Présentation d'Autokey

Cloud KMS Autokey simplifie la création et l'utilisation de clés de chiffrement gérées par le client (CMEK) en automatisant le provisionnement et l'attribution. Avec Autokey, les trousseaux de clés et les clés sont générés à la demande. Les comptes de service qui utilisent les clés pour chiffrer et déchiffrer les ressources sont créés et se voient attribuer des rôles Identity and Access Management (IAM) si nécessaire. Les administrateurs Cloud KMS conservent un contrôle et une visibilité complets sur les clés créées par Autokey, sans qu'il soit nécessaire de planifier et de créer chaque ressource à l'avance. L'utilisation d'Autokey est plus simple que le provisionnement manuel des clés. Il s'agit du choix recommandé si les clés créées par Autokey répondent à toutes vos exigences.

L'utilisation de clés générées par Autokey peut vous aider à vous conformer aux normes du secteur et aux pratiques recommandées en matière de sécurité des données, y compris le niveau de protection Multi-tenant Cloud HSM, la séparation des tâches, la rotation des clés, l'emplacement et la spécificité des clés. Autokey crée des clés qui suivent à la fois des consignes générales et des consignes spécifiques au type de ressource pour Google Cloud les services qui s'intègrent à Cloud KMS Autokey. Une fois créées, les clés demandées à l'aide d'Autokey fonctionnent de la même manière que les autres clés Cloud HSM avec les mêmes paramètres.

Autokey peut également simplifier l'utilisation de Terraform pour la gestion des clés, ce qui évite d'exécuter l'infrastructure sous forme de code avec des droits de création de clés élevés.

Vous pouvez utiliser Autokey avec un modèle de gestion centralisée des clés (disponibilité générale) ou un modèle de gestion déléguée des clés (aperçu). Pour utiliser le modèle de gestion centralisée des clés, vous devez disposer d'une ressource Organisation contenant une ressource Dossier. Dans le modèle centralisé, Autokey est activé pour les projets d'un dossier, et les clés créées par Autokey sont créées dans un projet de clé dédié à ce dossier. Avec le modèle de gestion déléguée des clés, la gestion des clés est déléguée aux administrateurs de projet, qui peuvent activer Autokey sur un dossier ou un projet pour permettre à Autokey de créer des clés dans le même projet que les ressources qu'elles protègent.

Pour en savoir plus sur les ressources Organisation et Dossier, consultez la page Hiérarchie des ressources.

Cloud KMS Autokey est disponible dans tous les Google Cloud emplacements où Cloud HSM est disponible. Pour en savoir plus sur les emplacements Cloud KMS, consultez la page Emplacements Cloud KMS. L'utilisation de Cloud KMS Autokey n'entraîne aucun coût supplémentaire. Les clés créées à l'aide d'Autokey sont facturées au même prix que les autres clés Cloud HSM. Pour en savoir plus sur les tarifs, consultez la page Tarifs de Cloud Key Management Service.

Fonctionnement d'Autokey

Cette section explique le fonctionnement de Cloud KMS Autokey. Les rôles utilisateur suivants participent à ce processus :

Administrateur

L'administrateur est un utilisateur responsable de la gestion de la sécurité au niveau du dossier ou de l'organisation.

Développeur Autokey

Le développeur Autokey est un utilisateur responsable de la création de ressources à l'aide de Cloud KMS Autokey.

Administrateur Cloud KMS

L'administrateur Cloud KMS est un utilisateur responsable de la gestion des ressources Cloud KMS. Ce rôle a moins de responsabilités lorsqu'il utilise Autokey que lorsqu'il utilise des clés créées manuellement.

Les agents de service suivants participent également à ce processus :

Agent de service Cloud KMS

L'agent de service pour Cloud KMS dans un projet de clé donné. Autokey dépend de cet agent de service qui dispose de droits élevés pour créer des clés et des trousseaux de clés Cloud KMS, et pour définir une stratégie IAM sur les clés, en accordant des autorisations de chiffrement et de déchiffrement pour chaque agent de service de ressource.

