Ce document explique comment configurer et gérer les clés de chiffrement gérées par le client (CMEK) pour Cloud Logging afin de répondre aux exigences de conformité de votre organisation. Vous pouvez configurer CMEK comme paramètre de ressource par défaut pour une organisation, un dossier ou les deux. Une fois configuré, Cloud Logging s'assure que tous les nouveaux buckets de journaux de l'organisation ou du dossier sont chiffrés à l'aide d'une clé gérée par le client.
Vous pouvez configurer des paramètres par défaut pour une organisation et pour des dossiers. Lorsque vous créez des ressources, elles héritent des paramètres par défaut de leur parent. Par exemple, si vous configurez CMEK comme paramètre de ressource par défaut pour une organisation, tous les nouveaux buckets de journaux _Default
et _Required
créés dans des projets, des dossiers ou des comptes de facturation de cette organisation sont chiffrés avec la clé par défaut.
De plus, si vous créez un bucket de journaux personnalisé dans un projet qui est un enfant de cette organisation, la clé par défaut est automatiquement utilisée, sauf si vous fournissez une clé différente lors de la création du bucket de journaux.
Les instructions de ce guide utilisent la Google Cloud CLI.
Présentation
Par défaut, Cloud Logging chiffre le contenu client stocké au repos. Les données stockées dans des buckets de journaux par Logging sont chiffrées à l'aide de clés de chiffrement de clés, un processus appelé chiffrement encapsulé. L'accès à vos données de journalisation nécessite l'accès à ces clés de chiffrement de clé, qui sont gérées par Google Cloud sans aucune action de votre part.
Votre organisation peut avoir des exigences de chiffrement réglementaires, de conformité ou avancées que notre chiffrement au repos par défaut ne fournit pas. Pour répondre aux exigences de votre organisation, vous n'avez pas besoin de gérer les clés de chiffrement de clés qui protègent vos données. Google Cloud peut configurer CMEK pour contrôler et gérer votre propre chiffrement.
Pour en savoir plus sur les clés de chiffrement gérées par le client, y compris leurs avantages et leurs limites, consultez la page Clés de chiffrement gérées par le client.
Lorsque vous configurez CMEK comme paramètre de ressource par défaut pour la journalisation, les événements suivants se produisent:
- Les nouveaux buckets de journaux de l'organisation ou du dossier sont automatiquement chiffrés avec la clé configurée. Toutefois, vous pouvez modifier cette clé ou créer des buckets de journaux et spécifier une autre clé. Pour en savoir plus, consultez la section Configurer CMEK pour les buckets de journaux.
- Si vous utilisez Log Analytics et interrogez plusieurs buckets de journaux, la clé par défaut peut être utilisée pour chiffrer les données temporaires. Pour en savoir plus, consultez la section Restrictions Log Analytics.
Avant de commencer
Pour commencer, procédez comme suit:
Avant de créer un bucket de journaux avec CMEK activé, consultez les limites.
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Configurez le projet Google Cloud dans lequel vous prévoyez de créer vos clés:
-
Pour obtenir les autorisations nécessaires pour créer des clés, demandez à votre administrateur de vous accorder le rôle IAM Administrateur Cloud KMS (
roles/cloudkms.admin
) sur votre projet. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Créez un trousseau de clés et des clés.
Cloud Logging vous permet d'utiliser une clé dans n'importe quelle région. Toutefois, lorsque vous créez un bucket de journaux, son emplacement doit correspondre à celui de la clé. Pour en savoir plus sur les régions disponibles, consultez les documents suivants:
Si vous configurez CMEK comme paramètre de ressource par défaut pour la journalisation en suivant les étapes de ce document, les nouveaux buckets de journaux créés dans l'organisation ou le dossier sont automatiquement configurés pour CMEK. De plus, comme l'emplacement d'un bucket de journaux doit correspondre à celui de la clé, une fois que vous avez configuré CMEK comme paramètre de ressource par défaut, vous ne pouvez pas créer de buckets de journaux dans la région
global
.
