Cette page a été traduite par l'API Cloud Translation.

Ressources Cloud KMS

Cette page décrit chaque type de ressource dans Cloud KMS. Pour en savoir plus, consultez la section Hiérarchie des ressources.

Clés

Une clé Cloud KMS est un objet nommé contenant une ou plusieurs versions de clé, ainsi que des métadonnées la concernant. Une clé existe sur un seul trousseau de clés lié à un emplacement spécifique.

Vous pouvez autoriser et refuser l'accès aux clés à l'aide des autorisations et rôles IAM (Identity and Access Management). Vous ne pouvez pas gérer l'accès à une version de clé.

La désactivation ou la destruction d'une clé désactive ou détruit également chaque version de clé.

Les sections suivantes décrivent les propriétés d'une clé.

Selon le contexte, les propriétés d'une clé s'affichent dans un format différent.

Lorsque vous utilisez la Google Cloud CLI ou l'API Cloud Key Management Service, la propriété est affichée sous la forme d'une chaîne de lettres majuscules, par exemple SOFTWARE.
Lorsque vous utilisez la console Google Cloud, la propriété s'affiche sous la forme d'une chaîne avec une majuscule initiale, comme dans Software (Logiciel).

Dans les sections suivantes, chaque format est indiqué au bon endroit.

Type

Le type d'une clé détermine si la clé est utilisée pour des opérations de chiffrement symétriques ou asymétriques.

En cas de chiffrement ou de signature symétrique, la même clé permet de chiffrer et de déchiffrer des données, ou de signer et de valider une signature.

Dans le cas d'un chiffrement ou d'une signature asymétriques, la clé se compose d'une clé publique et d'une clé privée. Une clé privée et sa clé publique correspondante est appelée paire de clés.

La clé privée est une donnée sensible. Elle est requise pour déchiffrer des données ou pour signer, en fonction de l'objectif configuré de la clé.
La clé publique n'est pas considérée comme sensible. Elle est requise pour chiffrer des données ou vérifier une signature, en fonction de l'objectif configuré de la clé.

Le type d'une clé est un composant de l'objectif de la clé et ne peut pas être modifié une fois la clé créée.

Objectif

L'objectif d'une clé indique le type d'opérations cryptographiques pour lesquelles elle peut être utilisée, par exemple, le chiffrement/déchiffrement symétrique ou la signature asymétrique. Vous choisissez l'objectif lors de la création de la clé. Toutes les versions d'une clé ont le même objectif. Une fois la clé créée, son objectif ne peut plus être modifié. Pour en savoir plus sur les objectifs des clés, consultez la section Objectifs des clés.

Niveau de protection

Le niveau de protection d'une clé détermine son environnement de stockage au repos. Le niveau de protection correspond à l'un des éléments suivants :

Logiciel (SOFTWARE dans la Google Cloud CLI et l'API Cloud Key Management Service)
HSM
Externe (EXTERNAL dans la Google Cloud CLI et l'API Cloud Key Management Service)
External_VPC (EXTERNAL_VPC dans la Google Cloud CLI et l'API Cloud Key Management Service)

Une fois la clé créée, son niveau de protection ne peut plus être modifié.

Version principale

Les clés peuvent avoir plusieurs versions de clé actives et activées simultanément. Les clés de chiffrement symétriques possèdent une version de clé primaire, qui correspond à la version de clé utilisée par défaut pour chiffrer les données si vous ne spécifiez pas de version de clé.

Les clés asymétriques n'ont pas de version principale. Vous devez spécifier la version lorsque vous utilisez la clé.

Pour les clés symétriques et asymétriques, vous pouvez utiliser n'importe quelle version de clé activée pour chiffrer et déchiffrer des données, ou pour signer et valider des signatures.

Versions de clé

Chaque version d'une clé contient le matériel de clé utilisé pour le chiffrement ou la signature. Chaque version se voit attribuer un numéro de version commençant à 1. La rotation d'une clé entraîne la création d'une nouvelle version de clé. En savoir plus sur la rotation des clés

Pour déchiffrer des données ou valider une signature, vous devez utiliser la même version de clé que celle utilisée pour chiffrer ou signer les données. Pour trouver l'ID de ressource d'une version de clé, consultez la section Récupérer l'ID de ressource d'une clé.

Vous pouvez désactiver ou détruire des versions de clé individuelles sans affecter les autres versions. Vous pouvez également désactiver ou détruire toutes les versions d'une clé donnée.

Vous ne pouvez pas contrôler l'accès aux versions de clé indépendamment des autorisations appliquées à la clé. Accorder l'accès à une clé permet d'accéder à toutes ses versions activées.

Pour des raisons de sécurité, aucun compte principal Google Cloud ne peut afficher, ni exporter le matériel brut de la clé de chiffrement représenté par une version de clé. À la place, Cloud KMS accède au matériel de clé pour vous.

Les sections suivantes décrivent les propriétés d'une version de clé.

État

Chaque version de clé possède un state qui indique son état. Généralement, l'état d'une clé est l'un des suivants:

Activé
Désactivé
Destruction programmée
Détruite

Une version de clé ne peut être utilisée que lorsqu'elle est activée. Les versions de clé se trouvant dans un état autre que leur destruction entraînent des coûts. Pour en savoir plus sur les états des versions de clé et sur la manière dont les versions peuvent passer de l'un à l'autre, consultez la section États des versions de clé.