Agent de service de ressource

L'agent de service pour un service donné dans un projet de ressource donné. Cet agent de service doit disposer d'autorisations de chiffrement et de déchiffrement sur n'importe quelle clé Cloud KMS avant de pouvoir l'utiliser pour la protection CMEK sur une ressource. Autokey crée l'agent de service de ressource si nécessaire et lui accorde les autorisations nécessaires pour utiliser la clé Cloud KMS.

L'administrateur active Cloud KMS Autokey

L'activation d'Autokey suit l'un des chemins suivants en fonction du modèle de gestion des clés choisi :

1. Modèle de gestion centralisée des clés : activez Autokey sur un dossier. Un projet de clé centralisé est créé pour contenir les clés qui protègent les ressources créées dans d'autres projets du dossier.
2. Modèle de gestion déléguée des clés (aperçu) : vous pouvez activer Autokey sur des projets individuels ou pour tous les projets d'un dossier afin d'utiliser Autokey dans le même projet.

Activer la gestion centralisée des clés

Avant de pouvoir utiliser Autokey pour la gestion centralisée des clés dans un dossier, un administrateur doit effectuer les tâches de configuration uniques suivantes :

1. Activez Cloud KMS Autokey sur un dossier et identifiez le projet Cloud KMS qui contiendra les ressources Autokey pour ce dossier.

2. Créez l'agent de service Cloud KMS, puis accordez lui des droits de création et d'attribution de clés.

Une fois cette configuration terminée, les développeurs qui peuvent créer des ressources compatibles avec Autokey dans n'importe quel projet de ce dossier peuvent désormais déclencher la création de clés Multi-tenant Cloud HSM à la demande. Pour obtenir des instructions de configuration complètes pour Cloud KMS Autokey, consultez Activer Cloud KMS Autokey.

Activer la gestion déléguée des clés

Avant de pouvoir utiliser Autokey pour la gestion déléguée des clés, un administrateur doit effectuer les tâches de configuration uniques suivantes :

1. Activez Cloud KMS Autokey sur un projet ou un dossier.
2. Activez l'API Cloud KMS sur ce projet ou sur les projets du dossier.

Lorsque Cloud KMS Autokey est activé sur un projet pour la gestion déléguée des clés, l'agent de service Cloud KMS est créé pour vous si nécessaire. Vous n'avez pas besoin de créer manuellement l'agent de service. Tout utilisateur disposant des autorisations nécessaires pour créer une ressource compatible avec Autokey peut demander une nouvelle clé à la demande. Pour obtenir des instructions de configuration complètes pour Cloud KMS Autokey, consultez Activer Cloud KMS Autokey.

Les développeurs Autokey utilisent Cloud KMS Autokey

Une fois Autokey activé pour un projet, les développeurs Autokey peuvent créer des ressources protégées à l'aide de clés créées pour eux à la demande. Cela s'applique aux projets d'un dossier dans lequel Autokey est activé pour la gestion centralisée des clés, ainsi qu'aux projets dans lesquels Autokey est activé pour la gestion déléguée des clés dans le même projet. Les détails du processus de création de ressources dépendent de la ressource que vous créez, mais le processus suit ce flux :

1. Le développeur Autokey commence à créer une ressource dans un service compatible Google Cloud . Lors de la création de la ressource, le développeur demande une nouvelle clé à l'agent de service Autokey.

2. L'agent de service Autokey reçoit la requête du développeur et effectue les étapes suivantes :

   1. Créez un trousseau de clés dans le projet à l'emplacement sélectionné, sauf si ce trousseau de clés existe déjà.
   2. Créez une clé dans le trousseau de clés avec la granularité appropriée pour le type de ressource, sauf si une telle clé existe déjà.
   3. Créez le compte de service par projet et par service, sauf si ce compte de service existe déjà.
   4. Accordez au compte de service par projet et par service des autorisations de chiffrement et de déchiffrement sur la clé.
   5. Fournissez les détails de la clé au développeur afin qu'il puisse terminer la création de la ressource.

