Cette page a été traduite par l'API Cloud Translation.

Système de gestion des clés

Le service Key Management System (KMS) gère de manière centralisée les clés cryptographiques et s'exécute sur le serveur de l'API Management.

Cette page s'adresse aux membres du groupe des administrateurs de plate-forme, tels que les administrateurs informatiques ou les ingénieurs en sécurité, qui sont chargés de gérer et d'utiliser les clés de chiffrement dans Google Distributed Cloud (GDC) air-gapped. Pour en savoir plus, consultez la documentation sur les audiences pour GDC air-gapped.

Clés acceptées

KMS accepte les clés suivantes pour ses opérations de plan de données :

Primitive de clé Primitive de clé (API) Description Algorithme par défaut

Primitive de clé	Primitive de clé (API)	Description	Algorithme par défaut
`AEAD`	`aeadkey`	Clé de chiffrement authentifié avec données associées (`AEAD`) qui effectue le chiffrement authentifié à l'aide de `AES-256`. Les composants de la clé représentent les éléments suivants : `AES-256` : algorithme de clé symétrique AES (Advanced Encryption Standard) 256 bits. Il s'agit de l'algorithme par défaut.	`AES_256_GCM`
`Signing`	`signingkey`	Clé de signature permettant la signature asymétrique à l'aide de la prise en charge de la courbe elliptique. Les composants de la clé représentent les éléments suivants : `EC` : clé à courbe elliptique. `P384` : taille de la courbe EC. `SHA384` : algorithme de condensé utilisé pour la signature. Cet algorithme est l'algorithme par défaut.	`EC_SIGN_P384_SHA384`

AEAD

aeadkey

Clé de chiffrement authentifié avec données associées (AEAD) qui effectue le chiffrement authentifié à l'aide de AES-256.

Les composants de la clé représentent les éléments suivants :

AES-256 : algorithme de clé symétrique AES (Advanced Encryption Standard) 256 bits. Il s'agit de l'algorithme par défaut.

AES_256_GCM

Signing

signingkey

Clé de signature permettant la signature asymétrique à l'aide de la prise en charge de la courbe elliptique.

Les composants de la clé représentent les éléments suivants :

EC : clé à courbe elliptique.

P384 : taille de la courbe EC.

SHA384 : algorithme de condensé utilisé pour la signature. Cet algorithme est l'algorithme par défaut.

EC_SIGN_P384_SHA384

Types de clés racine

Le KMS utilise des clés racine en interne pour chiffrer le matériel de clé avant de l'écrire sur le disque, et le déchiffre lors de la lecture à partir du disque. Le KMS récupère la clé racine pour chaque opération.

Le KMS n'accepte qu'une seule clé racine par organisation, qui est créée automatiquement lors du déploiement d'un KMS. La clé racine encapsule toutes les clés non racines. Utilisez le champ RootKeyID sur chaque clé pour identifier la clé racine.

Si votre clé racine est compromise ou pour une rotation périodique, vous pouvez faire tourner une clé racine. Ce processus remplace l'ancienne clé racine par une nouvelle, qui devient la clé principale et encapsule toutes les clés non racines.

Type de clé racine	Type de clé racine (API)	Description
`Local Root (default)`	`kms.gdc.goog/local-root`	Le matériel cryptographique de la clé racine est stocké dans le serveur de l'API Management en tant que secret Kubernetes.

Système de gestion des clés Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Clés acceptées

Types de clés racine

Système de gestion des clés