Par défaut, Workflows chiffre le contenu client au repos. Workflows gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.
Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Workflows. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Cloud KMS vous permet également de suivre l'utilisation des clés, d'afficher les journaux d'audit et de contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.
Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Workflows est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).
Vous pouvez protéger votre workflow et les données associées au repos à l'aide d'une clé de chiffrement à laquelle vous seul pouvez accéder, et que vous pouvez contrôler et gérer à l'aide de Cloud KMS.
Éléments protégés par CMEK
Lorsque vous déployez un workflow, vous pouvez spécifier une clé Cloud KMS. Cette clé permet de chiffrer le workflow et ses exécutions :
Un workflow nécessite un fichier source contenant une définition de workflow valide. Ce fichier source est chiffré à l'aide de la clé.
Une exécution de workflow exécute la définition actuelle du workflow (une révision de workflow spécifique). Le workflow compilé, ainsi que toutes les données d'exécution stockées (entrées, sorties et données d'exécution), sont chiffrés à l'aide de la clé associée à la révision du workflow au moment de son déploiement. Cela inclut les arguments d'exécution, les résultats, les erreurs et les exceptions, qui sont fournis sous forme d'événements Eventarc, ainsi que les requêtes et réponses de rappel et HTTP.
Avant de commencer
Avant d'utiliser CMEK dans Workflows, procédez comme suit :
Activez les API.
Console
-
Enable the Cloud KMS and Workflows APIs.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
- Mettez à jour les composants
gcloud.gcloud components update
- Activez les API Cloud KMS et Workflows pour le projet qui stockera vos clés de chiffrement.
gcloud services enable cloudkms.googleapis.com workflows.googleapis.com
-
Cloud KMS génère des Cloud Audit Logs lorsque les clés sont activées, désactivées ou utilisées par les ressources Workflows pour chiffrer et déchiffrer les données. Assurez-vous que la journalisation est activée pour l'API Cloud KMS dans votre projet, et que vous avez déterminé les autorisations et les rôles spécifiques à la journalisation qui s'appliquent à votre cas d'utilisation. Pour en savoir plus, consultez Informations sur les journaux d'audit Cloud KMS.
Créer un trousseau et une clé Cloud KMS
Vous pouvez créer un trousseau de clés ou en utiliser un existant. Dans le trousseau de clés, vous pouvez ajouter une clé ou en utiliser une existante.
Récupérer l'ID de ressource d'une clé Cloud KMS
L'ID de ressource d'une clé Cloud KMS est requis lorsque vous activez CMEK pour un workflow. Dans ce document, consultez la section Activer CMEK pour un workflow.
Console
Dans la console Google Cloud , accédez à la page Gestion des clés.
Cliquez sur le trousseau de clés contenant la clé.
Pour la clé dont vous voulez récupérer l'ID de ressource, cliquez sur more_vert Plus.
Cliquez sur Copier le nom de la ressource.
L'ID de ressource pour la clé est copié dans votre presse-papiers. Son format est semblable à ce qui suit :
projects/PROJECT_NAME/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
Une clé contient zéro ou plusieurs versions de clé. L'ID de ressource d'une version de clé correspond à l'ID de la clé, suivi d'une barre oblique (
/) et de l'ID de version. Pour lister toutes les versions d'une clé :- Cliquez sur le nom de la clé.
- Pour une version spécifique, cliquez sur Plus.
- Cliquez sur Copier le nom de la ressource.
gcloud
Répertoriez toutes les clés d'un trousseau de clés donné :
gcloud kms keys list --keyring RING_NAME --location LOCATION
Remplacez les éléments suivants :
RING_NAME: nom du trousseau de clésLOCATION: région du trousseau de clés.