3. Une fois les détails de la clé renvoyés par l'agent de service Autokey, le développeur peut immédiatement terminer la création de la ressource protégée.

Cloud KMS Autokey crée des clés qui possèdent les attributs décrits dans la section suivante. Ce flux de création de clés préserve la séparation des tâches. L'administrateur Cloud KMS continue de disposer d'une visibilité et d'un contrôle complets sur les clés créées par Autokey.

Pour commencer à utiliser Autokey après l'avoir activé, consultez Créer des ressources protégées à l'aide de Cloud KMS Autokey.

À propos des clés créées par Autokey

Les clés créées par Cloud KMS Autokey présentent les attributs suivants :

• Niveau de protection : HSM.
• Algorithme : AES-256 GCM.

• Période de rotation : un an.

  Une fois qu'une clé est créée par Autokey, un administrateur Cloud KMS peut modifier la période de rotation par défaut.

• Séparation des tâches :
  • Le compte de service du service reçoit automatiquement des autorisations de chiffrement et de déchiffrement sur la clé.
  • Les autorisations d'administrateur Cloud KMS s'appliquent comme d'habitude aux clés créées par Autokey. Les administrateurs Cloud KMS peuvent afficher, mettre à jour, activer ou désactiver, et détruire les clés créées par Autokey. Les administrateurs Cloud KMS ne disposent pas d'autorisations de chiffrement et de déchiffrement.
  • Les développeurs Autokey ne peuvent demander que la création et l'attribution de clés. Ils ne peuvent pas afficher ni gérer les clés.
• **Spécificité ou granularité des clés** : les clés créées par Autokey ont une granularité qui varie selon le type de ressource. Pour obtenir des informations spécifiques au service sur la granularité des clés, consultez Services compatibles sur cette page.

• Emplacement : Autokey crée des clés au même emplacement que la ressource à protéger.

  Si vous devez créer des ressources protégées par des clés CMEK dans des emplacements où Cloud HSM n'est pas disponible, vous devez créer vos clés CMEK manuellement.

• État de la version de clé : les clés nouvellement créées demandées à l'aide d'Autokey sont créées en tant que version de clé primaire à l'état activé.
• Nommage des trousseaux de clés : toutes les clés créées par Autokey sont créées dans un trousseau de clés appelé autokey dans le projet Autokey à l'emplacement sélectionné. Les trousseaux de clés de votre projet Autokey sont créés lorsqu'un développeur Autokey demande la première clé dans un emplacement donné.
• Nommage des clés : les clés créées par Autokey suivent cette convention d'attribution de noms : PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
• Exportation de clés : comme toutes les clés Cloud KMS, les clés créées par Autokey ne peuvent pas être exportées.
• Suivi des clés : comme toutes les clés Cloud KMS utilisées dans les services intégrés aux CMEK compatibles avec le suivi des clés, les clés créées par Autokey sont suivies dans le tableau de bord Cloud KMS.

Appliquer Autokey

Si vous souhaitez appliquer l'utilisation d'Autokey dans un dossier ou un projet, vous pouvez le faire en combinant les contrôles d'accès IAM avec les stratégies d'organisation CMEK. Pour ce faire, supprimez les autorisations de création de clés des principaux autres que l'agent de service Autokey, puis exigez que toutes les ressources soient protégées par des clés CMEK à l'aide du projet de clé Autokey. Pour obtenir des instructions détaillées sur l'application de l'utilisation d'Autokey, consultez Appliquer l'utilisation d'Autokey.

