Par défaut, Google Cloud chiffre automatiquement les données au repos à l'aide de clés de chiffrement gérées par Google. Si vous avez des exigences réglementaires ou de conformité spécifiques concernant les clés qui protègent vos données, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK).
Avec CMEK, vous pouvez protéger vos données Backup and DR à l'aide d'une clé cryptographique que vous contrôlez via Cloud Key Management Service (Cloud KMS). Lorsque vous utilisez CMEK, vous gérez la clé dans Cloud Key Management Service et vous pouvez contrôler qui peut y accéder en gérant les autorisations Identity and Access Management sur la clé. Si vous désactivez ou détruisez temporairement la clé CMEK, les données protégées par cette clé deviennent inaccessibles. Pour en savoir plus sur les CMEK en général, consultez Clés de chiffrement gérées par le client (CMEK).
Backup and DR utilise CMEK pour protéger les données de sauvegarde stockées dans les coffres de sauvegarde.
Comment Backup and DR utilise les clés CMEK
Selon la ressource sauvegardée, Backup and DR utilise des clés CMEK pour protéger les sauvegardes comme suit :
Pour les sauvegardes d'instances Compute Engine stockées dans un coffre de sauvegarde : si un ou plusieurs disques associés à une instance Compute Engine sont chiffrés avec CMEK, Backup and DR exige que cette instance soit sauvegardée dans un coffre de sauvegarde compatible avec CMEK. Si tous les disques associés à l'instance utilisent le chiffrement géré par Google, vous devez stocker les sauvegardes dans un coffre-fort de sauvegarde non CMEK dans la console Google Cloud . Toutefois, si vous utilisez Google Cloud CLI, l'API ou Terraform, vous pouvez configurer les sauvegardes de cette instance pour qu'elles soient stockées dans un coffre-fort de sauvegarde compatible avec CMEK.
Si une sauvegarde d'instance Compute Engine est stockée dans un coffre-fort de sauvegarde compatible avec les CMEK, ses données de sauvegarde sont chiffrées à l'aide de la clé Cloud Key Management Service du coffre-fort, quel que soit l'état de chiffrement des disques de l'instance.
Pour les sauvegardes de disques persistants : Backup and DR préserve le chiffrement du disque source en s'appuyant sur le chiffrement de la charge de travail source. Si le disque persistant source est protégé par une clé CMEK, ses sauvegardes sont protégées par la même clé CMEK. Si le disque persistant source utilise le chiffrement géré par Google, ses sauvegardes utilisent également le chiffrement géré par Google et doivent être stockées dans un coffre-fort de sauvegarde non configuré avec CMEK.
Le tableau suivant récapitule la clé de chiffrement utilisée pour les sauvegardes de différents types de charges de travail :
| Charge de travail | Clé de chiffrement utilisée pour la sauvegarde | État de la compatibilité CMEK |
|---|---|---|
| Instance Compute Engine | Clé CMEK du coffre de sauvegarde | Compatible |
| Disque Compute Engine | Clé de chiffrement du disque source | Compatible |
| Cloud SQL | - | Non compatible |
| Cluster AlloyDB | - | Non compatible |
| Instance Filestore | - | Non compatible |
| Google Cloud VMware Engine, base de données Oracle et base de données SQL Server | - | Non compatible |
Limites
La compatibilité de Backup and DR avec CMEK présente les limites suivantes :
- La protection CMEK n'est disponible que pour les sauvegardes d'instances Compute Engine et de disques persistants stockées dans des coffres de sauvegarde.
- Vous ne pouvez configurer CMEK sur un coffre-fort de sauvegarde qu'au moment de la création. Vous ne pouvez pas activer, désactiver ni modifier CMEK sur un coffre-fort de sauvegarde existant.
- La clé Cloud Key Management Service doit se trouver au même emplacement que le coffre-fort de sauvegarde. Un coffre de sauvegarde dans une région doit utiliser une clé de la même région. Un coffre de sauvegarde multirégional doit utiliser une clé provenant de la même multirégion.
- Backup and DR n'est pas compatible avec les clés de chiffrement fournies par le client (CSEK).
- Le coffre de sauvegarde et le plan de sauvegarde par défaut utilisent le chiffrement géré par Google. Pour utiliser CMEK, vous devez créer un coffre-fort de sauvegarde et activer explicitement CMEK.
Avant de commencer
Avant de commencer à utiliser CMEK, procédez comme suit :
Activez l'API Cloud Key Management Service dans le projet qui stockera vos clés CMEK.
