Intégrer Cloud HSM pour Google Workspace

Cette page explique comment intégrer Cloud HSM pour Google Workspace (CHGWS), le service de clés de chiffrement pour Google Workspace proposé par Cloud Key Management Service (Cloud KMS). Cloud HSM pour Google Workspace offre des contrôles de confidentialité améliorés pour Google Workspace, ce qui vous aide à respecter les normes réglementaires telles que DISA IL5 et à renforcer la sécurité des données. Cloud HSM est un service de gestion de clés entièrement géré, disponibilité élevée et conforme aux normes. Il fonctionne à l'échelle du cloud avec des clés matérielles stockées dans des HSM (modules de sécurité matériels) conformes à la norme FIPS 140-2 de niveau 3.

Avant de commencer

Avant d'intégrer Cloud HSM pour Google Workspace, remplissez les conditions préalables suivantes :

  • Configurez un compte Google Workspace.
  • Activez le chiffrement côté client Google Workspace (CSE) dans votre Google Workspace.
  • Configurez votre fournisseur d'identité (IdP) dans Google Workspace CSE. Notez l'ID client de votre fournisseur d'identité. Si vous utilisez Google Identity Platform, recherchez l'ID client dans votre projet Google Cloud .
  • Facultatif : Si vous autorisez l'accès au contenu chiffré par CSE sur des applications de plate-forme autres que le Web (comme les applications mobiles ou de bureau), ajoutez les ID client pour ces plates-formes dans les paramètres de votre fournisseur d'identité dans la console d'administration Google Workspace. Notez tous les ID client de ce fournisseur d'identité. Si vous utilisez Google Identity Platform, recherchez ces ID client dans votre projet Google Cloud . Pour les autres fournisseurs d'identité, créez ces ID client séparément.

Demander l'intégration à Google Workspace

Pour intégrer Cloud HSM à Google Workspace, envoyez une demande d'intégration. Fournissez les informations suivantes :

  • ID Google Workspace : votre ID Google Workspace. Pour trouver votre ID Google Workspace, suivez les instructions de la page Trouver votre numéro client.

  • Adresses e-mail des administrateurs Google Workspace : fournissez une liste d'adresses e-mail d'administrateur séparées par des virgules.

  • Informations sur le fournisseur d'identité (IdP) principal :

    • URL JWKS (JSON Web Key Set) du fournisseur d'identité : pour Google Identity Platform, utilisez https://www.googleapis.com/oauth2/v3/certs.
    • Émetteur de jetons Web JSON (JWT) : pour Google Identity Platform, utilisez https://accounts.google.com.
    • Audience JWT : ID client de votre IdP pour les applications Web.
    • Audiences JWT supplémentaires : facultatif. Indiquez les ID client pour les applications de plate-forme non Web, le cas échéant. Pour Google Identity Platform, utilisez les ID client indiqués dans Si vous utilisez l'identité Google pour le CSE.

  • Informations sur l'IdP pour les invités : facultatif. Remplissez cette section si vous utilisez un IdP invité.

    • URL JWKS de l'IdP invité : URL JWKS de votre IdP invité.
    • Émetteur du jeton JWT invité : émetteur du jeton JWT de votre IdP invité.
    • Audience du JWT invité : ID client de votre IdP invité pour les applications Web, à l'exception de Google Meet.
    • Audiences JWT supplémentaires pour les invités : facultatif. Si vous configurez un ID client Google Meet pour le Web ou d'autres ID client d'application non Web, indiquez-les tous. Pour Google Identity Platform, utilisez les ID client indiqués dans Si vous utilisez l'identité Google pour le CSE.

  • Emplacement du point de terminaison : us-central1.

  • Nombre d'utilisateurs attendu : indiquez le nombre d'utilisateurs attendu dans votre instance Google Workspace.

Vérifiez que l'URL JWKS de votre IdP est accessible au public. Confirmez les valeurs de l'émetteur et de l'audience du jeton JWT auprès de votre administrateur IdP.

L'équipe CHGWS vous répondra dans un délai de 24 à 48 heures pour vous indiquer l'état de la configuration de votre compte Google Workspace. Une fois l'intégration réussie, configurez votre projet Google Cloud pour Cloud KMS.

Configurer un projet Google Cloud pour Cloud KMS

Cloud HSM pour les points de terminaison Google Workspace s'appuie sur les clés Cloud KMS pour les opérations cryptographiques. Configurez un projet Google Cloud pour héberger les clés Cloud KMS.

  1. Créez un Google Cloud projet. Il s'agit de votre projet clé. Notez l'ID et le numéro du projet, car vous en aurez besoin pour terminer la configuration.

  2. Activez la facturation sur le projet que vous avez créé.

  3. Activez l'API Cloud KMS dans votre projet de clé Google Cloud .

    Activer l'API

  4. Dans la console Google Cloud , cliquez sur Terminal > Activer Cloud Shell.

  5. Vérifiez que vous êtes dans le bon projet en comparant votre ID de projet à celui de l'invite Cloud Shell.

  6. À l'aide de Cloud Shell, créez le compte de service Cloud HSM pour Google Workspace :

    gcloud beta services identity create --service=cloudkmskacls-pa.googleapis.com

    Notez l'identité de service créée par cette commande. Vous aurez besoin du nom de l'identité de service à l'étape suivante.

  7. Attribuez le rôle Agent de service de clé CHGWS au compte de service que vous avez créé :

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER>@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \
    --role=roles/cloudkmskacls.serviceAgent

    Remplacez les éléments suivants :

    • PROJECT_ID : ID de projet de votre projet de clé.
    • PROJECT_NUMBER : numéro de votre projet de clé.