Services compatibles

Le tableau suivant répertorie les services compatibles avec Cloud KMS Autokey :

Service	Ressources protégées	Granularité de la clé
Artifact Registry	artifactregistry.googleapis.com/Repository Autokey crée des clés lors de la création du dépôt, utilisées pour tous les artefacts stockés.	Une clé par ressource
BigQuery	bigquery.googleapis.com/Dataset Autokey crée des clés par défaut pour les ensembles de données. Les tables, les modèles, les requêtes et les tables temporaires d'un ensemble de données utilisent la clé par défaut de l'ensemble de données. Autokey ne crée pas de clés pour les ressources BigQuery autres que les ensembles de données. Pour protéger les ressources qui ne font pas partie d'un ensemble de données, vous devez créer vos propres clés par défaut au niveau du projet ou de l'organisation.	Une clé par ressource
Bigtable	bigtableadmin.googleapis.com/Cluster Autokey crée des clés pour les clusters. Autokey ne crée pas de clés pour les ressources Bigtable autres que les clusters. Bigtable n'est compatible avec Cloud KMS Autokey que lors de la création de ressources à l'aide de Terraform ou de Google Cloud SDK.	Une clé par cluster
AlloyDB pour PostgreSQL	alloydb.googleapis.com/Cluster alloydb.googleapis.com/Backup AlloyDB pour PostgreSQL n'est compatible avec Cloud KMS Autokey que lors de la création de ressources à l'aide de Terraform ou de l'API REST.	Une clé par ressource
Cloud Run	run.googleapis.com/Service run.googleapis.com/Job	Une clé par emplacement dans un projet
Cloud SQL	sqladmin.googleapis.com/Instance Autokey ne crée pas de clés pour les ressources Cloud SQL BackupRun. Lorsque vous créez une sauvegarde d'une instance Cloud SQL, elle est chiffrée avec la clé gérée par le client de l'instance principale. Cloud SQL n'est compatible avec Cloud KMS Autokey que lors de la création de ressources à l'aide de Terraform ou de l'API REST.	Une clé par ressource
Cloud Storage	storage.googleapis.com/Bucket Les objets d'un bucket de stockage utilisent la clé par défaut du bucket. Autokey ne crée pas de clés pour les ressources storage.object.	Une clé par bucket
Compute Engine	compute.googleapis.com/Disk compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/MachineImage Les instantanés utilisent la clé du disque dont vous créez un instantané. Autokey ne crée pas de clés pour les compute.snapshot ressources.	Une clé par ressource
Pub/Sub	pubsub.googleapis.com/Topic	Une clé par ressource
Secret Manager	secretmanager.googleapis.com/Secret Secret Manager n'est compatible avec Cloud KMS Autokey que lors de la création de ressources à l'aide de Terraform ou de l'API REST.	Une clé par emplacement dans un projet
Secure Source Manager	securesourcemanager.googleapis.com/Instance	Une clé par ressource
Spanner	spanner.googleapis.com/Database Spanner n'est compatible avec Cloud KMS Autokey que lors de la création de ressources à l'aide de Terraform ou de l'API REST.	Une clé par ressource
Dataflow	dataflow.googleapis.com/Job	Une clé par ressource
Managed Service pour Apache Spark	dataproc.googleapis.com/Cluster dataproc.googleapis.com/SessionTemplate dataproc.googleapis.com/WorkflowTemplate dataproc.googleapis.com/Batch dataproc.googleapis.com/Session	Pour les ressources Cluster, SessionTemplate et WorkflowTemplate ressources : une clé par ressource Pour les ressources Batch et Session : une clé par emplacement dans un projet

Limites

• Gcloud CLI n'est pas disponible pour les ressources Autokey.
• Les handles de clé ne se trouvent pas dans l'inventaire des éléments cloud.

Étape suivante

• Pour commencer à utiliser Cloud KMS Autokey, un administrateur doit activer Cloud KMS Autokey.
• Pour utiliser Cloud KMS Autokey une fois qu'il a été activé, un développeur peut créer des ressources protégées par des clés CMEK à l'aide d'Autokey.
• Découvrez les bonnes pratiques concernant les clés CMEK.