Cette page explique comment utiliser Cloud Key Management Service (Cloud KMS) pour créer une clé encapsulée que vous pouvez ensuite utiliser pour envoyer des requêtes deidentify
et reidentify
à l'API Cloud Data Loss Prevention (DLP) de la protection des données sensibles.
Le processus d'utilisation d'une clé cryptographique pour anonymiser et restaurer l'identification du contenu est appelé pseudonymisation (ou tokenisation). Pour obtenir des informations conceptuelles sur ce processus, consultez la page Pseudonymisation.
Pour obtenir un exemple de bout en bout illustrant la création d'une clé encapsulée, la tokenisation du contenu et la restauration de l'identification du contenu tokenisé, consultez la page Démarrage rapide : anonymiser du contenu sensible et en restaurer l'identification à la place.
Vous pouvez suivre la procédure décrite dans cette rubrique en 5 à 10 minutes, sans compter les étapes Avant de commencer.
Avant de commencer
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Sensitive Data Protection and Cloud KMS APIs:
gcloud services enable dlp.googleapis.com
cloudkms.googleapis.com -
Grant roles to your user account. Run the following command once for each of the following IAM roles:
roles/dlp.user
gcloud projects add-iam-policy-binding PROJECT_ID --member="user:USER_IDENTIFIER" --role=ROLE
- Replace
PROJECT_ID
with your project ID. -
Replace
USER_IDENTIFIER
with the identifier for your user account. For example,user:myemail@example.com
. - Replace
ROLE
with each individual role.
- Replace
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Create or select a Google Cloud project.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_ID
with a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_ID
with your Google Cloud project name.
-
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Sensitive Data Protection and Cloud KMS APIs:
gcloud services enable dlp.googleapis.com
cloudkms.googleapis.com -
Grant roles to your user account. Run the following command once for each of the following IAM roles:
roles/dlp.user
gcloud projects add-iam-policy-binding PROJECT_ID --member="user:USER_IDENTIFIER" --role=ROLE
- Replace
PROJECT_ID
with your project ID. -
Replace
USER_IDENTIFIER
with the identifier for your user account. For example,user:myemail@example.com
. - Replace
ROLE
with each individual role.
- Replace
Étape 1 : Créer un trousseau et une clé
Avant de commencer cette procédure, décidez où vous souhaitez que Sensitive Data Protection traite vos requêtes d'anonymisation et de restauration de l'identification. Lorsque vous créez une clé Cloud KMS, vous devez la stocker dans global
ou dans la même région que celle que vous utiliserez pour vos requêtes de protection des données sensibles.
Sinon, les requêtes de protection des données sensibles échoueront.
Vous trouverez la liste des emplacements compatibles dans la section Emplacements de la protection des données sensibles. Notez le nom de la région choisie (par exemple, us-west1
).
Cette procédure utilise global
comme emplacement pour toutes les requêtes API. Si vous souhaitez utiliser une autre région, remplacez global
par le nom de la région.
Créez un trousseau de clés comme suit :
gcloud kms keyrings create "dlp-keyring" \ --location "global"
Créez une clé :
gcloud kms keys create "dlp-key" \ --location "global" \ --keyring "dlp-keyring" \ --purpose "encryption"
Répertoriez votre trousseau de clés et votre clé :
gcloud kms keys list \ --location "global" \ --keyring "dlp-keyring"
Vous obtenez le résultat suivant :
NAME PURPOSE ALGORITHM PROTECTION_LEVEL LABELS PRIMARY_ID PRIMARY_STATE projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key ENCRYPT_DECRYPT GOOGLE_SYMMETRIC_ENCRYPTION SOFTWARE 1 ENABLED
Dans ce résultat,
PROJECT_ID
correspond à l'ID de votre projet.Le chemin d'accès sous
NAME
correspond au nom complet de la ressource de votre clé Cloud KMS. Prenez-en note, car les requêtes de suppression de l'identification et de restauration de l'identification l'exigent.
Étape 2 : Créer une clé AES encodée en base64
Cette section explique comment créer une clé AES (Advanced Encryption Standard) et l'encoder en base64.
Créez une clé AES 128, 192 ou 256 bits. La commande suivante utilise
openssl
pour créer une clé 256 bits dans le répertoire actuel :openssl rand -out "./aes_key.bin" 32
Le fichier
aes_key.bin
est ajouté à votre répertoire actuel.Encodez la clé AES en tant que chaîne base64 :
base64 -i ./aes_key.bin
Un résultat semblable aux lignes suivantes doit s'afficher :
uEDo6/yKx+zCg2cZ1DBwpwvzMVNk/c+jWs7OwpkMc/s=
Étape 3 : Encapsuler la clé AES avec la clé Cloud KMS
Cette section explique comment utiliser la clé Cloud KMS que vous avez créée à l'étape 1 pour encapsuler la clé AES encodée en base64 que vous avez créée à l'étape 2.
Pour encapsuler la clé AES, utilisez curl
pour envoyer la requête suivante à l'API Cloud KMS projects.locations.keyRings.cryptoKeys.encrypt
:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key:encrypt" \
--request "POST" \
--header "Authorization:Bearer $(gcloud auth application-default print-access-token)" \
--header "content-type: application/json" \
--data "{\"plaintext\": \"BASE64_ENCODED_AES_KEY\"}"
Remplacez les éléments suivants :
PROJECT_ID
: par l'ID de votre projet.BASE64_ENCODED_AES_KEY
: chaîne encodée en base64 renvoyée à l'étape 2.
La réponse que vous obtenez de Cloud KMS est semblable à la réponse JSON suivante :
{ "name": "projects/PROJECT_ID/locations/global/keyRings/dlp-keyring/cryptoKeys/dlp-key/cryptoKeyVersions/1", "ciphertext": "CiQAYuuIGo5DVaqdE0YLioWxEhC8LbTmq7Uy2G3qOJlZB7WXBw0SSQAjdwP8ZusZJ3Kr8GD9W0vaFPMDksmHEo6nTDaW/j5sSYpHa1ym2JHk+lUgkC3Zw5bXhfCNOkpXUdHGZKou1893O8BDby/82HY=", "ciphertextCrc32c": "901327763", "protectionLevel": "SOFTWARE" }
Dans ce résultat, PROJECT_ID
correspond à l'ID de votre projet.
Notez la valeur de ciphertext
dans la réponse que vous obtenez.
Il s'agit de votre clé encapsulée.
Étape suivante
Apprenez-en plus sur la tokenisation des données via une clé cryptographique.
Suivez un exemple de bout en bout qui montre comment créer une clé encapsulée, tokeniser du contenu et restaurer l'identification du contenu tokenisé.
Apprenez-en plus sur les méthodes d'anonymisation acceptant cette clé encapsulée et consultez des exemples de code.