Activer Cloud KMS Autokey

Cette page vous explique comment activer et configurer Cloud KMS Autokey pour la gestion centralisée des clés dans un dossier de ressources ou pour la gestion déléguée des clés dans des projets (aperçu). Pour en savoir plus sur Autokey, consultez Présentation d'Autokey. Ce document s'adresse aux administrateurs.

Avant de commencer

Avant de pouvoir activer KMS Autokey pour la gestion centralisée des clés à l'aide d'un projet de clés dédié pour tous les projets d'un dossier, vous devez disposer des éléments suivants :

• Ressource d'organisation contenant un dossier dans lequel vous souhaitez activer Autokey. Si vous ne disposez pas d'un dossier dans lequel vous souhaitez activer Autokey, vous pouvez créer un dossier de ressources. L'activation d'Autokey dans ce dossier l'active pour tous les projets de ressources qu'il contient.

• Si vous disposez de projets de ressources dans lesquels vous souhaitez utiliser la gestion centralisée des clés avec Autokey, mais qu'ils ne se trouvent pas dans un dossier où vous allez activer Autokey, vous pouvez déplacer les projets de ressources existants vers de nouveaux dossiers.

Avant de pouvoir activer Autokey pour les projets (aperçu) afin d'activer la gestion des clés déléguée et les clés du même projet, vous devez disposer de l'un des éléments suivants :

• Un projet Google Cloud dans lequel vous souhaitez activer Autokey et où l'autorisationkeyHandles.createn'est pas bloquée par une stratégie de refus IAM.
• Un dossier Google Cloud dans lequel vous souhaitez activer Autokey, qui contient au moins un projet dans lequel l'autorisationkeyHandles.createn'est pas bloquée par une règle de refus IAM.

Rôles requis

Pour obtenir les autorisations nécessaires pour activer et configurer Autokey, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le dossier, le projet ou une ressource parente :

• Administrateur de clés automatiques Cloud KMS (roles/cloudkms.autokeyAdmin)
• Administrateur Service Usage (roles/serviceusage.serviceUsageAdmin)
• Pour activer Autokey centralisé :
  • Administrateur IAM de dossier (roles/resourcemanager.folderIamAdmin)
  • Utilisateur du compte de facturation (roles/billing.user)

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Ces rôles prédéfinis contiennent les autorisations requises pour activer et configurer Autokey. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Choisissez comment activer Autokey

Vous pouvez activer Autokey dans votre stratégie d'infrastructure en tant que code en utilisant Terraform pour apporter les modifications de configuration requises. Si vous souhaitez utiliser Terraform pour activer Autokey, consultez Activer Autokey à l'aide de Terraform sur cette page. Si vous ne souhaitez pas utiliser Terraform, commencez par suivre les instructions de la section suivante.

Configurer Autokey pour la gestion centralisée des clés

Lorsque vous utilisez Autokey pour la gestion centralisée des clés dans un dossier, vous devez choisir un seul projet de clés pour contenir toutes les clés créées par Autokey dans ce dossier. Si vous utilisez le modèle de gestion des clés déléguée (aperçu), vous n'avez pas besoin de projet de clé dédié. Passez à Activer Autokey pour la gestion des clés déléguée.

Nous vous recommandons de créer un projet de clés pour contenir les ressources Cloud KMS créées par Autokey. Vous devez créer le projet de clé dans votre ressource d'organisation. Si vous disposez déjà d'un projet de clés que vous souhaitez utiliser pour les clés créées par Autokey, vous pouvez ignorer la section Créer un projet de clés et passer à la section Configurer le projet de clés Autokey sur cette page.

Le projet de clé peut être créé dans le même dossier où vous prévoyez d'activer Autokey. Vous ne devez pas créer d'autres ressources dans le projet de clé. Si vous essayez de créer des ressources protégées par Autokey dans le projet de clés, Autokey refuse la demande de nouvelle clé.

Si vous envisagez de migrer vers Assured Workloads à l'avenir, créez le projet de clés dans le même dossier que les ressources protégées par ces clés.

Si votre organisation utilise la contrainte de règle d'administration constraints/gcp.restrictCmekCryptoKeyProjects pour s'assurer que toutes les clés CMEK proviennent de projets de clés spécifiés, vous devez ajouter votre projet de clés à la liste des projets autorisés. Pour en savoir plus sur les règles d'administration CMEK, consultez Règles d'administration CMEK.

