La fonctionnalité de clé automatique Cloud KMS simplifie la création et l'utilisation des clés de chiffrement gérées par le client (CMEK) en automatisant le provisionnement et l'attribution. Avec Autokey, les trousseaux de clés et les clés sont générés à la demande. Les comptes de service qui utilisent les clés pour chiffrer et déchiffrer les ressources sont créés et se voient attribuer des rôles IAM (Identity and Access Management) si nécessaire. Les administrateurs Cloud KMS conservent un contrôle et une visibilité complets sur les clés créées par Autokey, sans qu'il soit nécessaire de planifier et de créer chaque ressource à l'avance.
L'utilisation de clés générées par la fonction de clé automatique peut vous aider à vous conformer aux normes du secteur et aux pratiques recommandées en matière de sécurité des données, y compris le niveau de protection HSM, la séparation des tâches, la rotation des clés, l'emplacement et la spécificité des clés. La clé automatique crée des clés qui suivent les consignes générales et celles spécifiques au type de ressource pour les services Google Cloud qui s'intègrent à Cloud KMS Autokey. Une fois créées, les clés demandées à l'aide d'Autokey fonctionnent de la même manière que les autres clés Cloud HSM avec les mêmes paramètres.
Autokey peut également simplifier l'utilisation de Terraform pour la gestion des clés, en supprimant la nécessité d'exécuter l'infrastructure en tant que code avec des droits de création de clés élevés.
Pour utiliser Autokey, vous devez disposer d'une ressource Organisation contenant une ressource Dossier. Pour en savoir plus sur les ressources d'organisation et de dossier, consultez Hiérarchie des ressources.
Cloud KMS Autokey est disponible dans tous les emplacements Google Cloud où Cloud HSM est disponible. Pour en savoir plus sur les emplacements Cloud KMS, consultez la page Emplacements Cloud KMS. L'utilisation d'Autokey Cloud KMS n'entraîne aucun coût supplémentaire. Les clés créées à l'aide d'Autokey sont facturées au même prix que les autres clés Cloud HSM. Pour en savoir plus sur les tarifs, consultez Tarifs de Cloud Key Management Service.
Fonctionnement d'Autokey
Cette section explique le fonctionnement de Cloud KMS Autokey. Les rôles utilisateur suivants participent à ce processus :
- Administrateur de la sécurité
- L'administrateur de sécurité est un utilisateur responsable de la gestion de la sécurité au niveau du dossier ou de l'organisation.
- Développeur Autokey
- Le développeur Autokey est un utilisateur chargé de créer des ressources à l'aide de Cloud KMS Autokey.
- Administrateur Cloud KMS
- L'administrateur Cloud KMS est un utilisateur responsable de la gestion des ressources Cloud KMS. Ce rôle a moins de responsabilités lorsqu'il utilise Autokey que lorsqu'il utilise des clés créées manuellement.
Les agents de service suivants participent également à ce processus :
- Agent de service Cloud KMS
- Agent de service pour Cloud KMS dans un projet de clé donné. La fonctionnalité de clé automatique dépend de cet agent de service qui dispose de droits d'accès élevés pour créer des clés et des trousseaux de clés Cloud KMS, et pour définir une règle IAM sur les clés, en accordant des autorisations de chiffrement et de déchiffrement pour chaque agent de service de ressource.
- Agent du service de ressources
- L'agent de service pour un service donné dans un projet de ressources donné. Cet agent de service doit disposer des autorisations de chiffrement et de déchiffrement pour toute clé Cloud KMS avant de pouvoir l'utiliser pour la protection CMEK d'une ressource. Autokey crée l'agent de service de ressources si nécessaire et lui accorde les autorisations nécessaires pour utiliser la clé Cloud KMS.
L'administrateur de la sécurité active Cloud KMS Autokey
Avant de pouvoir utiliser Autokey, l'administrateur de la sécurité doit effectuer les tâches de configuration uniques suivantes :
Activez Cloud KMS Autokey sur un dossier de ressources et identifiez le projet Cloud KMS qui contiendra les ressources Autokey pour ce dossier.
