Cette page décrit l'utilisation des clés de chiffrement gérées par le client (CMEK) pour gérer Google Cloud NetApp Volumes.
À propos de CMEK
NetApp Volumes chiffre toujours vos données à l'aide de clés spécifiques aux volumes. NetApp Volumes chiffre toujours vos données au repos.
Avec CMEK, Cloud Key Management Service encapsule vos clés de volume stockées. Cette fonctionnalité vous permet de mieux contrôler les clés de chiffrement que vous utilisez et de bénéficier d'une sécurité renforcée en stockant les clés sur un système ou dans un emplacement différent de celui des données. NetApp Volumes est compatible avec les fonctionnalités de Cloud Key Management Service, telles que les modules de sécurité matériels et le cycle de vie complet de la gestion des clés (génération, utilisation, rotation et destruction).
NetApp Volumes accepte une stratégie CMEK par région. Une stratégie CMEK est associée à un pool de stockage et tous les volumes créés dans ce pool l'utilisent. Vous pouvez combiner des pools de stockage avec et sans règles CMEK dans une région. Si vous avez des pools sans CMEK dans une région spécifique, vous pouvez les convertir en CMEK à l'aide de l'action de migration de la stratégie CMEK d'une région.
L'utilisation de CMEK est facultative. Si elles sont utilisées, les stratégies CMEK sont spécifiques à une région. Vous ne pouvez configurer qu'une seule règle par région.
Remarques
Les sections suivantes incluent les limites à prendre en compte pour CMEK.
Gestion des clés
Si vous utilisez CMEK, vous êtes l'unique responsable de vos clés et de vos données.
Configurations Cloud KMS
CMEK utilise des clés symétriques pour le chiffrement et le déchiffrement.
Une fois que tous les volumes ont été supprimés dans une région pour un projet, la configuration Cloud KMS revient à l'état Ready. Il est réutilisé lorsque vous créez le volume suivant dans cette région.
Trousseaux de clés régionaux
NetApp Volumes ne sont compatibles qu'avec les trousseaux de clés KMS régionaux, qui doivent se trouver dans la même région que la règle CMEK.
Niveau de service
Les CMEK sont compatibles avec les pools de stockage de niveau de service Flex, Standard, Premium et Extreme.
VPC Service Controls
Lorsque vous utilisez VPC Service Controls, veillez à tenir compte des limites de VPC Service Controls pour NetApp Volumes.
Règle d'administration CMEK
La règle d'administration CMEK pour NetApp Volumes permet aux organisations de contrôler les clés de chiffrement des données et de limiter les clés pouvant être utilisées pour CMEK. Pour ce faire, nous imposons l'utilisation de CMEK pour chiffrer les données au repos dans les nouveaux pools de stockage et nous permettons aux organisations de gérer les clés de chiffrement à l'aide de Cloud KMS. La règle d'administration est appliquée lors de la création du pool de stockage et n'affecte pas les pools de stockage existants.
Les règles d'administration permettent aux administrateurs d'appliquer et de faire respecter des contraintes cohérentes à l'ensemble des projets et des ressources. Cela est important pour les organisations qui gèrent plusieurs projets et ressources afin d'appliquer des règles standardisées.
Il existe deux types de contraintes liées aux règles d'administration qui peuvent être appliquées à CMEK :
Restreindre les services non-CMEK : vous permet de spécifier les services d'une organisation, d'un projet ou d'un dossier qui peuvent être configurés sans CMEK. Si vous ajoutez un service à la liste de refus ou si vous l'excluez de la liste d'autorisation, les ressources de ce service nécessiteront CMEK. Par défaut, cette contrainte autorise la création de ressources non-CMEK.
Restreindre les projets de clés CryptoKey CMEK : vous permet de définir les projets pouvant fournir des clés KMS pour CMEK lors de la configuration des ressources au sein de l'organisation, du projet ou du dossier. Si cette contrainte est définie, seules les clés KMS des projets spécifiés peuvent être utilisées pour les ressources protégées par CMEK. Si la contrainte n'est pas définie, les CryptoKeys de n'importe quel projet peuvent être utilisées.
Pour savoir comment appliquer une règle d'administration, consultez Appliquer une règle d'administration CMEK.
Options CMEK
NetApp Volumes est compatible avec les CMEK, qui peuvent être stockées sous forme de clés logicielles, de clés matérielles dans un cluster HSM ou de clés externes stockées dans Cloud External Key Manager (Cloud EKM).
Pour en savoir plus, consultez Cloud Key Management Service.
Impact opérationnel des erreurs de clé
Les ressources et les opérations NetApp Volumes peuvent être affectées si une clé Cloud KMS utilisée dans une stratégie CMEK est désactivée ou si l'accès à une clé externe est perdu.
Les clés externes sont gérées par un tiers, et Google Cloud n'est pas responsable de leur disponibilité.
Si le gestionnaire de clés externe (EKM) informe Cloud Key Management Service qu'une clé externe est inaccessible, les volumes utilisant cette clé sont mis hors connexion, ce qui empêche les opérations de lecture et d'écriture. Le même résultat se produit si une clé Cloud KMS est désactivée.
Les utilisateurs reçoivent également une erreur contenant des informations sur l'état actuel de la clé si l'une des opérations suivantes est tentée alors que l'EKM est inaccessible ou que la clé Cloud KMS est désactivée dans les régions source ou de destination pour la réplication :