La fonctionnalité de clé automatique Cloud KMS simplifie la création et l'utilisation des clés de chiffrement gérées par le client (CMEK) en automatisant le provisionnement et l'attribution. Avec Autokey, les trousseaux de clés et les clés sont générés à la demande. Les comptes de service qui utilisent les clés pour chiffrer et déchiffrer les ressources sont créés et se voient attribuer des rôles IAM (Identity and Access Management) si nécessaire. Les administrateurs Cloud KMS conservent un contrôle et une visibilité complets sur les clés créées par Autokey, sans qu'il soit nécessaire de planifier et de créer chaque ressource à l'avance.
L'utilisation de clés générées par la fonction de clé automatique peut vous aider à vous conformer aux normes du secteur et aux pratiques recommandées en matière de sécurité des données, y compris le niveau de protection HSM, la séparation des tâches, la rotation des clés, l'emplacement et la spécificité des clés. La clé automatique crée des clés qui suivent les consignes générales et celles spécifiques au type de ressource pour les services Google Cloud qui s'intègrent à Cloud KMS Autokey. Une fois créées, les clés demandées à l'aide d'Autokey fonctionnent de la même manière que les autres clés Cloud HSM avec les mêmes paramètres.
Autokey peut également simplifier l'utilisation de Terraform pour la gestion des clés, en supprimant la nécessité d'exécuter l'infrastructure en tant que code avec des droits de création de clés élevés.
Pour utiliser Autokey, vous devez disposer d'une ressource Organisation contenant une ressource Dossier. Pour en savoir plus sur les ressources d'organisation et de dossier, consultez Hiérarchie des ressources.
Cloud KMS Autokey est disponible dans tous les emplacements Google Cloud où Cloud HSM est disponible. Pour en savoir plus sur les emplacements Cloud KMS, consultez la page Emplacements Cloud KMS. L'utilisation d'Autokey Cloud KMS n'entraîne aucun coût supplémentaire. Les clés créées à l'aide d'Autokey sont facturées au même prix que les autres clés Cloud HSM. Pour en savoir plus sur les tarifs, consultez Tarifs de Cloud Key Management Service.
Pour en savoir plus sur Autokey, consultez la présentation d'Autokey.
Choisir entre Autokey et d'autres options de chiffrement
Cloud KMS avec Autokey est comme un pilote automatique pour les clés de chiffrement gérées par le client : il effectue le travail à votre place, à la demande. Vous n'avez pas besoin de planifier les clés à l'avance ni de créer des clés qui ne seront peut-être jamais nécessaires. Les clés et leur utilisation sont cohérentes. Vous pouvez définir les dossiers dans lesquels vous souhaitez utiliser Autokey et contrôler qui peut l'utiliser. Vous conservez un contrôle total sur les clés créées par Autokey. Vous pouvez utiliser des clés Cloud KMS créées manuellement en même temps que des clés créées à l'aide d'Autokey. Vous pouvez désactiver Autokey et continuer à utiliser les clés qu'il a créées de la même manière que n'importe quelle autre clé Cloud KMS.
Cloud KMS Autokey est un bon choix si vous souhaitez utiliser des clés de manière cohérente dans tous vos projets, avec une faible charge opérationnelle, et si vous souhaitez suivre les recommandations de Google pour les clés.
| Fonctionnalité | Chiffrement par défaut de Google | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Isolation cryptographique : les clés sont exclusives au compte d'un client. | Non | Oui | Oui |
| Le client possède et contrôle les clés | Non | Oui | Oui |
| Le développeur provisionne et attribue les clés | Oui | Non | Oui |
| Spécificité : les clés sont créées automatiquement avec la granularité de clé recommandée. | Non | Non | Oui |
| Vous permet de détruire vos données par chiffrement | Non | Oui | Oui |
| S'aligne automatiquement sur les pratiques recommandées de gestion des clés | Non | Non | Oui |
| Utilise des clés sauvegardées par un HSM et conformes à la norme FIPS 140-2 de niveau 3 | Non | Facultatif | Oui |
Si vous devez utiliser un niveau de protection autre que HSM ou une période de rotation personnalisée, vous pouvez utiliser CMEK sans Autokey.
Services compatibles
Le tableau suivant répertorie les services compatibles avec les clés automatiques Cloud KMS :
| Service | Ressources protégées | Précision des clés |
|---|---|---|
| Artifact Registry |
Autokey crée des clés lors de la création du dépôt, qui sont utilisées pour tous les artefacts stockés. |
Une clé par ressource |
| BigQuery |
Autokey crée des clés par défaut pour les ensembles de données. Les tables, les modèles, les requêtes et les tables temporaires d'un ensemble de données utilisent la clé par défaut de l'ensemble de données. Autokey ne crée pas de clés pour les ressources BigQuery autres que les ensembles de données. Pour protéger les ressources qui ne font pas partie d'un ensemble de données, vous devez créer vos propres clés par défaut au niveau du projet ou de l'organisation. |
Une clé par ressource |
| Bigtable |
Autokey crée des clés pour les clusters. Autokey ne crée pas de clés pour les ressources Bigtable autres que les clusters. Bigtable n'est compatible avec Cloud KMS Autokey que lors de la création de ressources à l'aide de Terraform ou de Google Cloud SDK. |
Une clé par cluster |
| AlloyDB pour PostgreSQL |
AlloyDB pour PostgreSQL n'est compatible avec Cloud KMS Autokey que lors de la création de ressources à l'aide de Terraform ou de l'API REST. |
Une clé par ressource |
| Cloud Run |
|
Une clé par ressource |
| Cloud SQL |
Autokey ne crée pas de clés pour les ressources Cloud SQL n'est compatible avec Cloud KMS Autokey que lors de la création de ressources à l'aide de Terraform ou de l'API REST. |
Une clé par ressource |
| Cloud Storage |
Les objets d'un bucket de stockage utilisent la clé par défaut du bucket. Autokey ne crée pas de clés pour les ressources |
Une clé par bucket |
| Compute Engine |
Les instantanés utilisent la clé du disque dont vous créez un instantané.
Autokey ne crée pas de clés pour les ressources |
Une clé par ressource |
| Pub/Sub |
|
Une clé par ressource |
| Secret Manager |
Secret Manager n'est compatible avec Cloud KMS Autokey que lors de la création de ressources à l'aide de Terraform ou de l'API REST. |
Une clé par emplacement dans un projet |
| Spanner |
Spanner n'est compatible avec Cloud KMS Autokey que lors de la création de ressources à l'aide de Terraform ou de l'API REST. |
Une clé par ressource |
| Dataflow |
|
Une clé par ressource |
Étapes suivantes
- Pour en savoir plus sur le fonctionnement de Cloud KMS Autokey, consultez Présentation d'Autokey.