Questions fréquentes sur Cloud KMS

À propos de Cloud KMS

Qu'est-ce que Cloud KMS et À quoi sert ce service ?

Cloud Key Management Service (Cloud KMS) est un service de gestion de clés hébergé dans le cloud qui vous permet de gérer le chiffrement de vos services cloud de la même manière que sur site. Vous pouvez générer, utiliser, alterner et détruire des clés de chiffrement. Cloud KMS est intégré à Identity and Access Management (IAM) et aux journaux d'audit Cloud, ce qui vous permet de gérer les autorisations sur des clés individuelles et de surveiller leur utilisation.

Puis-je stocker des secrets ?

Cloud KMS stocke les clés et les métadonnées relatives aux clés, mais ne dispose pas d'une API de stockage de données générale. Il est recommandé d'utiliser Secret Manager pour stocker des données sensibles et y accéder en vue de leur utilisation dans Google Cloud.

Le service est-il soumis à un contrat de niveau de service ?

Oui, reportez-vous au Contrat de niveau de service de Cloud KMS pour en savoir plus.

Comment puis-je envoyer un commentaire relatif au produit ?

Veuillez contacter l'équipe d'ingénierie à l'adresse cloudkms-feedback@google.com.

Comment puis-je envoyer des commentaires relatifs à la documentation ?

Lorsque vous consultez la documentation de Cloud KMS, cliquez sur Envoyer des commentaires en haut à droite de la page. Un formulaire de commentaires s'affiche.

Comment puis-je obtenir de l'aide ?

Nous invitons nos utilisateurs à poser leurs questions sur Stack Overflow. La communauté Stack Overflow et notre équipe surveillent activement les posts sur Stack Overflow et répondent aux questions à l'aide du tag google-cloud-kms.

Nous proposons également plusieurs niveaux d'assistance en fonction de vos besoins. Pour obtenir davantage d'options d'assistance, consultez nos formules d'assistance Google Cloud.

Cloud KMS est-il soumis à des quotas ?

Oui. Pour en savoir plus sur les quotas, y compris sur l'affichage ou la demande de quotas supplémentaires, consultez la page Quotas Cloud KMS.

Aucune limite ne s'applique au nombre de clés, de trousseaux de clés ou de versions de clé. En outre, le nombre de clés par trousseau de clés et de versions de clé par clé est illimité.

Dans quels pays puis-je utiliser Cloud KMS ?

Vous pouvez utiliser Cloud KMS dans n'importe quel pays où les services Google Cloud sont disponibles.

Clés

Quels types de clés le service Cloud KMS génère-t-il ?

Consultez la page Objectifs et algorithmes des clés.

Les clés sont-elles stockées dans un module HSM ?

Les clés dotées du niveau de protection HSM sont stockées dans un module de sécurité matérielle (HSM, Hardware Security Module).

Les clés dotées du niveau de protection SOFTWARE sont stockées dans un logiciel.

Une clé basée sur HSM ne persiste jamais en dehors d'un module HSM.

À quelles normes les clés se conforment-elles ?

Les clés générées dans Cloud KMS et les opérations de chiffrement effectuées avec ces clés sont conformes à la publication FIPS (Federal Information Processing Standard) relative aux exigences de sécurité pour les modules de chiffrement 140-2.

  • Les clés dotées du niveau de protection SOFTWARE et les opérations de chiffrement associées sont conformes au niveau 1 de la certification FIPS 140-2.

  • Les clés dotées du niveau de protection HSM et les opérations de chiffrement associées sont conformes au niveau 3 de la certification FIPS 140-2.

  • Pour les clés générées en dehors de Cloud KMS, puis importées, les clients ayant des exigences FIPS sont tenus de s'assurer que leurs clés sont générées de manière conforme à la norme FIPS.

Comment le matériel des clés est-il généré ?

Les clés Cloud KMS protégées par un logiciel sont générées à l'aide de la bibliothèque de cryptographie commune de Google, grâce à un générateur de nombres aléatoires (GNA) élaboré par Google. Les clés protégées par un HSM sont générées de manière sécurisée par celui-ci, qui est conforme au niveau 3 de la certification FIPS 140-2.

Quelle bibliothèque permet de générer le matériel des clés ?

Les clés Cloud KMS sont générées à l'aide de la bibliothèque de cryptographie commune de Google, qui met en œuvre des algorithmes de chiffrement par le biais de BoringSSL. Pour en savoir plus, consultez la section Bibliothèque de cryptographie commune de Google.

Les clés sont-elles soumises à des contraintes géographiques ?

Les clés appartiennent à une région, mais ne sont pas limitées à celle-ci. Pour en savoir plus, consultez la section Emplacements Cloud KMS.

Puis-je supprimer automatiquement les clés ?

Non.

Puis-je alterner automatiquement les clés ?

Oui, si les clés sont utilisées pour le chiffrement symétrique. Consultez la section Rotation automatique : Définir la période de rotation pour une clé.

Non, si les clés sont utilisées pour le chiffrement ou pour les signatures asymétriques. Pour en savoir plus, consultez la section Considérations relatives à la rotation des clés asymétriques.

La rotation des clés rechiffre-t-elle les données ? Si non, pourquoi ?

