Rotation des clés CMEK

Les clés de chiffrement gérées par le client (CMEK) vous permettent de protéger les données dans lesGoogle Cloud services compatibles à l'aide d'une clé cryptographique que vous contrôlez dans Cloud KMS. Vous pouvez configurer la rotation automatique des clés selon un calendrier défini ou les faire tourner manuellement. Ce document explique ce qui se passe dans un service intégré à CMEK lorsque la clé Cloud KMS sous-jacente est alternée.

Fonctionnement de la rotation des clés avec CMEK

Lorsque vous effectuez une rotation de clé dans Cloud KMS, Cloud KMS crée une version de clé. La nouvelle version de clé devient la version principale et peut être utilisée pour chiffrer les clés de chiffrement de données (DEK) qui protègent vos données. Les versions de clé précédentes restent actives et sont disponibles pour déchiffrer les DEK qui ont été chiffrées avec elles. Ce processus garantit que vous pouvez toujours accéder à vos anciennes données.

La rotation des clés est gérée différemment selon les services intégrés aux CMEK, mais il existe trois principaux schémas :

  • La nouvelle version de clé protège toutes les données : lorsque le service détecte qu'une nouvelle version de clé est devenue principale, il rechiffre automatiquement les DEK qui ont été chiffrées avec la version de clé précédente. Les DEK qui protègent à la fois les nouvelles données et les données existantes sont chiffrées avec la version actuelle de la clé principale. Le re-chiffrement des clés de chiffrement des données existantes peut prendre un certain temps, mais la version précédente de la clé n'est ensuite plus utilisée.
  • La nouvelle version de clé est utilisée à partir de maintenant : lorsque le service détecte qu'une nouvelle version de clé est devenue principale, les demandes de chiffrement ultérieures utilisent la nouvelle version de clé. Les DEK qui protègent les données de cette ressource utilisent un mélange de versions de clé actuelles et précédentes.
  • La nouvelle version de clé n'est pas utilisée : le service continue de chiffrer les clés de chiffrement de données avec la version de clé d'origine qui a été configurée lors de la création de la ressource, qu'il existe ou non de nouvelles versions de clé principale.

Comportement spécifique aux services après la rotation des clés

Le tableau suivant présente le comportement de rotation spécifique aux services pour les ressources pouvant être protégées par des CMEK. Le tableau suivant décrit les détails de la rotation pour chaque type de ressource ou ensemble de types de ressources :

  • Peut hériter d'une clé : indique si la ressource peut hériter d'une clé d'une ressource parente.
  • Peut utiliser une clé unique : indique si la ressource peut utiliser sa propre clé unique, et non une clé héritée d'une ressource parente.
  • Peut modifier la clé : indique si vous pouvez sélectionner une nouvelle clé CMEK pour protéger la ressource pendant que vous la mettez à jour.
  • Nouvelles données : indique si les nouvelles DEK sont chiffrées avec la version principale de la clé ou avec la version principale d'origine lorsque CMEK a été configuré pour la ressource.
  • Données existantes : indique si les DEK existantes sont rechiffrées avec la version de clé primaire ou restent chiffrées avec la version de clé d'origine qui était primaire lorsque CMEK a été configuré pour la ressource.
Filtrer par :

Services et ressources Peut hériter de la clé Peut utiliser une clé unique Peut changer de clé Nouvelles données Données existantes

Application Integration

  • integrations.googleapis.com/IntegrationVersion
  • integrations.googleapis.com/AuthConfig
  • integrations.googleapis.com/Execution
  • integrations.googleapis.com/Suspension
  • integrations.googleapis.com/TestCase
  • integrations.googleapis.com/Template
 Non Oui Oui Utilise la nouvelle version de clé primaire Utilise la version de clé d'origine

Cloud Storage

  • storage.googleapis.com/Bucket
 Non Oui Oui Utilise la nouvelle version de clé primaire Utilise la nouvelle version de clé primaire

Cloud Storage

  • storage.googleapis.com/Object
 Oui Oui Non N/A : cette ressource est immuable. Utilise la version de clé d'origine

Customer Experience Insights

  • contactcenterinsights.googleapis.com/*
 Oui Non Non Inconnu Inconnu

Filestore

  • file.googleapis.com/instance
  • file.googleapis.com/backup
 Non Oui Non Utilise la nouvelle version de clé primaire Utilise la version de clé d'origine

Firestore

  • firestore.googleapis.com/Database
  • datastore.googleapis.com/Database
 Non Oui Non Utilise la nouvelle version de clé primaire Utilise la nouvelle version de clé primaire

Gemini Code Assist

  • cloudaicompanion.googleapis.com/CodeRepositoryIndex
 Non Oui Non Utilise la version de clé d'origine Utilise la version de clé d'origine

Pub/Sub

  • pubsub.googleapis.com/Topic
 Non Oui Oui Utilise la nouvelle version de clé primaire Utilise la version de clé d'origine

Speech-to-Text

  • speech.googleapis.com/Config
 Non Oui Oui Utilise la nouvelle version de clé primaire Utilise la version de clé d'origine

Speech-to-Text

  • speech.googleapis.com/CustomClass
  • speech.googleapis.com/Endpoint
  • speech.googleapis.com/Model
  • speech.googleapis.com/PhraseSet
  • speech.googleapis.com/Recognizer
 Oui Non Oui Utilise la nouvelle version de clé primaire Utilise la version de clé d'origine

Étapes suivantes