La sortie inclut l'ID de ressource pour chaque clé. Exemple :
NAME: projects/PROJECT_NAME/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
Une clé comporte zéro ou plusieurs versions de clé. L'ID de ressource d'une version de clé correspond à l'ID de la clé, suivi d'une barre oblique (
/) et de l'ID de version. Répertoriez toutes les versions d'une clé :gcloud kms keys versions list --location LOCATION --keyring RING_NAME --key KEY_NAME
Le résultat inclut l'ID de ressource pour chaque version de clé. Exemple :
NAME: projects/PROJECT_NAME/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME/2
Accorder à l'agent de service Workflows l'accès à la clé
Vous devez attribuer le rôle IAM (Identity and Access Management) Chiffreur/Déchiffreur de CryptoKey Cloud KMS à l'agent de service Workflows pour qu'il puisse accéder à la clé Cloud KMS :
Console
Lorsque vous activez CMEK pour un workflow via la console, vous êtes invité à attribuer le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS au compte de service. Pour en savoir plus, consultez la section Activer CMEK pour un workflow dans ce document.
gcloud
gcloud kms keys add-iam-policy-binding KEY_NAME \ --keyring RING_NAME \ --location LOCATION \ --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-workflows.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter
Remplacez les éléments suivants :
KEY_NAME: nom de la clé. Exemple :my-keyRING_NAME: nom du trousseau de clés. Exemple :my-keyring.LOCATION: emplacement de la clé. Exemple :us-central1.PROJECT_NUMBER: numéro de votre projet Google Cloud . Vous pouvez trouver le numéro de votre projet sur la page Bienvenue de la console Google Cloud ou en exécutant la commande suivante :export PROJECT=$(gcloud info --format='value(config.project)') gcloud projects describe ${PROJECT} --format="value(projectNumber)"
Tant que l'agent de service dispose du rôle roles/cloudkms.cryptoKeyEncrypterDecrypter, un workflow de votre projet peut chiffrer et déchiffrer ses données à l'aide de la clé CMEK. Si vous révoquez ce rôle, ou si vous désactivez ou détruisez la clé CMEK, ces données ne sont plus accessibles. Dans ce document, consultez la section Désactiver Cloud KMS.
Activer CMEK pour un workflow
Lorsque vous créez un workflow ou que vous le mettez à jour par la suite, vous pouvez spécifier la clé Cloud KMS que le workflow doit utiliser pour le chiffrement des données.
Console
Dans la console Google Cloud , accédez à la page Workflows.
Cliquez sur le nom du workflow que vous souhaitez mettre à jour.
La page Détails des workflows s'affiche.
Cliquez sur Modifier.
Sélectionnez Clé Cloud KMS.
Sélectionnez un type de clé.
Vous pouvez gérer vos clés manuellement ou utiliser Autokey, qui vous permet de générer des trousseaux de clés et des clés à la demande. Si l'option Autokey est désactivée, cela indique qu'elle n'est pas encore intégrée au type de ressource actuel.
Dans la liste Sélectionner une clé Cloud KMS, sélectionnez ou filtrez une clé Cloud KMS.
(Facultatif) Pour saisir manuellement le nom de ressource de la clé, dans la liste Sélectionner une clé gérée par le client, cliquez sur Saisir la clé manuellement, puis saisissez le nom de ressource de la clé au format spécifié.
Si vous y êtes invité, attribuez le rôle
cloudkms.cyptoKeyEncrypterDecrypterau compte de service Workflows avec le rôleworkflows.serviceAgent.Cliquez sur Suivant.
Pour enregistrer vos modifications et déployer le workflow mis à jour, cliquez sur Deploy (Déployer).