-
Assurez-vous que votre rôle IAM sur l'organisation ou le dossier dont vous souhaitez configurer les paramètres par défaut inclut les autorisations Cloud Logging suivantes:
logging.settings.get
logging.settings.update
Activer le chiffrement CMEK pour une organisation ou un dossier
Suivez ces instructions pour activer le chiffrement CMEK pour votre dossier ou votre organisation Google Cloud.
Identifier l'ID du compte de service
Pour déterminer l'ID de compte de service associé à l'organisation ou au dossier pour lesquels CMEK s'applique, exécutez la commande gcloud logging settings describe
suivante:
FOLDER
gcloud logging settings describe --folder=FOLDER_ID
Avant d'exécuter la commande précédente, effectuez le remplacement suivant:
- FOLDER_ID: identifiant numérique unique du dossier. Pour en savoir plus sur l'utilisation des dossiers, consultez la section Créer et gérer des dossiers.
ORGANIZATION
gcloud logging settings describe --organization=ORGANIZATION_ID
Avant d'exécuter la commande précédente, effectuez le remplacement suivant:
- ORGANIZATION_ID: identifiant numérique unique de l'organisation. Pour savoir comment obtenir cet identifiant, consultez la section Obtenir l'ID de votre organisation.
La commande précédente génère des comptes de service pour l'organisation ou le dossier, lorsqu'ils n'existent pas. La commande renvoie également les ID de deux comptes de service, l'un dans le champ kmsServiceAccountId
et l'autre dans le champ loggingServiceAccountId
. Pour configurer le CMEK comme paramètre par défaut, utilisez la valeur du champ kmsServiceAccountId
.
L'exemple suivant illustre une réponse à la commande précédente lorsqu'une organisation est spécifiée:
kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com name: organizations/ORGANIZATION_ID/settings
Exécutez le processus de provisionnement une fois par ressource. L'exécution de la commande describe
plusieurs fois renvoie la même valeur pour le champ kmsServiceAccountId
.
Si vous ne pouvez pas utiliser Google Cloud CLI, exécutez la méthode API Cloud Logging getSettings
.
Affecter le rôle Chiffreur/Déchiffreur
Pour utiliser le chiffrement CMEK, autorisez le compte de service à accéder à votre service Cloud KMS en lui attribuant le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS :
gcloud
gcloud kms keys add-iam-policy-binding \ --project=KMS_PROJECT_ID \ --member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter \ --location=KMS_KEY_LOCATION \ --keyring=KMS_KEY_RING \ KMS_KEY_NAME
Avant d'exécuter la commande précédente, effectuez les remplacements suivants:
- KMS_PROJECT_ID: identifiant alphanumérique unique du projet Google Cloud qui exécute Cloud KMS. Il est composé du nom de votre projet et d'un numéro attribué de manière aléatoire. Pour savoir comment obtenir cet identifiant, consultez la section Identifier des projets.
- KMS_SERVICE_ACCT_NAME: nom du compte de service affiché dans le champ
kmsServiceAccountId
de la réponse de la commandegcloud logging settings describe
. - KMS_KEY_LOCATION: région de la clé Cloud KMS.
- KMS_KEY_RING: nom du trousseau de clés Cloud KMS.
- KMS_KEY_NAME : nom de la clé Cloud KMS. Son format est le suivant :
projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY
.
Console
- Ouvrez le navigateur Clés Cloud Key Management Service dans la console Google Cloud.
Ouvrir le navigateur de clés Cloud KMS Sélectionnez le nom du trousseau de clés qui contient la clé.
Cochez la case correspondant à la clé.
L'onglet Autorisations s'affiche.
Dans la boîte de dialogue Ajouter des membres, indiquez l'adresse e-mail du compte de service Logging auquel vous accordez l'accès.
Dans le menu déroulant Sélectionner un rôle, sélectionnez Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS.
Cliquez sur Ajouter.
