Les clés de chiffrement gérées par le client (CMEK) vous permettent de protéger vos données Backup and DR Service à l'aide d'une clé cryptographique que vous contrôlez via Cloud Key Management Service (Cloud KMS). Lorsque vous utilisez CMEK, vous gérez la clé dans Cloud Key Management Service et vous pouvez contrôler qui peut y accéder en gérant les autorisations Identity and Access Management sur la clé. Si vous désactivez ou détruisez temporairement la clé CMEK, les données protégées par cette clé deviennent inaccessibles.
Le service Backup and DR utilise CMEK pour protéger les données de sauvegarde stockées dans les coffres de sauvegarde.
Vous ne pouvez configurer CMEK sur un coffre-fort de sauvegarde que lorsque vous le créez. Vous ne pouvez pas activer ni désactiver CMEK sur un coffre-fort de sauvegarde existant.
Pour en savoir plus sur les CMEK en général, consultez Clés de chiffrement gérées par le client (CMEK).
Autorisations requises pour utiliser CMEK
Avant de commencer à utiliser les CMEK, vous devez :
Activez l'API Cloud Key Management Service dans le projet qui stockera vos clés CMEK.
Créez un trousseau de clés et une clé Cloud Key Management Service. Lorsque vous créez votre clé, assurez-vous de sélectionner un emplacement correspondant à celui de votre coffre de sauvegarde. Un coffre de sauvegarde dans une région doit utiliser une clé de la même région. Un coffre de sauvegarde multirégional doit utiliser une clé provenant de la même multirégion.
Si elle n'a pas encore été créée, créez l'identité de l'agent de service Backup and DR Service. L'agent de service est créé automatiquement après la création du premier coffre-fort de sauvegarde dans un projet. Si vous devez accorder des autorisations à l'agent de service avant de créer un backup vault, vous pouvez déclencher sa création avec la commande suivante :
gcloud beta services identity create --service=backupdr.googleapis.com --project=PROJECT_ID
PROJECT_IDpar l'ID de votre projet.
Lorsque vous activez CMEK pour un coffre-fort de sauvegarde, le service Backup and DR a besoin d'une autorisation pour utiliser votre clé CMEK afin de chiffrer et déchiffrer les données. Cette autorisation doit être accordée à l'agent de service Backup and DR Service.
Il est important de faire la distinction entre les deux comptes de service utilisés par le service Backup and DR :
- Agent de service Backup and DR Service : il s'agit d'un compte de service au niveau du projet utilisé pour gérer les ressources Backup and DR Service et pour accéder aux clés Cloud Key Management Service lorsque CMEK est activé sur un coffre de sauvegarde. Il s'agit de l'agent de service qui nécessite le rôle
roles/cloudkms.cryptoKeyEncrypterDecryptersur la clé CMEK. - Compte de service du parc de sauvegarde : il s'agit d'un compte de service unique par parc auquel vous accordez des autorisations pour accéder aux charges de travail sources (telles que les instances Compute Engine) et les sauvegarder. Ce compte de service n'est pas utilisé pour le chiffrement CMEK des données dans le coffre-fort de sauvegarde.
Pour utiliser CMEK avec le service Backup and DR, vous devez attribuer le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) à l'agent de service Backup and DR. Cet agent de service est un compte de service utilisé par le service Backup and DR pour accéder aux ressources en votre nom, y compris à votre clé Cloud Key Management Service lors des opérations de chiffrement et de déchiffrement.
L'agent de service Backup and DR Service est nommé au format suivant :
service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com
Remplacez VAULT_PROJECT_NUMBER par le numéro du projet contenant votre coffre-fort de sauvegarde.
Vous pouvez attribuer ce rôle au moment de la création du parc de sauvegarde à l'aide de la console Google Cloud si vous disposez des autorisations nécessaires pour attribuer des rôles IAM. Vous pouvez également l'attribuer à l'avance à l'aide de la commande gcloud kms keys add-iam-policy-binding :
gcloud kms keys add-iam-policy-binding KEY_NAME \
--location=KMS_LOCATION \
--keyring=KEY_RING \
--member=serviceAccount:service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Autorisations pour sauvegarder les ressources protégées par CMEK
Si vous sauvegardez une ressource elle-même chiffrée avec une autre clé CMEK, comme une instance Compute Engine avec des disques chiffrés par une clé CMEK, des autorisations supplémentaires sont requises. L'agent de service du service de la ressource source doit être autorisé à utiliser la ou les clés protégeant la ressource source. Par exemple, pour sauvegarder une instance Compute Engine chiffrée avec une clé CMEK, l'agent de service Compute Engine du projet de l'instance source doit disposer du rôle roles/cloudkms.cryptoKeyEncrypterDecrypter sur la ou les clés Cloud Key Management Service utilisées pour chiffrer les disques de l'instance. Dans la plupart des cas, cette autorisation est déjà en place pour que la charge de travail source soit opérationnelle.
Rotation des clés Cloud Key Management Service et restauration des sauvegardes
Les sauvegardes du service Backup and DR dépendent de la disponibilité de la clé Cloud Key Management Service. Il est possible que le service Backup and DR ne puisse pas accéder aux ressources protégées par cette clé.
Si le service Backup and DR ne peut pas accéder à votre clé CMEK :
- Les nouvelles sauvegardes dans le coffre de sauvegarde compatible avec les CMEK échouent.
- Les restaurations à partir du coffre de sauvegarde avec CMEK activé échouent.
- Vous ne pouvez pas créer de coffres-forts de sauvegarde qui utilisent la clé indisponible.
Si vous avez désactivé une clé utilisée pour les sauvegardes, sa réactivation permet de restaurer l'accès aux données de sauvegarde. Si vous avez détruit une version de clé, toutes les sauvegardes chiffrées avec cette version sont définitivement perdues.
Tarifs
Le service Backup and DR ne facture aucun frais supplémentaire pour l'utilisation de CMEK. Toutefois, l'utilisation de vos clés dans Cloud Key Management Service vous est facturée. Pour en savoir plus, consultez les tarifs de Cloud Key Management Service.