Looker Studio s'appelle désormais Data Studio. En savoir plus sur ce changement

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Clés de chiffrement gérées par le client (CMEK)

Par défaut, Data Studio chiffre le contenu client au repos. Data Studio gère le chiffrement pour vous sans que vous ayez à effectuer d'actions supplémentaires. Cette option est appelée chiffrement par défaut de Google.

Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Data Studio. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Grâce à Cloud KMS, vous pouvez également afficher les journaux d'audit et contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.

Une fois que vous avez configuré vos ressources avec des CMEK, l'expérience d'accès à vos ressources Data Studio est semblable à celle du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).

Avec les CMEK, vous pouvez utiliser vos propres clés cryptographiques pour chiffrer les données Data Studio Pro au repos. L'utilisation de CMEK vous offre un contrôle supplémentaire sur vos données et vous aide à respecter les réglementations de conformité internes ou externes.

CMEK et stockage géré par le client

Si vous activez les CMEK, vous devez également activer l'option de stockage géré par le client de Data Studio Pro, qui vous permet d'utiliser Cloud Storage et BigQuery pour stocker des données dans le projet Data Studio Pro Google Cloud. Data Studio Pro utilise vos clés Cloud Key Management Service pour protéger les ressources telles que les configurations de rapports et de sources de données, ainsi que les e-mails programmés. Pour les extractions de données et les importations de fichiers stockés dans votre Google Cloud projet, vous pouvez protéger vos données en appliquant des CMEK à vos Google Cloud ressources de stockage.

Avant de commencer

Pour activer et utiliser les CMEK, vous devez remplir les conditions préalables suivantes :

Vous ne pouvez activer les CMEK que lorsque vous créez un abonnement Data Studio Pro.
Pour activer les CMEK, vous devez également activer et configurer le stockage géré par le client. Pour le stockage géré par le client, vous devez fournir un bucket Cloud Storage et un ensemble de données BigQuery dans votre Google Cloud projet afin que Data Studio Pro puisse les utiliser pour stocker les extractions de données et les importations de fichiers. Pour protéger les données stockées dans ces ressources, vous pouvez leur appliquer des configurations CMEK.
Pour activer les CMEK, vous devez également activer et configurer un emplacement de données.
Vous devez disposer d'une clé de chiffrement symétrique dans Cloud KMS à utiliser pour les CMEK. Cette clé doit se trouver dans la même région que celle que vous sélectionnez pour l'emplacement des données.
Vous devez disposer des rôles IAM nécessaires pour créer des clés dans Cloud KMS. Pour en savoir plus, consultez la section Rôles requis.

Activer les CMEK pour un abonnement

Vous ne pouvez activer les CMEK que lorsque vous créez un abonnement Data Studio Pro. Vous ne pouvez pas activer les CMEK pour un abonnement Pro existant.

Pour activer les CMEK, procédez comme suit lorsque vous créez un abonnement Data Studio Pro :

Lorsque vous y êtes invité, sélectionnez Utiliser une clé de chiffrement gérée par le client.
Saisissez ou collez le nom de ressource de la clé dans le champ Nom de ressource de la clé.
Accordez au compte de service Data Studio Pro affiché dans l'interface utilisateur le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS dans Cloud KMS.
Cliquez sur Suivant pour poursuivre la configuration de l'abonnement.

Éléments chiffrés avec les CMEK

Lorsque vous activez les CMEK pour votre abonnement Data Studio Pro, le chiffrement du contenu client est géré de deux manières :

Données chiffrées par Data Studio Pro à l'aide de votre clé Cloud KMS : Data Studio Pro utilise la clé que vous avez spécifiée pour chiffrer les données telles que les configurations de rapports et de sources de données, ainsi que les e-mails programmés.
Données stockées dans votre Google Cloud projet : l'activation des CMEK nécessite l'utilisation du stockage géré par le client. Les types de données suivants sont stockés dans les ressources Cloud Storage et BigQuery que vous fournissez :
- Extractions de données
- Importations de fichiers CSV et Excel Ces ressources sont chiffrées à l'aide des configurations CMEK que vous leur appliquez dans Cloud Storage et BigQuery. Data Studio Pro n'applique pas automatiquement les CMEK à ces ressources lorsque vous les activez pour votre abonnement.

