Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Intégrer Cloud HSM pour Google Workspace

Cette page explique comment intégrer Cloud HSM for Google Workspace (CHGWS), le service de clés de chiffrement pour Google Workspace proposé par Cloud Key Management Service (Cloud KMS). Cloud HSM for Google Workspace offre des contrôles de confidentialité améliorés pour Google Workspace, ce qui vous permet de respecter les normes réglementaires telles que DISA IL5 et d'améliorer la sécurité des données. Cloud HSM est un service de gestion des clés conforme aux normes, disponibilité élevée et entièrement géré, qui fonctionne à l'échelle du cloud avec des clés avec support matériel stockées dans des modules HSM (modules de sécurité matérielle) conformes à la norme FIPS 140-2 niveau 3.

CHGWS est compatible avec les clés Cloud HSM multilocataire et Cloud HSM à locataire unique.

Pour en savoir plus, consultez Cloud HSM for Google Workspace.

Avant de commencer

Avant d'intégrer Cloud HSM for Google Workspace, passez en revue les conditions préalables suivantes :

Configurez un compte Google Workspace.
Activez le chiffrement côté client Google Workspace dans votre compte Google Workspace.
Configurez votre fournisseur d'identité dans le chiffrement côté client Google Workspace. Notez l'ID client de votre fournisseur d'identité. Si vous utilisez Google Identity Platform, recherchez l'ID client dans votre Google Cloud projet.
Facultatif : si vous autorisez l'accès au contenu chiffré par le chiffrement côté client sur des applications de plate-forme autres que le Web (comme les applications mobiles ou de bureau), ajoutez les ID client de ces plates-formes dans les paramètres de votre fournisseur d'identité dans la console d'administration Google Workspace. Notez tous les ID client de ce fournisseur d'identité. Si vous utilisez Google Identity Platform, recherchez ces ID client dans votre Google Cloud projet. Pour les autres fournisseurs d'identité, créez ces ID client séparément.

Emplacements compatibles

Vous pouvez stocker vos clés Cloud KMS dans n'importe quel emplacement régional ou multirégional des zones géographiques États-Unis ou Europe. Cloud HSM for Google Workspace est compatible avec les clés Cloud HSM multilocataire et Cloud HSM à locataire unique. Pour trouver un emplacement spécifique, accédez à Emplacements Cloud KMS et filtrez par type de HSM.

Cloud HSM for Google Workspace fournit automatiquement le point de terminaison dans l'une des multirégions suivantes les plus proches de l'emplacement de votre clé :

us
eur3

Configurer un Google Cloud projet pour Cloud KMS

Les points de terminaison Cloud HSM for Google Workspace s'appuient sur des clés Cloud KMS pour les opérations cryptographiques. Configurez un nouveau Google Cloud projet pour héberger les clés Cloud KMS.

Créez un Google Cloud projet. Il s'agit de votre projet de clé. Notez l'ID et le numéro du projet. Vous en aurez besoin pour terminer la configuration.

Important : Nous vous recommandons vivement d'utiliser un projet dédié Google Cloud qui ne contient que des clés CHGWS. Vous bénéficierez ainsi d'un meilleur contrôle sur la facturation. Pour en savoir plus, consultez Gérer la facturation.
Activez la facturation sur le projet que vous avez créé.
Activez l'API Cloud KMS dans votre Google Cloud projet de clé.

Activer l'API
Dans la Google Cloud console, cliquez sur le terminal Activer Cloud Shell.
Vérifiez que vous vous trouvez dans le bon projet en comparant votre ID de projet à celui de l'invite Cloud Shell.
À l'aide de Cloud Shell, créez le compte de service Cloud HSM for Google Workspace :
```
gcloud beta services identity create \
    --service=cloudkmskacls-pa.googleapis.com
```
Notez l'identité de service créée par cette commande. Vous aurez besoin du nom de l'identité de service à l'étape suivante.

Attribuez le rôle Agent de service de clé CHGWS au compte de service que vous avez créé :

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \
    --role=roles/cloudkmskacls.serviceAgent

Remplacez les éléments suivants :

PROJECT_ID : ID de votre projet clé.
PROJECT_NUMBER : numéro de votre projet de clé.