Créez l'agent de service Cloud KMS, puis accordez-lui les droits de création et d'attribution de clés.
Attribuez des rôles d'utilisateur Autokey aux utilisateurs développeurs Autokey.
Une fois cette configuration terminée, les développeurs Autokey peuvent désormais déclencher la création de clés Cloud HSM à la demande. Pour obtenir des instructions de configuration complètes pour Cloud KMS Autokey, consultez Activer Cloud KMS Autokey.
Les développeurs Autokey utilisent Cloud KMS Autokey
Une fois Autokey configuré, les développeurs Autokey autorisés peuvent créer des ressources protégées à l'aide de clés créées pour eux à la demande. Les détails du processus de création de ressources dépendent de la ressource que vous créez, mais le processus suit ce flux :
Le développeur Autokey commence à créer une ressource dans un serviceGoogle Cloud compatible. Lors de la création d'une ressource, le développeur demande une nouvelle clé à l'agent de service Autokey.
L'agent de service Autokey reçoit la demande du développeur et effectue les étapes suivantes :
- Créez un trousseau de clés dans le projet de clé à l'emplacement sélectionné, sauf si ce trousseau de clés existe déjà.
- Créez une clé dans le trousseau de clés avec la précision appropriée pour le type de ressource, sauf si une telle clé existe déjà.
- Créez le compte de service par projet et par service, sauf s'il existe déjà.
- Accordez au compte de service par projet et par service les autorisations de chiffrement et de déchiffrement sur la clé.
- Fournissez les informations clés au développeur pour qu'il puisse terminer de créer la ressource.
Une fois que l'agent du service Autokey a renvoyé les détails de la clé, le développeur peut immédiatement terminer de créer la ressource protégée.
Cloud KMS Autokey crée des clés qui possèdent les attributs décrits dans la section suivante. Ce flux de création de clés préserve la séparation des tâches. L'administrateur Cloud KMS conserve une visibilité et un contrôle complets sur les clés créées par Autokey.
Pour commencer à utiliser Autokey après l'avoir activé dans un dossier, consultez Créer des ressources protégées à l'aide de Cloud KMS Autokey.
À propos des clés créées par Autokey
Les clés créées par Cloud KMS Autokey présentent les attributs suivants :
- Niveau de protection : HSM.
- Algorithme : AES-256 GCM.
Période de rotation : un an.
Une fois qu'une clé a été créée par Autokey, un administrateur Cloud KMS peut modifier la période de rotation par rapport à la valeur par défaut.
- Séparation des tâches :
- Le compte de service du service se voit automatiquement accorder les autorisations de chiffrement et de déchiffrement sur la clé.
- Les autorisations d'administrateur Cloud KMS s'appliquent comme d'habitude aux clés créées par Autokey. Les administrateurs Cloud KMS peuvent afficher, mettre à jour, activer ou désactiver, et détruire les clés créées par Autokey. Les administrateurs Cloud KMS ne disposent pas des autorisations de chiffrement et de déchiffrement.
- Les développeurs Autokey ne peuvent demander que la création et l'attribution de clés. Il ne peut pas afficher ni gérer les clés.
- Spécificité ou précision des clés : les clés créées par Autokey ont une précision qui varie selon le type de ressource. Pour en savoir plus sur la précision des clés pour chaque service, consultez Services compatibles sur cette page.
Emplacement : Autokey crée des clés au même emplacement que la ressource à protéger.
Si vous devez créer des ressources protégées par des clés CMEK dans des emplacements où Cloud HSM n'est pas disponible, vous devez créer vos CMEK manuellement.
- État de la version de clé : les clés nouvellement créées demandées à l'aide d'Autokey sont créées en tant que version de clé primaire à l'état activé.
- Nommage des trousseaux de clés : toutes les clés créées par Autokey sont créées dans un trousseau de clés appelé
autokeydans le projet Autokey à l'emplacement sélectionné. Les trousseaux de clés de votre projet Autokey sont créés lorsqu'un développeur Autokey demande la première clé dans un emplacement donné. - Nommage des clés : les clés créées par Autokey suivent la convention de nommage suivante :
PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX - Exportation de clés : comme toutes les clés Cloud KMS, les clés créées par Autokey ne peuvent pas être exportées.