Créez un trousseau de clés et une clé Cloud Key Management Service. Lorsque vous créez votre clé, assurez-vous de sélectionner un emplacement correspondant à celui de votre coffre de sauvegarde. Un coffre de sauvegarde dans une région doit utiliser une clé de la même région. Un coffre de sauvegarde multirégional doit utiliser une clé provenant de la même multirégion.
Si ce n'est pas déjà fait, créez l'agent de service Backup and DR. L'agent de service est créé automatiquement après la création de la première ressource Backup and DR (coffre-fort de sauvegarde,console Google Cloud , etc.) dans un projet. Si vous devez accorder des autorisations à l'agent de service avant de créer un backup vault, vous pouvez déclencher sa création avec la commande suivante :
gcloud beta services identity create --service=backupdr.googleapis.com --project=PROJECT_ID
PROJECT_IDpar l'ID de votre projet.
Accorder des autorisations pour CMEK
Pour que Backup and DR protège les sauvegardes à l'aide de CMEK ou sauvegarde les ressources protégées par CMEK, vous devez accorder des rôles IAM à des agents de service spécifiques.
Accorder l'autorisation d'utiliser la clé CMEK Vault
Lorsque vous configurez CMEK pour un coffre-fort de sauvegarde, Backup and DR a besoin d'une autorisation pour utiliser votre clé CMEK afin de chiffrer et déchiffrer les données. Cette autorisation doit être accordée à l'agent de service Backup and DR.
Il est important de faire la distinction entre les deux comptes de service utilisés par Backup and DR :
- Agent de service Backup and DR : il s'agit d'un compte de service au niveau du projet utilisé pour gérer les ressources Backup and DR et pour accéder aux clés Cloud Key Management Service lorsqu'un coffre de sauvegarde est configuré avec CMEK. Il s'agit de l'agent de service qui nécessite le rôle
roles/cloudkms.cryptoKeyEncrypterDecryptersur la clé CMEK. - Compte de service du parc de sauvegarde : il s'agit d'un compte de service unique par parc auquel vous accordez des autorisations pour accéder aux charges de travail sources (telles que les instances Compute Engine) et les sauvegarder. Ce compte de service n'est pas utilisé pour le chiffrement CMEK des données dans le coffre-fort de sauvegarde.
Pour utiliser CMEK avec Backup and DR, vous devez attribuer le rôle Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) à l'agent de service Backup and DR. Cet agent de service est un compte de service que Backup and DR utilise pour accéder aux ressources en votre nom, y compris à votre clé Cloud Key Management Service lors des opérations de chiffrement et de déchiffrement.
L'agent de service Backup and DR est nommé au format suivant :
service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com
Remplacez VAULT_PROJECT_NUMBER par le numéro du projet contenant votre coffre-fort de sauvegarde.
Vous pouvez attribuer ce rôle au moment de la création du parc de sauvegarde à l'aide de la console Google Cloud si vous disposez des autorisations nécessaires pour attribuer des rôles IAM. Vous pouvez également l'attribuer à l'avance à l'aide de la commande gcloud kms keys add-iam-policy-binding :
gcloud kms keys add-iam-policy-binding KEY_NAME \
--location=KMS_LOCATION \
--keyring=KEY_RING \
--member=serviceAccount:service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Vous pouvez accorder ce rôle sur une clé spécifique, comme indiqué dans l'exemple, ou au niveau du trousseau de clés ou du projet. Accorder des autorisations au niveau des clés permet un contrôle plus précis et est recommandé pour le principe du moindre privilège. Accorder des autorisations au niveau du projet ou du trousseau de clés est plus pratique si vous prévoyez que Backup and DR utilise plusieurs clés dans ce champ d'application, mais cela accorde des autorisations plus larges.
Accorder l'autorisation de sauvegarder les ressources protégées par une clé CMEK
Si vous sauvegardez une ressource elle-même chiffrée avec une autre clé CMEK, comme une instance Compute Engine avec des disques chiffrés par une clé CMEK, des autorisations supplémentaires sont requises. L'agent de service du service de la ressource source doit être autorisé à utiliser la ou les clés protégeant la ressource source. Par exemple, pour sauvegarder une instance Compute Engine chiffrée avec une clé CMEK, l'agent de service Compute Engine du projet de l'instance source doit disposer du rôle roles/cloudkms.cryptoKeyEncrypterDecrypter sur la ou les clés Cloud Key Management Service utilisées pour chiffrer les disques de l'instance. Dans la plupart des cas, cette autorisation est déjà en place pour que la charge de travail source soit opérationnelle.
Utiliser les CMEK avec Backup and DR
Cette section décrit le workflow de protection des sauvegardes à l'aide de CMEK.
