Clés de chiffrement gérées par le client

Par défaut, Integration Connectors chiffre les contenus client au repos. Il gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.

Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Integration Connectors. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Grâce à Cloud KMS, vous pouvez également afficher les journaux d'audit et contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.

Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Integration Connectors est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).

Avant de commencer

Assurez-vous d'effectuer les tâches suivantes avant d'utiliser des CMEK pour Integration Connectors :

  1. Activez l'API Cloud KMS pour le projet qui stockera vos clés de chiffrement.

    Activer l'API Cloud KMS

  2. Attribuez le rôle IAM Administrateur Cloud KMS ou accordez les autorisations IAM suivantes au projet qui stockera vos clés de chiffrement :
    • cloudkms.cryptoKeys.setIamPolicy
    • cloudkms.keyRings.create
    • cloudkms.cryptoKeys.create

    Pour en savoir plus sur l'attribution de rôles ou d'autorisations supplémentaires, consultez Accorder, modifier et révoquer des accès.

  3. Créez un trousseau de clés et une clé.

Ajouter un compte de service à une CMEK

Pour utiliser une CMEK dans Integration Connectors, vous devez vous assurer que votre compte de service par défaut (au format service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com) est ajouté et dispose du rôle IAM Chiffreur/Déchiffreur de CryptoKeys pour cette CMEK.

.
  1. Dans la console Google Cloud, accédez à la page Inventaire des clés.

    Accéder à la page "Inventaire des clés"

  2. Cochez la case correspondant à la CMEK souhaitée.

    L'onglet Autorisations s'affiche dans le volet de droite.

  3. Cliquez sur Ajouter un compte principal, puis saisissez l'adresse e-mail du compte de service par défaut.
  4. Cliquez sur Sélectionner un rôle, puis sélectionnez le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS dans la liste déroulante disponible.
  5. Cliquez sur Enregistrer.

Activer le chiffrement CMEK pour une région Integration Connectors existante

Vous pouvez utiliser la CMEK pour chiffrer et déchiffrer les données compatibles stockées dans une région (également appelée "emplacement"). Pour activer le chiffrement CMEK pour une région Integration Connectors existante, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Connecteurs d'intégration > Connexions.

    Accédez à la page Toutes les connexions.

  2. Filtrez les connexions pour l'emplacement requis.

    Vous obtiendrez la liste de toutes les connexions pour l'emplacement (région) spécifié.

  3. Suspendez toutes les connexions dans la région.
  4. Accédez à la page Connecteurs d'intégration > Régions. Vous y trouverez la liste des régions où Integration Connectors est disponible.
  5. Pour la région dans laquelle vous souhaitez activer la CMEK, accédez au menu Actions et cliquez sur Modifier le chiffrement. Le volet Modifier le chiffrement s'affiche.
  6. Sélectionnez Clé de chiffrement gérée par le client (CMEK), puis sélectionnez la clé requise dans la liste déroulante Clé gérée par le client.

    Vous serez peut-être invité à attribuer le rôle cloudkms.cryptoKeyEncrypterDecrypter au compte de service. Cliquez sur Accorder.

  7. Cliquez sur OK.

Activer le chiffrement CMEK pour une nouvelle région Integration Connectors

Vous pouvez utiliser la CMEK pour chiffrer et déchiffrer les données compatibles stockées dans une région (également appelée "emplacement"). Pour activer le chiffrement CMEK pour une nouvelle région Integration Connectors, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Connecteurs d'intégration > Régions.

    Accédez à la page Régions.

  2. Cliquez sur Provisionner une nouvelle région. La page de création de région s'affiche.
  3. Sélectionnez la région requise dans la liste déroulante Région.
  4. Dans la section Paramètres avancés, sélectionnez Clé de chiffrement gérée par le client (CMEK), puis sélectionnez la clé requise dans la liste déroulante Clé gérée par le client.

    Vous serez peut-être invité à attribuer le rôle cloudkms.cryptoKeyEncrypterDecrypter au compte de service. Cliquez sur Accorder.

  5. Cliquez sur OK.

Quotas Cloud KMS et Integration Connectors

Lorsque vous utilisez une CMEK dans Integration Connectors, vos projets peuvent consommer des quotas de requêtes de chiffrement Cloud KMS. Par exemple, les clés CMEK peuvent utiliser ces quotas pour chaque appel de chiffrement et de déchiffrement.

Les opérations de chiffrement et de déchiffrement utilisant des clés CMEK affectent les quotas de Cloud KMS de différentes manières :

  • Pour les clés logicielles CMEK générées dans Cloud KMS, aucun quota Cloud KMS n'est consommé.
  • Pour les clés CMEK matérielles (parfois appelées "clés Cloud HSM"), les opérations de chiffrement et de déchiffrement sont comptabilisées dans les quotas Cloud HSM du projet qui contient la clé.
  • Pour les clés CMEK externes (parfois appelées "clés Cloud EKM"), les opérations de chiffrement et de déchiffrement sont comptabilisées dans les quotas Cloud EKM du projet qui contient la clé.

Pour en savoir plus, consultez Quotas Cloud KMS.