Gérer le point de terminaison de service CHGWS

Les sections suivantes vous expliquent comment configurer et gérer vos points de terminaison CHGWS.

Configurer des clés Cloud KMS

Configurez les ressources Cloud KMS pour le point de terminaison de votre service de clés CHGWS.

Créez un trousseau de clés dans l'une des régions compatibles :
```
gcloud kms keyrings create KEY_RING --location LOCATION
```
- Remplacez KEY_RING par le nom que vous souhaitez utiliser pour votre trousseau de clés CHGWS, par exemple CHGWS_KEY_RING.
- Remplacez LOCATION par l'emplacement dans lequel vous souhaitez créer votre trousseau de clés, par exemple us.
Créez une clé Cloud HSM.
Cloud HSM multilocataire
Pour créer une clé avec le niveau de protection hsm :
gcloud kms keys create KEY_NAME \ --protection-level "hsm" \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Remplacez les éléments suivants :
- KEY_NAME: nom que vous souhaitez utiliser pour votre clé, par exemple CHGWS_KEY.
- KEY_RING : nom de votre trousseau de clés, par exemple CHGWS_KEY_RING.
- LOCATION: emplacement dans lequel vous avez créé votre trousseau de clés, par exemple us.
- ROTATION_PERIOD: fréquence à laquelle vous souhaitez faire pivoter vos clés, par exemple 7d.
- NEXT_ROTATION_TIME: date et heure de la prochaine rotation des clés, par exemple 2024-03-20T01:00:00.
Cloud HSM à locataire unique
Pour créer une clé avec le niveau de protection hsm_single_tenant, vous devez d'abord disposer d'une instance Cloud HSM à locataire unique provisionnée au même emplacement.
1. Créez et provisionnez une instance Cloud HSM à locataire unique : suivez les instructions du guide Créer et gérer une instance Cloud HSM à locataire unique. Notez l'ID d'instance provisionné. Vous en aurez besoin à l'étape suivante.
2. Créez une clé :
  
  gcloud kms keys create KEY_NAME \ --protection-level "hsm_single_tenant" \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --crypto-key-backend "projects/PROJECT_ID/locations/LOCATION/singleTenantHsmInstances/INSTANCE_NAME" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
  
  Remplacez les éléments suivants :
  
  KEY_NAME: nom que vous souhaitez utiliser pour votre clé, par exemple CHGWS_KEY.
  
  KEY_RING : nom de votre trousseau de clés, par exemple CHGWS_KEY_RING.
  
  LOCATION: emplacement dans lequel vous avez créé votre trousseau de clés, par exemple us.
  
  PROJECT_ID : ID de votre projet de clé.
  
  INSTANCE_NAME: nom de l'instance Cloud HSM à locataire unique dans laquelle vous souhaitez créer la clé.
  
  ROTATION_PERIOD: fréquence à laquelle vous souhaitez faire pivoter vos clés, par exemple 7d.
  
  NEXT_ROTATION_TIME: date et heure de la prochaine rotation des clés, par exemple 2024-03-20T01:00:00.
Pour en savoir plus sur les options de création de clés, consultez Créer des clés.

Demander l'intégration et la création de points de terminaison

Pour demander l'intégration et la création de points de terminaison, contactez votre responsable de compte pour obtenir de l'aide concernant l'envoi d'une demande d'intégration de point de terminaison. Dans la demande, incluez les informations suivantes :