1. Créer un coffre de sauvegarde compatible avec les CMEK
Lorsque vous créez un coffre-fort de sauvegarde, sélectionnez l'option Clé de chiffrement gérée par le client (CMEK) dans la section Chiffrement, puis choisissez la clé Cloud Key Management Service que vous avez créée. Vous ne pouvez activer CMEK que lors de la création du coffre. Vous ne pouvez pas l'activer, le désactiver ni le modifier sur un coffre existant.
2. Créer un plan de sauvegarde
Lorsque vous créez un plan de sauvegarde, sélectionnez le coffre de sauvegarde compatible avec CMEK que vous avez créé à l'étape précédente comme coffre de sauvegarde cible pour les sauvegardes.
3. Appliquer le plan de sauvegarde aux ressources
Lorsque vous appliquez un plan de sauvegarde à une ressource, vous devez vous assurer que le plan de sauvegarde cible un coffre de sauvegarde compatible avec la configuration de chiffrement de la ressource :
- Si vous sauvegardez une instance Compute Engine à laquelle sont associés un ou plusieurs disques chiffrés avec CMEK, vous devez utiliser un plan de sauvegarde ciblant un coffre-fort de sauvegarde compatible avec CMEK.
- Si vous sauvegardez une instance Compute Engine dont tous les disques associés utilisent le chiffrement géré par Google :
- Si vous attribuez le plan de sauvegarde à l'aide de la console Google Cloud , vous devez utiliser un plan de sauvegarde ciblant un coffre de sauvegarde non CMEK.
- Si vous attribuez le plan de sauvegarde à l'aide de gcloud CLI, de l'API ou de Terraform, vous pouvez choisir un plan de sauvegarde ciblant un coffre-fort de sauvegarde compatible avec CMEK. Si vous le faites, les sauvegardes de l'instance seront chiffrées avec la clé CMEK du coffre de sauvegarde.
- Si vous sauvegardez un disque persistant qui utilise le chiffrement géré par Google, vous devez utiliser un forfait de sauvegarde ciblant un coffre-fort de sauvegarde non CMEK.
Pour que les sauvegardes s'exécutent correctement, assurez-vous d'avoir accordé les autorisations KMS requises, comme indiqué dans Accorder des autorisations pour CMEK.
Rotation des clés Cloud Key Management Service et restauration des sauvegardes
Backup and DR est compatible avec la rotation des clés Cloud Key Management Service. Lorsque vous effectuez une rotation de clé, Cloud Key Management Service crée une version de clé qui devient la version principale. Backup and DR utilise la version de clé primaire pour chiffrer toutes les nouvelles sauvegardes des coffres de sauvegarde configurés avec cette clé.
Les sauvegardes existantes ne sont pas rechiffrées et restent chiffrées avec la version de clé avec laquelle elles ont été créées. Pour restaurer une sauvegarde, la version de la clé utilisée pour la chiffrer doit être disponible dans Cloud Key Management Service. Si vous désactivez ou détruisez une version de clé, toutes les sauvegardes chiffrées avec cette version deviennent inaccessibles. Pour vous assurer que vos sauvegardes peuvent être restaurées, ne désactivez ni ne détruisez les versions de clé qui sont encore utilisées par les sauvegardes que vous pourriez avoir besoin de restaurer.
Si Backup and DR ne peut pas accéder à votre clé CMEK pour une raison quelconque (par exemple, si la version de clé requise pour le chiffrement ou le déchiffrement est désactivée ou détruite, ou si les autorisations IAM sur la clé sont révoquées de l'agent de service Backup and DR), vous pouvez rencontrer les problèmes suivants :
- Les nouvelles sauvegardes dans les coffres de sauvegarde compatibles avec les CMEK échoueront si la version de clé primaire est inaccessible.
- Les restaurations à partir de coffres de sauvegarde échouent si la version de clé spécifique utilisée pour chiffrer la sauvegarde est inaccessible.
- Vous ne pourrez pas créer de coffres-forts de sauvegarde qui utilisent une clé inaccessible.
Si vous avez désactivé une version de clé utilisée pour les sauvegardes, la réactiver vous permettra de restaurer l'accès aux sauvegardes chiffrées avec cette version. Si vous détruisez une version de clé, toutes les sauvegardes chiffrées avec cette version de clé sont définitivement perdues et ne peuvent pas être restaurées.
Tarifs
Backup and DR ne facture aucun frais supplémentaire pour l'utilisation de CMEK. Toutefois, l'utilisation de vos clés dans Cloud Key Management Service vous est facturée. Pour en savoir plus, consultez les tarifs de Cloud Key Management Service.
Étapes suivantes
- Découvrez comment créer et gérer des coffres de sauvegarde.