Gestion des clés

En tant qu'administrateur de la sécurité ou de la conformité, vous pouvez effectuer des tâches de gestion des clés à l'aide de Cloud KMS. Data Studio Pro appelle Cloud KMS pour toutes les opérations de chiffrement et de déchiffrement.

Vous pouvez effectuer les tâches de gestion des clés suivantes :

Révocation des clés : vous pouvez révoquer l'accès de Data Studio Pro à une clé pour rendre vos données immédiatement indisponibles.
Audit : vous pouvez inspecter les journaux d'accès aux clés dans Cloud KMS pour auditer chaque opération dans laquelle vos clés ont été utilisées pour chiffrer ou déchiffrer des données.

Rotation des clés

Lorsque vous effectuez la rotation de votre clé, Cloud KMS crée une nouvelle version de la clé qui est utilisée pour chiffrer les nouveaux composants. Les composants existants ne sont pas rechiffrés et continuent d'être protégés par la version de clé avec laquelle ils ont été chiffrés. Data Studio Pro n'est pas compatible avec le rechiffrement des composants existants avec la nouvelle version de clé.

Étant donné que les versions de clé précédentes sont toujours nécessaires pour accéder aux composants existants qui ont été chiffrés avec elles, vous ne devez pas supprimer ni désactiver les versions de clé précédentes, sauf si votre objectif est de supprimer définitivement l'accès à ces composants. La suppression ou la désactivation d'une version de clé qui protège des données rendra ces données inaccessibles.

Si votre clé CMEK devient indisponible (par exemple, si vous la désactivez ou la supprimez), Data Studio Pro renverra des messages d'erreur au lieu d'afficher les rapports ou les sources de données qui utilisent les données chiffrées. Toutes les données conservées en mémoire sont supprimées dans les 15 minutes suivant la détection d'une clé désactivée. La page d'accueil de Data Studio reste accessible, car elle ne contient pas de contenu client.

Quotas Cloud KMS et Data Studio

Lorsque vous utilisez la fonctionnalité CMEK dans Data Studio, vos projets peuvent consommer des quotas de requêtes de chiffrement Cloud KMS. Chaque fois que Data Studio Pro utilise l'une de vos clés pour chiffrer ou déchiffrer des données, cette opération est comptabilisée dans le quota de votre projet.

Les opérations de chiffrement et de déchiffrement utilisant des clés CMEK affectent les quotas de Cloud KMS de différentes manières :

Pour les clés logicielles CMEK générées dans Cloud KMS, aucun quota Cloud KMS n'est consommé.
Pour les clés CMEK matérielles (parfois appelées "clés Cloud HSM"), les opérations de chiffrement et de déchiffrement sont comptabilisées dans les quotas Cloud HSM du projet qui contient la clé.
Pour les clés CMEK externes (parfois appelées "clés Cloud EKM"), les opérations de chiffrement et de déchiffrement sont comptabilisées dans les quotas Cloud EKM du projet qui contient la clé.

Pour en savoir plus, consultez Quotas Cloud KMS.

Limites du chiffrement CMEK

Les CMEK présentent les limites suivantes :

Vous ne pouvez activer les CMEK que lorsque vous créez un abonnement Data Studio Pro. Vous ne pouvez pas activer ni désactiver les CMEK pour un abonnement existant.
Vous ne pouvez déplacer du contenu d'un projet compatible avec les CMEK que vers un autre projet disposant d'un abonnement Data Studio Pro actif.
Si vous passez de Data Studio Pro à la version sans frais de Data Studio ou si votre abonnement est résilié, les fonctionnalités CMEK continueront de fonctionner pendant un délai de grâce de 30 jours. Après cela, les sources de données créées à l'aide des CMEK seront supprimées.
Si vous passez de Data Studio Pro à la version sans frais de Data Studio ou si votre abonnement est résilié, vous devez attendre 30 jours avant de pouvoir réutiliser le même Google Cloud projet pour créer un abonnement Data Studio Pro.

Étape suivante

En savoir plus sur CMEK.
Découvrez Cloud KMS.