Informations sur Google Workspace
- ID Google Workspace : votre ID Google Workspace. Pour trouver votre ID Google Workspace, suivez les instructions de la section Trouver votre ID client.
- Adresses e-mail de l'administrateur Google Workspace : fournissez une liste d'adresses e-mail d'administrateur séparées par des virgules.
Informations sur le fournisseur d'identité
- Informations sur le fournisseur d'identité principal :
  - URL de l'ensemble de clés Web JSON (JWKS) du fournisseur d'identité : pour Google Identity Platform, utilisez https://www.googleapis.com/oauth2/v3/certs.
  - Émetteur de jetons Web JSON (JWT) : pour Google Identity Platform, utilisez https://accounts.google.com.
  - Audience JWT : ID client de votre fournisseur d'identité pour les applications Web.
  - Audiences JWT supplémentaires : facultatif. Fournissez des ID client pour les applications de plate-forme non Web si elles sont configurées. Pour Google Identity Platform, utilisez les ID client indiqués dans Si vous utilisez l'identité Google pour le chiffrement côté client.
- Informations sur le fournisseur d'identité invité : facultatif. Remplissez cette section si vous utilisez un fournisseur d'identité invité.
  - URL JWKS du fournisseur d'identité invité : URL JWKS de votre fournisseur d'identité invité.
  - Émetteur de jetons JWT invité : émetteur de jetons JWT de votre fournisseur d'identité invité.
  - Audience JWT invitée : ID client de votre fournisseur d'identité invité pour les applications Web, à l'exception de Google Meet.
  - Audiences JWT invitées supplémentaires : facultatif. Si vous configurez un ID client Web Google Meet ou d'autres ID client d'application de plate-forme non Web, fournissez les ID client pour chacun d'eux. Pour Google Identity Platform, utilisez les ID client indiqués dans Si vous utilisez l'identité Google pour le chiffrement côté client.
Important : Vérifiez que l'URL JWKS de votre fournisseur d'identité est accessible au public. Confirmez les valeurs de l'émetteur de jetons JWT et de l'audience JWT auprès de l'administrateur de votre fournisseur d'identité.
Informations sur la clé de chiffrement côté client
- ID du projet Google Cloud : PROJECT_ID
- Numéro du projet Google Cloud : PROJECT_NUMBER
- Nom du trousseau de clés Cloud KMS : KEY_RING
- Emplacement du trousseau de clés Cloud KMS : LOCATION
- Nom de la clé Cloud KMS : KEY_NAME
- Niveau de protection de la clé Cloud KMS : doit être hsm ou hsm_single_tenant
- URL de base CHGWS : facultatif. Liste des URL permettant la migration des clés. Si vous configurez CHGWS pour la première fois pour ce compte Google Workspace, laissez ce champ vide.
Informations supplémentaires
- Nom du client : indiquez le nom du client.
- Nombre d'utilisateurs attendu : indiquez le nombre d'utilisateurs attendu dans votre instance Google Workspace.

Configurer le point de terminaison CHGWS dans le chiffrement côté client Google Workspace

Configurez le chiffrement côté client Google Workspace pour utiliser l'URL CHGWS générée lors de la création du point de terminaison CHGWS. Suivez les instructions de la section Ajouter et gérer des services de clés pour le chiffrement côté client.

Migrer des points de terminaison

CHGWS vous permet de déplacer votre service de clés vers ou depuis CHGWS. Pour lancer une migration CHGWS, contactez votre responsable de compte pour obtenir de l'aide concernant l'envoi d'une demande de migration. Dans la demande, incluez les informations suivantes :

ID du point de terminaison : ID du point de terminaison CHGWS.
URL de base CHGWS : liste des URL permettant la migration des clés CHGWS.
- Si vous migrez vers Cloud HSM for Google Workspace, fournissez l'URL de base de chaque point de terminaison CHGWS à partir duquel vous effectuez la migration.
- Si vous migrez depuis Cloud HSM for Google Workspace, fournissez les URL de base des points de terminaison CHGWS vers lesquels vous souhaitez migrer.

Si vous migrez entre deux points de terminaison Cloud HSM for Google Workspace différents, envoyez deux demandes distinctes : une depuis le point de terminaison précédent et l'autre vers le nouveau point de terminaison.

Supprimer ou désactiver des points de terminaison

Les opérations de suppression ou de désactivation sur le point de terminaison Cloud HSM for Google Workspace ne sont pas directement compatibles. Toutefois, vous pouvez désactiver un point de terminaison Cloud HSM for Google Workspace en désactivant toutes les versions de clé Cloud KMS de sauvegarde.