Configurer les règles d'administration
La journalisation est compatible avec les règles d'administration qui peuvent exiger une protection CMEK et limiter les clés de chiffrement Cloud KMS utilisables pour la protection CMEK:
Lorsque
logging.googleapis.com
figure dans la liste des servicesDeny
de la contrainteconstraints/gcp.restrictNonCmekServices
, la journalisation refuse de créer des buckets définis par l'utilisateur qui ne sont pas protégés par CMEK. Toutefois, cette contrainte n'empêche pas Cloud Logging de créer les buckets de journaux_Required
et_Default
qui sont créés lors de la création d'un projet Google Cloud.Lorsque
constraints/gcp.restrictCmekCryptoKeyProjects
est appliqué, la journalisation crée des ressources protégées par CMEK qui sont protégées par une CryptoKey provenant d'un projet, d'un dossier ou d'une organisation autorisés.
Pour en savoir plus sur le chiffrement CMEK et les règles d'administration, consultez la section Règles d'administration CMEK.
Lorsqu'une règle d'administration spécifiant une contrainte CMEK existe, assurez-vous que ces contraintes sont cohérentes avec les paramètres par défaut de la journalisation pour une organisation ou un dossier. De plus, si vous prévoyez de modifier vos paramètres par défaut, avant de le faire, examinez et, si nécessaire, mettez à jour les règles d'administration.
Pour afficher ou configurer les règles d'administration, procédez comme suit:
-
Dans la console Google Cloud, accédez à la page Règles d'administration:
Accédez à Règles d'administration.
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est IAM et administration.
- Sélectionnez votre organisation.
Vérifiez et, si nécessaire, mettez à jour les contraintes spécifiques à CMEK.
Pour savoir comment modifier une règle d'administration, consultez la section Créer et modifier des règles.
Configurer Cloud Logging avec la clé Cloud KMS
Pour configurer CMEK comme paramètre de ressource par défaut pour la journalisation, exécutez la commande gcloud logging settings update
suivante:
FOLDER
gcloud logging settings update \ --folder=FOLDER_ID \ --kms-location=KMS_KEY_LOCATION \ --kms-key-name=KMS_KEY_NAME \ --kms-keyring=KMS_KEY_RING \ --kms-project=KMS_PROJECT_ID
Avant d'exécuter la commande précédente, effectuez les remplacements suivants:
- FOLDER_ID: identifiant numérique unique du dossier. Pour en savoir plus sur l'utilisation des dossiers, consultez la section Créer et gérer des dossiers.
- KMS_KEY_LOCATION: région de la clé Cloud KMS.
- KMS_KEY_NAME : nom de la clé Cloud KMS. Son format est le suivant :
projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY
. - KMS_KEY_RING: nom du trousseau de clés Cloud KMS.
- KMS_PROJECT_ID: identifiant alphanumérique unique du projet Google Cloud qui exécute Cloud KMS. Il est composé du nom de votre projet et d'un numéro attribué de manière aléatoire. Pour savoir comment obtenir cet identifiant, consultez la section Identifier des projets.
La commande précédente met à jour les paramètres par défaut pour stocker des informations sur la clé Cloud KMS. Vous devez vous assurer que l'emplacement de stockage par défaut du dossier est défini sur la valeur de KMS_KEY_LOCATION. Si vous n'avez pas défini l'emplacement de stockage par défaut ou si la valeur de cet emplacement ne correspond pas à celle de KMS_KEY_LOCATION, ajoutez ce qui suit à la commande précédente:
--storage-location = KMS_KEY_LOCATION
L'indicateur --storage-location
vous permet de définir ou de mettre à jour l'emplacement de stockage par défaut du dossier.
ORGANIZATION
gcloud logging settings update \ --organization=ORGANIZATION_ID \ --kms-location=KMS_KEY_LOCATION \ --kms-key-name=KMS_KEY_NAME \ --kms-keyring=KMS_KEY_RING \ --kms-project=KMS_PROJECT_ID
Avant d'exécuter la commande précédente, effectuez les remplacements suivants:
- ORGANIZATION_ID: identifiant numérique unique de l'organisation. Pour savoir comment obtenir cet identifiant, consultez la section Obtenir l'ID de votre organisation.