Créer un projet clé

Préparer le projet de clé Autokey

Activer Cloud KMS Autokey dans un dossier de ressources

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/autokeyConfig?updateMask=keyProject" \
    --request "PATCH" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --data '{"key_project": "projects/PROJECT_ID"}'

Configurer l'agent de service Cloud KMS

L'agent de service Cloud KMS pour un projet de clés crée des clés et applique des liaisons de stratégie IAM lors de la création de ressources, au nom d'un administrateur Cloud KMS humain. Pour pouvoir créer et attribuer des clés, l'agent de service Cloud KMS doit disposer des autorisations d'administrateur Cloud KMS.

1. Créez l'agent de service Cloud KMS :

   gcloud beta services identity create --service=cloudkms.googleapis.com \
       --project=PROJECT_NUMBER
   

   Remplacez PROJECT_NUMBER par le numéro du projet clé.

   Le résultat ressemble à ce qui suit :

   Service identity created: service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
   

   Le résultat de la commande indique que le compte de service Cloud EKM (avec le sous-domaine gcp-sa-ekms) a été créé. Toutefois, la commande crée également l'agent de service Cloud KMS (avec le sous-domaine gcp-sa-cloudkms), qui est l'agent de service que vous utiliserez plus tard dans ces instructions.

2. Accordez à l'agent de service les autorisations d'administrateur Cloud KMS :

   gcloud projects add-iam-policy-binding PROJECT_NUMBER \
       --role=roles/cloudkms.admin \
       --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com
   

   Remplacez PROJECT_NUMBER par le numéro du projet clé.

Activer Autokey pour la gestion déléguée des clés

Lorsque vous utilisez Autokey pour la gestion déléguée des clés, Autokey crée vos clés dans le même projet que les ressources qu'elles protègent. Les projets qui acceptent la gestion de clés déléguée avec Autokey peuvent exister dans des dossiers où Autokey est activé pour la gestion centralisée des clés. Lorsque Autokey est activé dans un projet, la configuration Autokey au niveau du projet remplace la configuration Autokey du dossier parent.

Pour activer Autokey pour un projet individuel, procédez comme suit :

1. À l'aide de l'API REST, créez le AutokeyConfig pour le projet dans lequel vous souhaitez activer Autokey :

   curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/autokeyConfig?updateMask=key_project_resolution_mode" \
       --request "PATCH" \
       --header "authorization: Bearer TOKEN" \
       --header "content-type: application/json" \
       --data '{"key_project_resolution_mode": "RESOURCE_PROJECT"}'
   

   Remplacez PROJECT_ID par l'ID du projet dans lequel vous souhaitez activer Autokey.

2. Dans la gcloud CLI, activez l'API Cloud KMS sur le projet :

   gcloud services enable cloudkms.googleapis.com
   

Pour activer Autokey pour tous les projets d'un dossier, procédez comme suit :

1. À l'aide de l'API REST, créez le AutokeyConfig pour le dossier dans lequel vous souhaitez activer Autokey pour utiliser la gestion des clés déléguée :

   curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/autokeyConfig?updateMask=key_project_resolution_mode" \
       --request "PATCH" \
       --header "authorization: Bearer TOKEN" \
       --header "content-type: application/json" \
       --data '{"key_project_resolution_mode": "RESOURCE_PROJECT"}'
   

   Remplacez FOLDER_ID par l'ID du dossier dans lequel vous souhaitez activer Autokey. Cette commande active la clé automatique dans le même projet pour tous les projets du dossier.

2. Dans la gcloud CLI, activez l'API Cloud KMS sur chaque projet dans lequel vous souhaitez utiliser Autokey pour la gestion déléguée des clés :

   gcloud services enable cloudkms.googleapis.com
   

   Vous pouvez activer l'API Cloud KMS sur chaque projet en une seule fois ou l'activer sur des projets individuels selon vos besoins. Vos développeurs ne peuvent pas utiliser Autokey dans le projet tant que l'API Cloud KMS n'est pas activée pour ce projet.