Pour chaque version de clé Cloud KMS sauvegardant le point de terminaison, exécutez la commande suivante :
```
gcloud kms keys versions disable KEY_VERSION --keyring \
    KEY_RING --location LOCATION --key KEY_NAME
```
Remplacez les éléments suivants :
- KEY_VERSION: version de la clé que vous souhaitez désactiver, par exemple 1.
- KEY_RING : nom du trousseau de clés, par exemple CHGWS_KEY_RING.
- LOCATION: emplacement que vous souhaitez désactiver, par exemple us.
- KEY_NAME: nom de la clé, par exemple CHGWS_KEY.

Activer des points de terminaison

Si vous avez désactivé un point de terminaison CHGWS en désactivant toutes les versions de clé de la clé Cloud KMS de sauvegarde, vous pouvez le réactiver. Pour réactiver le point de terminaison, activez toutes les versions actives de la clé Cloud KMS de sauvegarde à l'aide de la commande gcloud CLI suivante :

Pour chaque version de clé Cloud KMS sauvegardant le point de terminaison, exécutez la commande suivante :
```
gcloud kms keys versions enable KEY_VERSION --keyring \
    KEY_RING --location LOCATION --key KEY_NAME
```
Remplacez les éléments suivants :
- KEY_VERSION: version de la clé que vous souhaitez activer, par exemple 1.
- KEY_RING : nom du trousseau de clés, par exemple CHGWS_KEY_RING.
- LOCATION: emplacement que vous souhaitez activer, par exemple us.
- KEY_NAME: nom de la clé, par exemple CHGWS_KEY.

Gérer la facturation de CHGWS

La facturation commence dès que vous recevez le point de terminaison CHGWS demandé dans votre demande d'intégration. À partir de ce moment, les frais d'abonnement récurrents pour Cloud HSM for Google Workspace continuent tant que la facturation reste activée sur le Google Cloud projet, même si vous désactivez le point de terminaison CHGWS. Cette section explique comment arrêter d'accumuler des frais pour Cloud HSM for Google Workspace et comment les reprendre.

Désactiver/Activer la facturation du projet

Vous pouvez désactiver la facturation du projet qui contient vos clés Cloud KMS pour Cloud HSM for Google Workspace. La désactivation de la facturation arrête le fonctionnement de tous les services facturables du projet. Une fois la facturation au niveau du projet désactivée, les frais d'abonnement Cloud HSM for Google Workspace devraient cesser dans les 24 heures.

Lorsque vous souhaitez reprendre l'utilisation de Cloud HSM for Google Workspace, vous pouvez réactiver la facturation du projet. Une fois la facturation réactivée, vos frais d'abonnement reprennent et votre point de terminaison CHGWS et vos clés Cloud KMS fonctionnent à nouveau normalement.

Demander une désactivation ou une activation manuelle

Si vous devez désactiver le point de terminaison CHGWS tout en maintenant les autres ressources du projet actives, envoyez une demande semblable à la demande d'intégration. Fournissez les informations sur Google Workspace, l'ID du point de terminaison CHGWS et d'autres informations pertinentes, puis décrivez votre exigence. L'équipe CHGWS peut mettre jusqu'à 48 heures pour traiter les tickets manuels. Une fois la demande traitée, les frais d'abonnement Cloud HSM for Google Workspace devraient cesser dans les 24 heures.

Vous pouvez réactiver le point de terminaison CHGWS et sa facturation en créant une demande semblable.

Supprimer ou restaurer le projet

Vous pouvez supprimer le projet qui contient vos clés Cloud KMS pour Cloud HSM for Google Workspace. La suppression d'un projet arrête tous les services qu'il contient. Vous pouvez récupérer un projet supprimé dans les 30 jours suivant sa suppression. Toutefois, les clés Cloud KMS du projet ne peuvent pas être récupérées. Par conséquent, tous les documents et autres données chiffrés avec des clés dans le projet restauré restent définitivement détruits. La restauration d'un projet supprimé reprend les frais d'abonnement Cloud HSM for Google Workspace, même si les clés Cloud KMS restent irrécupérables.

Étape suivante

En savoir plus sur Cloud HSM for Google Workspace.
Approfondissez vos connaissances sur Cloud Key Management Service.
Découvrez comment ajouter et gérer des services de clés pour le chiffrement côté client.