- KMS_KEY_LOCATION: région de la clé Cloud KMS.
- KMS_KEY_NAME : nom de la clé Cloud KMS. Son format est le suivant :
projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY
. - KMS_KEY_RING: nom du trousseau de clés Cloud KMS.
- KMS_PROJECT_ID: identifiant alphanumérique unique du projet Google Cloud qui exécute Cloud KMS. Il est composé du nom de votre projet et d'un numéro attribué de manière aléatoire. Pour savoir comment obtenir cet identifiant, consultez la section Identifier des projets.
La commande précédente met à jour les paramètres par défaut pour stocker des informations sur la clé Cloud KMS. Vous devez vous assurer que l'emplacement de stockage par défaut de l'organisation est défini sur la valeur de KMS_KEY_LOCATION. Si vous n'avez pas défini l'emplacement de stockage par défaut ou si la valeur de cet emplacement ne correspond pas à celle de KMS_KEY_LOCATION, ajoutez ce qui suit à la commande précédente:
--storage-location = KMS_KEY_LOCATION
L'indicateur --storage-location
vous permet de définir ou de mettre à jour l'emplacement de stockage par défaut de l'organisation.
Une fois la clé appliquée, les nouveaux buckets de journaux de l'organisation ou du dossier sont configurés pour chiffrer leurs données au repos à l'aide de cette clé. Vous pouvez également modifier les clés pour des buckets de journaux individuels. Vous ne pouvez pas créer de buckets de journaux dans la région global
, car vous devez utiliser une clé dont la région correspond au champ d'application régional de vos données.
Si vous ne pouvez pas utiliser Google Cloud CLI, exécutez la méthode API Cloud Logging updateSettings
.
Vérifier l'activation des clés de chiffrement
Pour vérifier que vous avez activé CMEK pour une organisation ou un dossier, exécutez la commande gcloud logging settings describe
suivante:
FOLDER
gcloud logging settings describe --folder=FOLDER_ID
Avant d'exécuter la commande précédente, effectuez le remplacement suivant:
- FOLDER_ID: identifiant numérique unique du dossier. Pour en savoir plus sur l'utilisation des dossiers, consultez la section Créer et gérer des dossiers.
ORGANIZATION
gcloud logging settings describe --organization=ORGANIZATION_ID
Avant d'exécuter la commande précédente, effectuez le remplacement suivant:
- ORGANIZATION_ID: identifiant numérique unique de l'organisation. Pour savoir comment obtenir cet identifiant, consultez la section Obtenir l'ID de votre organisation.
Lorsque la commande précédente renvoie le nom de la clé Cloud KMS dans le champ kmsKeyName
, le chiffrement CMEK est activé pour l'organisation ou le dossier:
kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
Acheminer les journaux vers les destinations compatibles
Les buckets de journaux Cloud Logging peuvent être configurés pour chiffrer les données avec CMEK. Lorsque vous configurez CMEK comme paramètre par défaut pour une organisation ou un dossier, les nouveaux buckets de journaux de l'organisation ou du dossier utilisent automatiquement CMEK. Vous pouvez modifier la clé de ces buckets de journaux et créer des buckets de journaux qui utilisent une clé KMS différente de celle spécifiée par les paramètres par défaut.
Pour en savoir plus sur le chiffrement CMEK appliqué aux buckets de journaux, y compris sur la modification des clés et les limites lorsque vous activez CMEK sur un bucket de journaux, consultez la section Configurer CMEK pour les buckets de journaux.
Cloud Storage est compatible avec le chiffrement CMEK pour le routage des journaux. Pour savoir comment configurer CMEK pour Cloud Storage, consultez la section Utiliser des clés de chiffrement gérées par le client.
Si des données sont perdues en raison de l'indisponibilité de la clé lors du routage des données de journaux vers Cloud Storage, vous pouvez copier rétroactivement et de façon groupée les journaux dans Cloud Storage lorsque ces journaux sont également stockés dans un bucket de journaux. Pour plus de détails, consultez la section Copier les entrées de journal.