Activer Autokey à l'aide de Terraform

Gestion centralisée des clés avec Terraform

L'exemple Terraform suivant automatise les étapes de configuration suivantes :

• Créer un dossier de ressources
• Créer un projet clé
• Accorder des autorisations aux utilisateurs
• Configurer l'agent de service Cloud KMS
• Activer Autokey

Vous devez créer des projets de ressources séparément dans le dossier de ressources.

variable "organization_ID" {
  description = "Your Google Cloud Org ID"
  type        = string
  default     = "ORGANIZATION_ID"
}

variable "billing_account" {
  description = "Your Google Cloud Billing Account ID"
  type        = string
  default     = "BILLING_ACCOUNT_ID"
}

/* List the users who should have the authority to enable and configure
   Autokey at a folder level */
variable "autokey_folder_admins" {
  type    = list(string)
  default = [AUTOKEY_ADMIN_USER_IDS]
}

/* List the users who should have the authority to protect their resources
   with Autokey */
variable "autokey_folder_users" {
  type    = list(string)
  default = [AUTOKEY_DEVELOPER_USER_IDS]
}

/* List the users who should have the authority to manage crypto operations in
   the Autokey key project */
variable "autokey_project_kms_admins" {
  type    = list(string)
  default = [KEY_PROJECT_ADMIN_USER_IDS]
}

/* The project ID to use for the key project. The project ID must be 6 to 30
   characters with lowercase letters, digits, hyphens. The project ID must start
   with a letter. Trailing hyphens are prohibited */
variable "key_management_project_ID" {
  description = "Sets the project ID for the Key Management Project. This project will contain the Key Rings and Keys generated by Cloud KMS Autokey"
  type        = string
  default     = "KEY_PROJECT_ID"
}

# Create a new folder
resource "google_folder" "autokey_folder" {
  parent       = "organizations/${var.organization_ID}"
  display_name = "autokey_folder"
}

# Set permissions for key admins to use Autokey in this folder
resource "google_folder_iam_binding" "autokey_folder_admin" {
  folder  = google_folder.autokey_folder.name
  role    = "roles/cloudkms.autokeyAdmin"
  members = var.autokey_folder_admins
}

# Set permissions for users to protect resources with Autokey in this folder
resource "google_folder_iam_binding" "autokey_folder_users" {
  folder  = google_folder.autokey_folder.name
  role    = "roles/cloudkms.autokeyUser"
  members = var.autokey_folder_users
}

# Create a key project to store keys created by Autokey
 resource "google_project" "key_management_project" {
  project_id      = var.key_management_project_ID
  name            = var.key_management_project_ID
  billing_account = var.billing_account
  folder_id       = google_folder.autokey_folder.name
}

output "project_number" {
  value = google_project.key_management_project.number
}

# Grant role for Cloud KMS admins to use Autokey in the key project
resource "google_project_iam_binding" "autokey_project_admin" {
  project    = google_project.key_management_project.project_id
  role       = "roles/cloudkms.admin"
  members    = var.autokey_project_kms_admins
  depends_on = [ google_project.key_management_project ]
}

# Enable the Cloud KMS API in the key project
resource "google_project_service" "enable_api" {
  service                    = "cloudkms.googleapis.com"
  project                    = google_project.key_management_project.project_id
  disable_on_destroy         = false
  disable_dependent_services = false
  depends_on                 = [google_project.key_management_project]
}

# Create Cloud KMS service agent
resource "google_project_service_identity" "KMS_Service_Agent" {
  provider   = google-beta
  service    = "cloudkms.googleapis.com"
  project    = google_project.key_management_project.project_id
  depends_on = [google_project.key_management_project]
}

/* Grant role for the Cloud KMS service agent to use delegated
   Cloud KMS administrator permissions */
resource "google_project_iam_member" "autokey_project_admin" {
  project = google_project.key_management_project.project_id
  role    = "roles/cloudkms.admin"
  member  = "serviceAccount:service-${google_project.key_management_project.number}@gcp-sa-cloudkms.iam.gserviceaccount.com"
}