Gérer le point de terminaison du service CHGWS

Les sections suivantes vous expliquent comment configurer et gérer vos points de terminaison CHGWS.

Configurer des clés Cloud KMS

Configurez les ressources Cloud KMS pour le point de terminaison de service de votre clé CHGWS.

  1. Créez un trousseau de clés dans la région us-central1 :

    gcloud kms keyrings create KEY_RING --location us-central1

    Remplacez KEY_RING par le nom que vous souhaitez utiliser pour votre trousseau de clés CHGWS (par exemple, CHGWS_KEY_RING).

  2. Créez une clé Cloud HSM :

    gcloud kms keys create KEY_NAME \
--protection-level "hsm" \
--keyring KEY_RING \
--location us-central1 \
--purpose "encryption" \
--rotation-period ROTATION_PERIOD \
--next-rotation-time NEXT_ROTATION_TIME

    Remplacez les éléments suivants :

    • KEY_NAME : nom que vous souhaitez utiliser pour votre clé, par exemple CHGWS_KEY_RING.
    • KEY_RING : nom de votre trousseau de clés (par exemple, CHGWS_KEY).
    • ROTATION_PERIOD : fréquence à laquelle vous souhaitez faire pivoter vos clés, par exemple 7d.
    • NEXT_ROTATION_TIME : date et heure de la prochaine rotation des clés, par exemple 2024-03-20T01:00:00.

Demander la création d'un point de terminaison

Pour demander la création d'un point de terminaison, envoyez une demande de création de point de terminaison. Fournissez les informations suivantes :

  • ID de l'espace de travail : <var>GOOGLE_WORKSPACE_ID</var>
  • ID du projet Google Cloud : PROJECT_ID
  • Numéro du projet Google Cloud : PROJECT_NUMBER
  • Nom du trousseau de clés Cloud KMS : KEY_RING
  • Emplacement du trousseau de clés Cloud KMS : us-central1
  • Nom de la clé Cloud KMS : KEY_NAME
  • URL de base CHGWS : facultatif. Liste des URL pour activer la migration des clés. Si vous configurez CHGWS pour la première fois pour ce compte Google Workspace, laissez ce champ vide.

L'équipe CHGWS répond sous 24 à 48 heures avec l'URL du point de terminaison CHGWS une fois qu'il est disponible.

Configurer le point de terminaison CHGWS dans Google Workspace CSE

Configurez Google Workspace CSE pour utiliser l'URL CHGWS générée lorsque vous avez créé le point de terminaison CHGWS. Suivez les instructions de la section Ajouter et gérer des services de clés pour le chiffrement côté client.

Migrer Endpoints

CHGWS vous permet de déplacer votre service de clés vers ou depuis CHGWS. Pour lancer une migration CHGWS, envoyez une demande de migration. Dans la demande, incluez les informations suivantes :

  • ID du point de terminaison : ID du point de terminaison de CHGWS.
  • URL de base CHGWS : liste des URL permettant la migration des clés CHGWS.
    • Si vous migrez vers Cloud HSM pour Google Workspace, indiquez l'URL de base de chaque point de terminaison CHGWS à partir duquel vous migrez.
    • Si vous migrez depuis Cloud HSM pour Google Workspace, indiquez les URL de base des points de terminaison CHGWS vers lesquels vous souhaitez migrer.

Si vous migrez entre deux points de terminaison Cloud HSM for Google Workspace différents, envoyez deux demandes distinctes : une depuis l'ancien point de terminaison et l'autre vers le nouveau point de terminaison.

L'équipe CHGWS vous répondra sous 24 à 48 heures pour vous informer que le point de terminaison est prêt pour la migration.

Supprimer ou désactiver des points de terminaison

Les opérations de suppression ou de désactivation sur le point de terminaison Cloud HSM pour Google Workspace ne sont pas directement prises en charge. Toutefois, vous pouvez désactiver un point de terminaison Cloud HSM pour Google Workspace en désactivant toutes les versions de clé Cloud KMS sous-jacentes.

  • Pour chaque version de clé Cloud KMS qui soutient le point de terminaison, exécutez la commande suivante :

    gcloud kms keys versions disable KEY_VERSION --keyring \
    KEY_RING --location us-central1 --key KEY_NAME

    Remplacez les éléments suivants :

    • KEY_VERSION : version de la clé que vous souhaitez désactiver (par exemple, 1).
    • KEY_RING : nom du trousseau de clés, par exemple CHGWS_KEY_RING.
    • KEY_NAME : nom de la clé, par exemple, CHGWS_KEY.

Activer les points de terminaison

Si vous avez désactivé un point de terminaison CHGWS en désactivant toutes les versions de clé de la clé Cloud KMS sous-jacente, vous pouvez le réactiver. Pour réactiver le point de terminaison, activez toutes les versions actives de la clé Cloud KMS sous-jacente à l'aide de la commande gcloud CLI suivante :

  • Pour chaque version de clé Cloud KMS qui soutient le point de terminaison, exécutez la commande suivante :

    gcloud kms keys versions enable KEY_VERSION \
    --keyring KEY_RING --location us-central1 --key KEY_NAME

    Remplacez les éléments suivants :

    • KEY_VERSION : version de la clé que vous souhaitez désactiver (par exemple, 1).
    • KEY_RING : nom du trousseau de clés, par exemple CHGWS_KEY_RING.
    • KEY_NAME : nom de la clé, par exemple, CHGWS_KEY.

Étapes suivantes