- Par défaut, BigQuery chiffre le contenu client stocké au repos. Pour en savoir plus, consultez la page Protéger des données avec des clés Cloud Key Management Service.
- Par défaut, Pub/Sub chiffre le contenu client stocké au repos. Pour en savoir plus, consultez la page Configurer le chiffrement des messages.
Gérer votre clé Cloud KMS
Les sections suivantes expliquent comment modifier, révoquer des accès ou désactiver votre clé Cloud KMS.
Modifier votre clé Cloud KMS
Pour modifier la clé Cloud KMS associée à une organisation ou à un dossier, créez une clé, puis exécutez la commande gcloud logging settings update
et fournissez des informations sur la nouvelle clé Cloud KMS:
FOLDER
gcloud logging settings update \ --folder=FOLDER_ID --kms-key-name=NEW_KMS_KEY_NAME --kms-location=NEW_KMS_KEY_LOCATION \ --kms-keyring=NEW_KMS_KEY_RING \ --kms-project=NEW_KMS_PROJECT_ID
Vous devez vous assurer que l'emplacement de stockage par défaut du dossier est défini sur la valeur de KMS_KEY_LOCATION. Si vous n'avez pas défini l'emplacement de stockage par défaut ou si la valeur de cet emplacement ne correspond pas à celle de KMS_KEY_LOCATION, ajoutez ce qui suit à la commande précédente:
--storage-location = NEW_KMS_KEY_LOCATION
ORGANIZATION
gcloud logging settings update \ --organization=ORGANIZATION_ID --kms-key-name=NEW_KMS_KEY_NAME --kms-location=NEW_KMS_KEY_LOCATION \ --kms-keyring=NEW_KMS_KEY_RING \ --kms-project=NEW_KMS_PROJECT_ID
Vous devez vous assurer que l'emplacement de stockage par défaut de l'organisation est défini sur la valeur de KMS_KEY_LOCATION. Si vous n'avez pas défini l'emplacement de stockage par défaut ou si la valeur de cet emplacement ne correspond pas à celle de KMS_KEY_LOCATION, ajoutez ce qui suit à la commande précédente:
--storage-location = NEW_KMS_KEY_LOCATION
Révoquer l'accès à la clé Cloud KMS
Vous pouvez révoquer l'accès de Logging à la clé Cloud KMS en supprimant l'autorisation IAM du compte de service configuré pour cette clé.
Si vous supprimez l'accès de Logging à une clé, la prise en compte de la modification peut prendre jusqu'à une heure.
Pour révoquer l'accès de Logging à la clé Cloud KMS, exécutez la commande Google Cloud CLI suivante:
gcloud kms keys remove-iam-policy-binding \ --project=KMS_PROJECT_ID \ --member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter \ --location=KMS_KEY_LOCATION \ --keyring=KMS_KEY_RING \ KMS_KEY_NAME
Avant d'exécuter la commande précédente, effectuez les remplacements suivants:
- KMS_PROJECT_ID: identifiant alphanumérique unique du projet Google Cloud qui exécute Cloud KMS. Il est composé du nom de votre projet et d'un numéro attribué de manière aléatoire. Pour savoir comment obtenir cet identifiant, consultez la section Identifier des projets.
- KMS_SERVICE_ACCT_NAME: nom du compte de service affiché dans le champ
kmsServiceAccountId
de la réponse de la commandegcloud logging settings describe
. - KMS_KEY_LOCATION: région de la clé Cloud KMS.
- KMS_KEY_RING: nom du trousseau de clés Cloud KMS.
- KMS_KEY_NAME : nom de la clé Cloud KMS. Son format est le suivant :
projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY
.
Désactiver les CMEK
La désactivation de CMEK pour une organisation ou un dossier supprime l'application des règles CMEK pour les opérations futures uniquement. Les configurations précédemment appliquées demeurent intactes.