gcloud
gcloud workflows deploy WORKFLOW_NAME \ --source=SOURCE_FILE \ --kms-key=KEY \ --location LOCATION \ --service-account=SERVICE_ACCOUNT
Remplacez les éléments suivants :
WORKFLOW_NAME: Nom de votre workflowSOURCE_FILE: fichier source de votre workflow avec une extension de fichieryamlpour un fichier YAML oujsonpour un fichier JSON (par exemple,myWorkflow.yaml).KEY: ID de ressource de la clé au formatprojects/PROJECT_NAME/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME. Vous pouvez récupérer l'ID de clé.LOCATION: emplacement du workflowSERVICE_ACCOUNT: compte de service que votre workflow utilisera pour accéder à d'autres services Google Cloud . Par exemple,SERVICE_ACCOUNT_NAME@PROJECT_NAME.iam.gserviceaccount.com. Nous vous recommandons vivement d'utiliser un compte de service ne bénéficiant que des privilèges les plus faibles nécessaires pour accéder aux ressources requises. Si vous ne renseignez pas ce champ, le compte de service par défaut est utilisé. Pour en savoir plus, consultez Autoriser un workflow à accéder aux ressources Google Cloud .
Veuillez noter les points suivants :
- Les révisions et les exécutions de workflow sont chiffrées avec la clé spécifiée au moment du déploiement. Les ressources chiffrées précédemment avec une clé antérieure restent chiffrées avec cette clé. Si un workflow est modifié par la suite et qu'une nouvelle clé est spécifiée, cette révision du workflow est chiffrée avec la nouvelle clé, et toutes les exécutions ultérieures utiliseront la nouvelle clé.
- Les révisions et les exécutions de workflow qui n'avaient pas bénéficié précédemment d'un chiffrement CMEK restent non chiffrées.
- Si vous désactivez CMEK pour une révision de workflow, toutes les exécutions ultérieures sont créées sans chiffrement CMEK. Dans ce document, consultez la section Désactiver CMEK pour un workflow. Les révisions et les exécutions de workflow existantes restent chiffrées avec les clés avec lesquelles elles étaient précédemment chiffrées.
Vérifier l'intégration de Cloud KMS
Vous pouvez vérifier l'intégration de CMEK en affichant les métadonnées d'un workflow.
Console
Dans la console Google Cloud , accédez à la page Workflows.
Cliquez sur le nom du workflow que vous souhaitez valider.
La page Détails des workflows s'affiche.
Cliquez sur l'onglet Détails.
La valeur Chiffrement affiche l'ID de ressource de la clé Cloud KMS utilisée pour sécuriser le workflow et son exécution.
gcloud
gcloud workflows describe WORKFLOW_NAME \ --location=LOCATION
La sortie devrait ressembler à ce qui suit :
createTime: '2022-08-10T19:57:58.233177709Z' cryptoKeyName: projects/PROJECT_NAME/locations/LOCATION/keyRings/RING_NAME/cryptoKeys/KEY_NAME name: projects/PROJECT_NAME/locations/LOCATION/workflows/WORKFLOW_NAME revisionCreateTime: '2022-11-18T19:44:04.933633237Z' revisionId: 000009-8be serviceAccount: projects/PROJECT_NAME/serviceAccounts/SA_NAME@PROJECT_NAME.iam.gserviceaccount.com sourceContents: [...] state: ACTIVE updateTime: '2022-11-18T19:44:05.171793128Z'
La valeur cryptokeyName correspond à l'ID de ressource de la clé Cloud KMS utilisée pour sécuriser le workflow et son exécution.
Désactiver CMEK pour un workflow
Vous pouvez désactiver CMEK pour un workflow afin qu'il n'utilise plus la clé Cloud KMS associée.
Console
Dans la console Google Cloud , accédez à la page Workflows.
Cliquez sur le nom du workflow que vous souhaitez mettre à jour.
La page Détails des workflows s'affiche.
Cliquez sur Modifier.
Pour décocher la case d'option Clé Cloud KMS, sélectionnez Google-managed encryption key.
Cliquez sur Suivant.
Pour enregistrer vos modifications et déployer le workflow mis à jour, cliquez sur Deploy (Déployer).
gcloud
gcloud workflows deploy WORKFLOW_NAME \ --source=SOURCE_FILE \ --clear-kms-key \ --service-account=SERVICE_ACCOUNT
Cela désactive CMEK pour la révision actuelle du workflow. Les exécutions ultérieures sont créées sans chiffrement CMEK. Les révisions et les exécutions de workflow existantes restent chiffrées avec les clés avec lesquelles elles étaient précédemment chiffrées.
