur Modifier le chiffrement dans le menu Actions. Le volet Modifier le chiffrement s'affiche.
  6. Sélectionnez Clé de chiffrement gérée par le client (CMEK), puis la clé requise dans la liste déroulante Clé gérée par le client.

    Vous serez peut-être invité à attribuer le rôle cloudkms.cryptoKeyEncrypterDecrypter au compte de service. Cliquez sur Accorder.

  7. Cliquez sur OK.

Activer le chiffrement CMEK pour une nouvelle région Integration Connectors

Vous pouvez utiliser des CMEK pour chiffrer et déchiffrer les données compatibles stockées dans une région (également appelée "emplacement"). Pour activer le chiffrement CMEK pour une nouvelle région Integration Connectors, procédez comme suit :

  1. Dans la console Google Cloud , accédez à la page Connecteurs d'intégration > Régions.

    Accédez à la page "Régions".

  2. Cliquez sur Provisionner une nouvelle région. La page de création de région s'affiche.
  3. Sélectionnez la région requise dans la liste déroulante Région.
  4. Dans la section Paramètres avancés, sélectionnez Clé de chiffrement gérée par le client (CMEK), puis la clé requise dans la liste déroulante Clé gérée par le client.

    Vous serez peut-être invité à attribuer le rôle cloudkms.cryptoKeyEncrypterDecrypter au compte de service. Cliquez sur Accorder.

  5. Cliquez sur OK.

Quotas Cloud KMS et Integration Connectors

Lorsque vous utilisez des clés CMEK dans Integration Connectors, vos projets peuvent consommer des quotas de requêtes de chiffrement Cloud KMS. Par exemple, les clés CMEK peuvent utiliser ces quotas pour chaque appel de chiffrement et de déchiffrement.

Les opérations de chiffrement et de déchiffrement utilisant des clés CMEK affectent les quotas de Cloud KMS de différentes manières :

  • Aucun quota Cloud KMS n'est consommé pour les clés CMEK logicielles générées dans Cloud KMS.
  • Pour les clés CMEK matérielles (parfois appelées clés Cloud HSM), les opérations de chiffrement et de déchiffrement sont comptabilisées dans les quotas Cloud HSM du projet contenant la clé.
  • Pour les clés CMEK externes (parfois appelées clés Cloud EKM), les opérations de chiffrement et de déchiffrement sont comptabilisées dans les quotas Cloud EKM du projet contenant la clé.

Pour en savoir plus, consultez la page Quotas Cloud KMS.