/* Enable AutokeyConfig for centralized key management in this folder */
resource "google_kms_autokey_config" "autokey_config" {
  provider    = google-beta
  folder      = google_folder.autokey_folder.folder_id
  key_project = "projects/${google_project.key_management_project.project_id}"
  key_project_resolution_mode = "DEDICATED_KEY_PROJECT"
  # For folder scope, valid values are: DEDICATED_KEY_PROJECT, RESOURCE_PROJECT, DISABLED
  # With DEDICATED_KEY_PROJECT, define the key_project as well. With RESOURCE_PROJECT,
  #   omit key_project. Keys will be created in the same project as the protected resource.
}

Remplacez les éléments suivants :

• BILLING_ACCOUNT_ID : ID de votre compte de facturation Google Cloud . L'ID du compte de facturation est une valeur alphanumérique de 18 caractères séparés par des tirets (par exemple, 010101-F0FFF0-10XX01).
• AUTOKEY_ADMIN_USER_IDS : liste des adresses e-mail des utilisateurs auxquels le rôle roles/cloudkms.autokeyAdmin doit être attribué (par exemple, "Ariel@example.com", "Charlie@example.com").
• AUTOKEY_DEVELOPER_USER_IDS : liste des adresses e-mail des utilisateurs auxquels le rôle roles/cloudkms.autokeyUser doit être attribué (par exemple, "Kalani@example.com", "Mahan@example.com").
• KEY_PROJECT_ADMIN_USER_IDS : liste des adresses e-mail des utilisateurs auxquels le rôle roles/cloudkms.admin doit être attribué, par exemple "Sasha@example.com", "Nur@example.com".
• KEY_PROJECT_ID : ID à utiliser pour le projet de clé dédiée (par exemple, autokey-key-project). Si vous spécifiez un projet clé, key_project_resolution_mode doit être DEDICATED_KEY_PROJECT.

Gestion déléguée des clés avec Terraform

Pour activer Autokey sur tous les projets d'un dossier pour la gestion déléguée des clés, utilisez une ressource folder_config semblable à la suivante :

/* Enable AutokeyConfig on a folder */
resource "google_kms_autokey_config" "folder_config" {
  provider    = google-beta
  folder      = google_folder.autokey_folder.name
  key_project_resolution_mode = "RESOURCE_PROJECT"
  # For folder scope, valid values are: DEDICATED_KEY_PROJECT, RESOURCE_PROJECT, DISABLED
  # With DEDICATED_KEY_PROJECT, define the key_project as well. With RESOURCE_PROJECT,
  #   omit key_project. Keys will be created in the same project as the protected resource.
}

Pour activer Autokey sur des projets individuels pour la gestion déléguée des clés, utilisez une ressource autokey_config_project semblable à la suivante :

/* To set autokey config for a project */
resource "google_kms_autokey_config" "autokey_config_project" {
  provider = google-beta
  project = "projects/${google_project.key_management_project.project_id}"
  key_project_resolution_mode = "RESOURCE_PROJECT"
  # For project scope, valid values are: RESOURCE_PROJECT, DISABLED
}

Appliquer l'utilisation d'Autokey

Si vous souhaitez appliquer l'utilisation d'Autokey dans un dossier, vous pouvez le faire en combinant les contrôles des accès IAM avec les règles d'administration CMEK. Pour ce faire, il supprime les autorisations de création de clés des principaux autres que l'agent de service Cloud KMS, puis exige que toutes les ressources soient protégées par une CMEK à l'aide du projet de clés Autokey.

Pour appliquer l'utilisation d'Autokey dans un dossier, procédez comme suit :

1. Supprimez l'accès permettant de créer des clés manuellement dans le projet de clé. Si les clés ne peuvent pas être créées manuellement, seules celles créées par Autokey peuvent l'être dans ce projet. Pour en savoir plus sur le contrôle des accès, consultez Contrôle des accès avec IAM.

2. Définissez une règle d'administration sur le dossier pour exiger que les ressources soient protégées par une clé CMEK à l'aide de la contrainte constraints/gcp.restrictNonCmekServices. Pour en savoir plus, consultez Exiger la protection CMEK.

3. Définissez une règle d'administration sur le dossier pour exiger que les clés utilisées pour CMEK proviennent du projet de clés Autokey à l'aide de la contrainte constraints/gcp.restrictCmekCryptoKeyProjects. Pour en savoir plus, consultez Limiter l'utilisation des clés Cloud KMS pour CMEK.