Algorithme

L'algorithme d'une version de clé détermine le mode de création du matériel de clé et les paramètres requis pour les opérations de chiffrement. Les clés symétriques et asymétriques utilisent des algorithmes différents. Le chiffrement et la signature utilisent des algorithmes différents.

Si vous ne spécifiez pas d'algorithme lorsque vous créez une version de clé, l'algorithme de la version précédente est utilisé.

Quel que soit l'algorithme, Cloud KMS utilise le chiffrement probabiliste. Ainsi, un texte brut chiffré deux fois avec la même version de clé ne renvoie pas le même texte chiffré.

Trousseaux de clés

Un trousseau organise les clés dans un emplacement Google Cloud spécifique et vous permet de gérer le contrôle des accès sur des groupes de clés. Le nom d'un trousseau de clés n'a pas besoin d'être unique dans un projet Google Cloud, mais doit être unique dans un emplacement donné. Une fois créé, un trousseau de clés ne peut pas être supprimé. Les trousseaux de clés n'entraînent aucuns frais.

Poignées de touche

Un gestionnaire de clé est une ressource Cloud KMS qui vous aide à couvrir en toute sécurité la séparation des tâches afin de créer des clés Cloud KMS pour CMEK à l'aide de la fonctionnalité Autokey. La création d'un gestionnaire de clé dans un projet de ressources déclenche la création d'une clé Cloud KMS dans le projet de clé pour la configuration CMEK à la demande.

Un gestionnaire de clé contient une référence à la clé Cloud KMS qui a été créée. Vous pouvez récupérer l'ID de ressource Cloud KMS d'une clé créée par Autokey à partir du gestionnaire de clé. Les outils d'Infrastructure as Code tels que Terraform peuvent utiliser des identifiants de clé pour gérer les ressources protégées par des clés CMEK sans privilèges élevés.

Les identifiants de clés ne sont pas visibles dans la console Google Cloud. Toutefois, pour utiliser Autokey avec l'API REST ou Terraform, vous devez les utiliser. Pour en savoir plus sur l'utilisation des identifiants de clé, consultez la page Créer des ressources protégées à l'aide de la clé automatique Cloud KMS.

Configurations des clés automatiques

Une configuration de clé automatique est une ressource au niveau d'un dossier qui détermine si la fonctionnalité de clé automatique est activée pour le dossier. Cette configuration définit également le projet de clé utilisé pour les clés créées par la clé automatique Cloud KMS afin de protéger les ressources de ce dossier. Lorsque vous activez la fonctionnalité Autokey, vous créez ou mettez à jour une configuration Autokey dans le dossier de ressources. Pour en savoir plus sur l'utilisation des configurations de clés automatiques, consultez la page Activer la clé automatique Cloud KMS.

Connexions EKM

Une connexion EKM est une ressource Cloud KMS qui organise les connexions VPC avec vos EKM sur site dans un emplacement Google Cloud spécifique. Une connexion EKM vous permet de vous connecter à un gestionnaire de clés externe et d'utiliser les clés de celui-ci via un réseau VPC. Après sa création, une connexion EKM ne peut pas être supprimée. Les connexions EKM n'entraînent aucuns frais.

Récupérer l'ID d'une ressource

Certains appels d'API et la gcloud CLI peuvent vous obliger à faire référence à un trousseau, à une clé ou à une version de clé à l'aide de son ID de ressource, qui est une chaîne représentant le nom complet de la CryptoKeyVersion. Les ID de ressources sont hiérarchiques, similaires au chemin d'accès d'un système de fichiers. L'ID de ressource d'une clé contient également des informations sur le trousseau et l'emplacement.

Objets	Format de l'ID de ressource
Trousseau de clés	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING`
Clé	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME`
Version de la clé	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION`
Poignée de la touche	`projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE`
Connexion EKM	`projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION`
Configuration de la clé automatique	`folders/FOLDER_NUMBER/autopilotConfig`

Pour en savoir plus, consultez la page Obtenir un ID de ressource Cloud KMS.

Organiser les ressources

Lorsque vous planifiez l'organisation des ressources dans votre projet Google Cloud, tenez compte de vos règles métier et de la façon dont vous comptez gérer les accès. Vous pouvez accorder l'accès à une seule clé, à toutes les clés d'un trousseau ou à toutes les clés d'un projet. Les modèles d'organisation suivants sont courants :

Par environnement, tel que prod, test et develop
Par espace de travail, tel que payroll ou insurance_claims
En fonction de la sensibilité ou des caractéristiques des données, telles que unrestricted, restricted, confidential et top-secret

Cycles de vie des ressources

Les trousseaux, les clés et les versions de clé ne peuvent pas être supprimés. Cela garantit que l'identifiant de ressource d'une version de clé est unique et pointe toujours vers le matériel d'origine de cette version de clé, sauf si celle-ci a été détruite. Vous pouvez stocker un nombre illimité de trousseaux de clés, de clés activées ou désactivées, et de versions de clé activées, désactivées ou détruites. Pour en savoir plus, consultez les pages Tarifs et Quotas.

Pour savoir comment détruire ou restaurer une version de clé, consultez la page Détruire et restaurer des versions de clé.

Une fois que vous avez planifié l'arrêt d'un projet Google Cloud, vous ne pouvez plus accéder à ses ressources, y compris aux ressources Cloud KMS, sauf si vous récupérez le projet en suivant les étapes de restauration.

Étapes suivantes

Créez une clé.
En savoir plus sur les autorisations et rôles dans Cloud KMS.