La rotation des clés ne rechiffre pas automatiquement les données. Lorsque vous déchiffrez des données, Cloud KMS sait quelle version de clé utiliser pour cette opération. Tant qu'une version de clé n'est ni désactivée, ni détruite, Cloud KMS peut déchiffrer des données protégées avec cette clé.

Pourquoi ne puis-je pas supprimer des clés ou des trousseaux de clés ?

Pour empêcher les conflits au niveau des noms de ressources, il n'est PAS POSSIBLE de supprimer les ressources de trousseaux de clés et de clés. Les versions de clé ne peuvent pas non plus être supprimées, mais le matériel de la version de clé peut être détruit pour que les ressources ne puissent plus être utilisées. Pour en savoir plus, consultez la section Durée de vie des objets. La facturation est basée sur le nombre de versions de clé actives. Si vous détruisez tous les matériels de version de clé actifs, les trousseaux, les clés et les versions de clé restants sont gratuits.

Puis-je exporter des clés ?

Non. Les clés ne sont pas conçues pour être exportées depuis Cloud KMS. Toute opération de chiffrement et de déchiffrement avec ces clés doit être effectuée au sein de Cloud KMS. Cela évite les fuites et les utilisations abusives, et permet à Cloud KMS d'enregistrer les événements dans un journal d'audit en cas d'utilisation des clés.

Puis-je importer des clés ?

Oui. Vous ne pouvez importer que des clés présentant le niveau de protection HSM ou SOFTWARE. Pour en savoir plus, consultez la page Importer une clé.

Indépendamment de Cloud KMS, les produits suivants acceptent la fonctionnalité de clé de chiffrement fournie par le client (CSEK, Customer-Supplied Encryption Key).

Produit Article concernant la fonctionnalité CSEK
Compute Engine Chiffrer des disques avec des clés fournies par le client
Cloud Storage Utiliser les clés de chiffrement fournies par le client

Combien de temps ai-je pour récupérer une version de clé détruite ?

Une fois que vous avez programmé la destruction d'une version de clé, vous disposez d'un délai par défaut de 30 jours avant qu'elle ne soit réellement détruite. La période avant la destruction d'une version de clé est configurable. Vous pouvez restaurer la version de clé pendant ce laps de temps, si nécessaire.

Puis-je modifier le délai avant la destruction programmée d'une clé ?

Oui, vous pouvez configurer la durée avant la destruction de la clé. Notez que vous ne pouvez définir la durée qu'au moment de la création de la clé.

Lorsque je modifie une clé, à quelle vitesse les modifications prennent-elles effet ?

Certaines opérations effectuées sur les ressources Cloud KMS sont fortement cohérentes, tandis que d'autres sont cohérentes à terme et peuvent prendre jusqu'à trois heures pour se propager. Pour en savoir plus, consultez la page Cohérence des ressources Cloud KMS.

Pourquoi ma clé a-t-elle l'état PENDING_GENERATION ?

En raison des coûts de processeur liés à la génération du matériel de clé, la création d'une version de clé asymétrique ou de chiffrement asymétrique peut prendre quelques minutes. Les versions de clé protégées par un HSM prennent également un certain temps. Lorsqu'une nouvelle version de clé est prête, son état passe automatiquement à ENABLED.

Autorisation et authentification

Comment puis-je m'authentifier auprès de l'API Cloud KMS ?

Le processus d'authentification des clients peut varier en fonction de la plate-forme sur laquelle le code s'exécute. Pour en savoir plus, consultez la section Accéder à l'API.

Quels rôles IAM dois-je utiliser ?

Pour appliquer le principe du moindre privilège, assurez-vous que les comptes utilisateur et de service de votre organisation ne disposent que des autorisations essentielles à l'exécution de leurs tâches prévues. Consultez la page Séparation des tâches pour en savoir plus.

Lorsque je retire une autorisation Cloud IAM, dans quel délai est-elle supprimée ?

La suppression d'une autorisation devrait être effective en moins d'une heure.

Divers

Que sont les données authentifiées supplémentaires et quand dois-je les utiliser ?

Les données authentifiées supplémentaires (AAD, Additional Authenticated Data) sont des chaînes transmises à Cloud KMS dans le cadre d'une requête de chiffrement ou de déchiffrement. Elles permettent de vérifier l'intégrité et de protéger les données contre une attaque de type "confused deputy". Pour en savoir plus, consultez la section Données authentifiées supplémentaires.

Les journaux d'accès aux données sont-ils activés par défaut ? Si non, comment les activer ?

Les journaux d'accès aux données ne sont pas activés par défaut. Pour en savoir plus, consultez la section Activer les journaux d'accès aux données.

Y a-t-il un lien entre les clés Cloud KMS et les clés de compte de service ?

Les clés de compte de service permettent l'authentification de service à service au sein de Google Cloud. Elles ne sont pas liées aux clés Cloud KMS.

Y a-t-il un lien entre les clés Cloud KMS et les clés API ?

Une clé API est une simple chaîne chiffrée utilisable lors de l'appel de certaines API qui n'ont pas besoin d'accéder à des données utilisateur privées. Les clés API permettent de suivre les requêtes API associées à votre projet pour le quota et la facturation. Les clés API ne sont pas liées aux clés Cloud KMS.

Avez-vous des informations supplémentaires sur les HSM utilisés par Cloud HSM ?

Tous les appareils HSM sont fabriqués par Marvell (anciennement Cavium). Le certificat FIPS des appareils est disponible sur le site Web du NIST.