À propos de Cloud KMS
Qu'est-ce que Cloud KMS et À quoi sert ce service ?
Cloud Key Management Service (Cloud KMS) est un service de gestion de clés hébergé dans le cloud qui vous permet de gérer le chiffrement de vos services cloud de la même manière que sur site. Vous pouvez générer, utiliser, alterner et détruire des clés de chiffrement. Cloud KMS est intégré à Identity and Access Management (IAM) et aux journaux d'audit Cloud, ce qui vous permet de gérer les autorisations sur des clés individuelles et de surveiller leur utilisation.
Puis-je stocker des secrets ?
Cloud KMS stocke les clés et les métadonnées relatives aux clés, mais ne dispose pas d'une API de stockage de données générale. Il est recommandé d'utiliser Secret Manager pour stocker des données sensibles et y accéder en vue de leur utilisation dans Google Cloud.
Le service est-il soumis à un contrat de niveau de service ?
Oui, reportez-vous au Contrat de niveau de service de Cloud KMS pour en savoir plus.
Comment puis-je envoyer un commentaire relatif au produit ?
Veuillez contacter l'équipe d'ingénierie à l'adresse cloudkms-feedback@google.com.
Comment puis-je envoyer des commentaires relatifs à la documentation ?
Lorsque vous consultez la documentation de Cloud KMS, cliquez sur Envoyer des commentaires en haut à droite de la page. Un formulaire de commentaires s'affiche.
Comment puis-je obtenir de l'aide ?
Nous invitons nos utilisateurs à poser leurs questions sur Stack Overflow. La communauté Stack Overflow et notre équipe surveillent activement les posts sur Stack Overflow et répondent aux questions à l'aide du tag google-cloud-kms.
Nous proposons également plusieurs niveaux d'assistance en fonction de vos besoins. Pour obtenir davantage d'options d'assistance, consultez nos Google Cloud formules d'assistance.
Cloud KMS est-il soumis à des quotas ?
Oui. Pour en savoir plus sur les quotas, y compris sur l'affichage ou la demande de quotas supplémentaires, consultez la page Quotas Cloud KMS.
Aucune limite ne s'applique au nombre de clés, de trousseaux de clés ou de versions de clé. En outre, le nombre de clés par trousseau de clés et de versions de clé par clé est illimité.
Dans quels pays puis-je utiliser Cloud KMS ?
Vous pouvez utiliser Cloud KMS dans n'importe quel pays où les services Google Cloud sont disponibles.
Clés
La rotation des clés rechiffre-t-elle les données ? Si non, pourquoi ?
La rotation des clés ne rechiffre pas automatiquement les données. Lorsque vous déchiffrez des données, Cloud KMS sait quelle version de clé utiliser pour cette opération. Tant qu'une version de clé n'est ni désactivée, ni détruite, Cloud KMS peut déchiffrer des données protégées avec cette clé.
Pourquoi ne puis-je pas supprimer des clés ou des trousseaux de clés ?
Pour empêcher les conflits au niveau des noms de ressources, il n'est PAS POSSIBLE de supprimer les ressources de trousseaux de clés et de clés. Les versions de clé ne peuvent pas non plus être supprimées, mais le matériel de la version de clé peut être détruit pour que les ressources ne puissent plus être utilisées. Pour en savoir plus, consultez la section Durée de vie des objets. La facturation est basée sur le nombre de versions de clé actives. Si vous détruisez tous les matériels de version de clé actifs, les trousseaux, les clés et les versions de clé restants sont gratuits.
Autorisation et authentification
Comment puis-je m'authentifier auprès de l'API Cloud KMS ?
Le processus d'authentification des clients peut varier en fonction de la plate-forme sur laquelle le code s'exécute. Pour en savoir plus, consultez la section Accéder à l'API.
Quels rôles IAM dois-je utiliser ?
Pour appliquer le principe du moindre privilège, assurez-vous que les comptes utilisateur et de service de votre organisation ne disposent que des autorisations essentielles à l'exécution de leurs tâches prévues. Consultez la page Séparation des tâches pour en savoir plus.
Lorsque je retire une autorisation Cloud IAM, dans quel délai est-elle supprimée ?
La suppression d'une autorisation devrait être effective en moins d'une heure.
Divers
Que sont les données authentifiées supplémentaires et quand dois-je les utiliser ?
Les données authentifiées supplémentaires (AAD, Additional Authenticated Data) sont des chaînes transmises à Cloud KMS dans le cadre d'une requête de chiffrement ou de déchiffrement. Elles permettent de vérifier l'intégrité et de protéger les données contre une attaque de type "confused deputy". Pour en savoir plus, consultez la section Données authentifiées supplémentaires.
Les journaux d'accès aux données sont-ils activés par défaut ? Si non, comment les activer ?
Les journaux d'accès aux données ne sont pas activés par défaut. Pour en savoir plus, consultez la section Activer les journaux d'accès aux données.
Y a-t-il un lien entre les clés Cloud KMS et les clés de compte de service ?
Les clés de compte de service permettent l'authentification de service à service au sein deGoogle Cloud. Elles ne sont pas liées aux clés Cloud KMS.
Y a-t-il un lien entre les clés Cloud KMS et les clés API ?
Une clé API est une simple chaîne chiffrée utilisable lors de l'appel de certaines API qui n'ont pas besoin d'accéder à des données utilisateur privées. Les clés API permettent de suivre les requêtes API associées à votre projet pour le quota et la facturation. Les clés API ne sont pas liées aux clés Cloud KMS.
Avez-vous d'autres informations sur les HSM utilisés par Cloud HSM ?
Tous les appareils HSM sont fabriqués par Marvell (anciennement Cavium). Le certificat FIPS pour les appareils est disponible sur le site Web du NIST.