Pour désactiver CMEK sur une ressource pour laquelle CMEK est configuré comme paramètre de ressource par défaut, exécutez la commande Google Cloud CLI suivante:
FOLDER
gcloud logging settings update --folder=FOLDER_ID --clear-kms-key
Avant d'exécuter la commande précédente, effectuez le remplacement suivant:
- FOLDER_ID: identifiant numérique unique du dossier. Pour en savoir plus sur l'utilisation des dossiers, consultez la section Créer et gérer des dossiers.
ORGANIZATION
gcloud logging settings update --organization=ORGANIZATION_ID --clear-kms-key
Avant d'exécuter la commande précédente, effectuez le remplacement suivant:
- ORGANIZATION_ID: identifiant numérique unique de l'organisation. Pour savoir comment obtenir cet identifiant, consultez la section Obtenir l'ID de votre organisation.
Si vous souhaitez détruire votre clé, consultez la page Détruire et restaurer des versions de clé.
Considérations concernant la rotation des clés Cloud KMS
Cloud Logging ne déclenche pas automatiquement la rotation de la clé de chiffrement pour les fichiers temporaires de reprise après sinistre lorsque la clé Cloud KMS associée à l'organisation ou au dossier Google Cloud est modifiée. Les fichiers de reprise existants continuent à utiliser la version de clé avec laquelle ils ont été créés. Les nouveaux fichiers de reprise utilisent la version actuelle de la clé principale.
Limites
Voici les limites connues lorsque vous configurez CMEK comme paramètre de ressource par défaut pour la journalisation.
Indisponibilité du fichier de reprise après sinistre
Une clé Cloud KMS est considérée comme disponible et accessible par Logging si les deux conditions suivantes sont remplies:
- La clé est activée.
- Le compte de service listé dans le champ
kmsServiceAccountId
de la réponse de la commandegcloud logging settings describe
dispose des autorisations de chiffrement et de déchiffrement sur la clé.
Si Logging perd l'accès à la clé Cloud KMS, il ne peut pas écrire de fichiers temporaires de reprise après sinistre et, pour les utilisateurs, les requêtes cessent de fonctionner. Les performances des requêtes peuvent se dégrader, même après le rétablissement de l'accès aux clés.
Le routage des journaux vers Cloud Storage peut également être affecté, car la journalisation ne peut pas écrire les fichiers temporaires requis pour faciliter le routage. Si une erreur survient lors du chiffrement ou du déchiffrement des données, une notification est envoyée au projet Google Cloud contenant la clé Cloud KMS.
Disponibilité des bibliothèques clientes
Les bibliothèques clientes de Logging ne fournissent pas de méthodes pour configurer CMEK.
Dégradation en raison de l'indisponibilité de la clé Cloud EKM
Lorsque vous utilisez une clé Cloud EKM, Google n'a aucun contrôle sur la disponibilité de votre clé gérée en externe dans le système partenaire de gestion des clés externes.
Lorsque CMEK est configuré comme paramètre de ressource par défaut pour une organisation ou un dossier, si une clé gérée en externe n'est pas disponible, Cloud Logging tente continuellement d'accéder à la clé. Cloud Logging met également en mémoire tampon les données de journaux entrantes pendant une durée maximale d'une heure. Après une heure, si Cloud Logging ne parvient toujours pas à accéder à la clé gérée en externe, il commence à supprimer les données.
Si le chiffrement CMEK est appliqué à un bucket de journaux et qu'une clé gérée en externe n'est pas disponible, Cloud Logging continue de stocker les journaux dans des buckets de journaux, mais les utilisateurs ne peuvent pas accéder à ces données.
Consultez la documentation de Cloud External Key Manager pour plus d'informations sur les clés externes et les autres solutions possibles.
Limites des buckets de journaux
Pour connaître les limites liées à l'utilisation de CMEK avec des buckets de journaux, consultez la section Limites.
Quotas
Pour en savoir plus sur les limites d'utilisation de Logging, consultez la page Quotas et limites.
Résoudre les erreurs de configuration
Pour savoir comment résoudre les erreurs de configuration du chiffrement CMEK, consultez la section Résoudre les erreurs CMEK et de paramètres par défaut.