- Suivi des clés : comme toutes les clés Cloud KMS utilisées dans les services compatibles avec CMEK et le suivi des clés, les clés créées par Autokey sont suivies dans le tableau de bord Cloud KMS.
Application d'Autokey
Si vous souhaitez appliquer l'utilisation d'Autokey dans un dossier, vous pouvez le faire en combinant les contrôles des accès IAM avec les règles d'administration CMEK. Pour ce faire, il supprime les autorisations de création de clés des principaux autres que l'agent de service Autokey, puis exige que toutes les ressources soient protégées par CMEK à l'aide du projet de clés Autokey. Pour obtenir des instructions détaillées sur l'application de l'utilisation d'Autokey, consultez Appliquer l'utilisation d'Autokey.
Services compatibles
Le tableau suivant répertorie les services compatibles avec les clés automatiques Cloud KMS :
| Service | Ressources protégées | Précision des clés |
|---|---|---|
| Artifact Registry |
Autokey crée des clés lors de la création du dépôt, qui sont utilisées pour tous les artefacts stockés. |
Une clé par ressource |
| BigQuery |
Autokey crée des clés par défaut pour les ensembles de données. Les tables, les modèles, les requêtes et les tables temporaires d'un ensemble de données utilisent la clé par défaut de l'ensemble de données. Autokey ne crée pas de clés pour les ressources BigQuery autres que les ensembles de données. Pour protéger les ressources qui ne font pas partie d'un ensemble de données, vous devez créer vos propres clés par défaut au niveau du projet ou de l'organisation. |
Une clé par ressource |
| Bigtable |
Autokey crée des clés pour les clusters. Autokey ne crée pas de clés pour les ressources Bigtable autres que les clusters. Bigtable n'est compatible avec Cloud KMS Autokey que lors de la création de ressources à l'aide de Terraform ou de Google Cloud SDK. |
Une clé par cluster |
| AlloyDB pour PostgreSQL |
AlloyDB pour PostgreSQL n'est compatible avec Cloud KMS Autokey que lors de la création de ressources à l'aide de Terraform ou de l'API REST. |
Une clé par ressource |
| Cloud Run |
|
Une clé par ressource |
| Cloud SQL |
Autokey ne crée pas de clés pour les ressources Cloud SQL n'est compatible avec Cloud KMS Autokey que lors de la création de ressources à l'aide de Terraform ou de l'API REST. |
Une clé par ressource |
| Cloud Storage |
Les objets d'un bucket de stockage utilisent la clé par défaut du bucket. Autokey ne crée pas de clés pour les ressources |
Une clé par bucket |
| Compute Engine |
Les instantanés utilisent la clé du disque dont vous créez un instantané.
Autokey ne crée pas de clés pour les ressources |
Une clé par ressource |
| Pub/Sub |
|
Une clé par ressource |
| Secret Manager |
Secret Manager n'est compatible avec Cloud KMS Autokey que lors de la création de ressources à l'aide de Terraform ou de l'API REST. |
Une clé par emplacement dans un projet |
| Spanner |
Spanner n'est compatible avec Cloud KMS Autokey que lors de la création de ressources à l'aide de Terraform ou de l'API REST. |
Une clé par ressource |
| Dataflow |
|
Une clé par ressource |
Limites
- La gcloud CLI n'est pas disponible pour les ressources Autokey.
- Les identifiants de clé ne figurent pas dans l'inventaire des éléments cloud.
Étapes suivantes
- Pour commencer à utiliser Cloud KMS Autokey, un administrateur de la sécurité doit activer Cloud KMS Autokey.
- Pour utiliser Cloud KMS Autokey après l'avoir activé, un développeur peut créer des ressources protégées par des clés CMEK à l'aide d'Autokey.
- Découvrez les bonnes pratiques CMEK.