Désactiver Cloud KMS
Si vous souhaitez révoquer l'accès aux données de votre workflow ou de vos exécutions de workflow, vous pouvez effectuer l'une des opérations suivantes pour désactiver Cloud KMS :
Désactivez ou détruisez la version principale de votre clé de chiffrement gérée par le client. La désactivation d'une version de clé CMEK suspend l'accès à toutes les données protégées par cette version de clé. La destruction d'une version de clé est la contrepartie permanente de cette action. Les deux n'affectent que les workflows et les exécutions de workflow associés à la clé spécifique. Vous ne pouvez pas créer d'exécutions ni afficher les ressources associées à la clé désactivée ou détruite. Toutes les exécutions actives échoueront et un message d'erreur correspondant s'affichera.
Révoquez le rôle IAM
cloudkms.cryptoKeyEncrypterDecrypterde l'agent de service Workflows. Cela affecte tous les workflows du projetGoogle Cloud qui sont compatibles avec le chiffrement à l'aide de CMEK. Vous ne pouvez pas créer de workflows ni d'exécutions intégrés à CMEK, ni afficher de ressources chiffrées avec CMEK. Toutes les exécutions actives échoueront et un message d'erreur correspondant s'affichera.
Même si aucune de ces opérations ne garantit une révocation immédiate des accès, les modifications de Cloud IAM se propagent généralement plus rapidement. Pour en savoir plus, consultez les pages Cohérence des ressources Cloud KMS et Propagation des modifications d'accès.
Dépannage
Vous pouvez rencontrer des erreurs lorsque vous utilisez Cloud KMS avec Workflows. Le tableau suivant décrit différents problèmes et indique comment les résoudre.
| Problème | Description |
|---|---|
L'autorisation cloudkms.cryptoKeyVersions.useToEncrypt est refusée |
Soit la clé Cloud KMS fournie n'existe pas, soit l'autorisation n'est pas correctement configurée.
Solution :
|
| La version de clé n'est pas activée | La version de clé Cloud KMS fournie a été désactivée.
Solution : réactivez la version de clé Cloud KMS. |
| La région du trousseau de clés ne correspond pas à la ressource à protéger | La région du trousseau de clés KMS fournie est différente de celle du workflow.
Solution : Utilisez un trousseau de clés Cloud KMS et un workflow protégé de la même région. (Notez qu'ils peuvent se trouver dans des projets différents.) Pour en savoir plus, consultez les pages Emplacements Cloud KMS et Emplacements Workflows. |
| Limite de quota Cloud KMS dépassée | Vous avez atteint la limite de quota pour les requêtes Cloud KMS.
Solution : Limitez le nombre d'appels Cloud KMS ou augmentez la limite de quota. Pour en savoir plus, consultez la page Quotas Cloud KMS. |
Traitement de l'état d'indisponibilité d'une clé
Si, pour une raison quelconque, Cloud KMS n'est pas disponible, Workflows peut ne pas être en mesure de récupérer l'état de votre clé à partir de Cloud KMS.
Si l'état de la clé n'est pas disponible, le workflow ou son exécution renverront une valeur state: UNAVAILABLE et les détails associés dans le champ stateError.
Si l'état de la clé devient indisponible au cours de l'exécution d'un workflow (par exemple, une autorisation est révoquée lors d'un rappel), une erreur d'exécution se produit, renvoyant une valeur state: FAILED et les détails associés dans le champ error.
Tarifs
Cette intégration n'entraîne pas de coûts supplémentaires, outre les frais liés aux opérations de clés qui sont facturées dans le cadre de votre projet Google Cloud . Pour obtenir des informations sur les tarifs actuels, consultez la page Tarifs de Cloud KMS.