Désactiver Autokey

Cloud KMS Autokey est activé et désactivé au niveau du dossier. Les rôles qui peuvent activer Autokey pour un dossier peuvent également le désactiver pour ce même dossier. Pour désactiver Autokey sur un dossier, vous devez décocher la case AutokeyConfig afin de supprimer l'association entre le dossier et le projet de clés Autokey.

Une fois la configuration Autokey supprimée du dossier, l'agent de service Cloud KMS ne peut plus créer de clés pour les développeurs lorsqu'ils créent des ressources dans le dossier. La suppression du lien entre le dossier et le projet de clé désactive Autokey dans le dossier. Toutefois, nous vous recommandons également de supprimer les liaisons IAM pour les rôles roles/cloudkms.autokeyAdmin et roles/cloudkms.autokeyUser.

La désactivation d'Autokey n'a aucune incidence sur les clés existantes dans le projet de clés. Vous pouvez continuer à utiliser ces clés pour protéger vos ressources.

Clear AutokeyConfig

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/autokeyConfig?updateMask=keyProject" \
    --request "PATCH" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --data '{}'

Révoquer des rôles Autokey

1. Facultatif : Révoquez le rôle roles/cloudkms.autokeyAdmin :

   gcloud resource-manager folders remove-iam-policy-binding \
       FOLDER_ID --role=roles/cloudkms.autokeyAdmin \
       --member=user:USER_EMAIL
   

   Remplacez les éléments suivants :

   • FOLDER_ID : ID du dossier dans lequel vous avez désactivé Autokey.
   • USER_EMAIL : adresse e-mail de l'utilisateur pour lequel vous souhaitez révoquer l'autorisation de gérer Autokey.

2. Facultatif : Révoquez le rôle roles/cloudkms.autokeyUser au niveau du dossier :

   gcloud resource-manager folders remove-iam-policy-binding \
       FOLDER_ID --role=roles/cloudkms.autokeyUser \
       --member=user:USER_EMAIL
   

   Remplacez les éléments suivants :

   • FOLDER_ID : ID du dossier dans lequel vous avez désactivé Autokey.
   • USER_EMAIL : adresse e-mail de l'utilisateur pour lequel vous souhaitez révoquer l'autorisation d'utiliser Autokey.

3. (Facultatif) Révoquez le rôle roles/cloudkms.autokeyUser au niveau du projet :

   gcloud projects remove-iam-policy-binding RESOURCE_PROJECT_NUMBER \
       --role=roles/cloudkms.autokeyUser \
       --member=user:USER_EMAIL
   

   Remplacez les éléments suivants :

   • RESOURCE_PROJECT_NUMBER : numéro du projet de ressources dans le dossier où vous avez désactivé Autokey.
   • USER_EMAIL : adresse e-mail de l'utilisateur pour lequel vous souhaitez révoquer l'autorisation d'utiliser Autokey.

4. Facultatif : Si vous ne prévoyez pas de continuer à utiliser le projet de clé pour Autokey pour d'autres dossiers, révoquez le rôle roles/cloudkms.admin pour l'agent de service Cloud KMS :

   gcloud projects remove-iam-policy-binding KEY_PROJECT_NUMBER \
       --role=roles/cloudkms.admin \
       --member=serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com
   

   Remplacez KEY_PROJECT_NUMBER par l'ID numérique du projet clé.

5. Facultatif : Si vous ne prévoyez pas de continuer à utiliser les clés créées dans le projet de clés, révoquez le rôle roles/cloudkms.admin pour l'administrateur Cloud KMS :

   gcloud projects remove-iam-policy-binding KEY_PROJECT_NUMBER \
       --role=roles/cloudkms.admin \
       --member=user:KEY_ADMIN_EMAIL
   

   Remplacez les éléments suivants :

   • KEY_PROJECT_NUMBER : numéro du projet de clé.
   • USER_EMAIL : adresse e-mail de l'utilisateur pour lequel vous souhaitez révoquer l'autorisation d'utiliser Autokey.

Étapes suivantes

• Découvrez quand utiliser Autokey.
• En savoir plus sur le fonctionnement d'Autokey
• Vos développeurs Autokey peuvent désormais créer des ressources protégées à l'aide d'Autokey.