Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Intégrer Cloud HSM pour Google Workspace

Cette page explique comment intégrer Cloud HSM pour Google Workspace (CHGWS), le service de clés de chiffrement pour Google Workspace proposé par Cloud Key Management Service (Cloud KMS). Cloud HSM pour Google Workspace offre des contrôles de confidentialité améliorés pour Google Workspace, ce qui vous aide à respecter les normes réglementaires telles que DISA IL5 et à renforcer la sécurité des données. Cloud HSM est un service de gestion de clés conforme aux normes, disponibilité élevée et entièrement géré, qui fonctionne à l'échelle du cloud avec des clés protégées par du matériel stockées dans des modules HSM (Hardware Security Modules) conformes à la norme FIPS 140-2 de niveau 3.

CHGWS est compatible avec les clés Cloud HSM multitenant et Cloud HSM monotenant.

Pour en savoir plus, consultez Cloud HSM pour Google Workspace.

Avant de commencer

Avant d'intégrer Cloud HSM pour Google Workspace, remplissez les conditions préalables suivantes :

Configurez un compte Google Workspace.
Activez le chiffrement côté client Google Workspace (CSE) dans votre Google Workspace.
Configurez votre fournisseur d'identité (IdP) dans Google Workspace CSE. Notez l'ID client de votre fournisseur d'identité. Si vous utilisez Google Identity Platform, recherchez l'ID client dans votre projet Google Cloud .
Facultatif : Si vous autorisez l'accès au contenu chiffré par le CSE sur des applications de plate-forme autres que le Web (comme les applications mobiles ou de bureau), ajoutez les ID client pour ces plates-formes dans les paramètres de votre IdP dans la console d'administration Google Workspace. Notez tous les ID client pour cet IdP. Si vous utilisez Google Identity Platform, recherchez ces ID client dans votre projet Google Cloud . Pour les autres fournisseurs d'identité, créez ces ID client séparément.

Zones géographiques compatibles

Vous pouvez stocker vos clés Cloud KMS dans n'importe quel emplacement régional ou multirégional des zones géographiques États-Unis ou Europe. Cloud HSM pour Google Workspace est compatible avec les clés Cloud HSM multilocataires et à locataire unique. Pour trouver un emplacement spécifique, consultez Emplacements Cloud KMS et filtrez par type de HSM.

Cloud HSM pour Google Workspace fournit automatiquement le point de terminaison dans l'une des multirégions suivantes les plus proches de l'emplacement de votre clé :

us
eur3

Configurer un projet Google Cloud pour Cloud KMS

Les points de terminaison Cloud HSM pour Google Workspace s'appuient sur des clés Cloud KMS pour les opérations de chiffrement. Configurez un projet Google Cloud pour héberger les clés Cloud KMS.

Créez un projet Google Cloud . Il s'agit de votre projet clé. Notez l'ID et le numéro du projet, car vous en aurez besoin pour terminer la configuration.

Important : Nous vous recommandons vivement d'utiliser un projet Google Clouddédié qui ne contient que des clés CHGWS. Vous disposez ainsi d'un meilleur contrôle sur la facturation. Pour en savoir plus, consultez Gérer la facturation.
Activez la facturation sur le projet que vous avez créé.
Activez l'API Cloud KMS dans votre projet de clés Google Cloud .

Activer l'API
Dans la console Google Cloud , cliquez sur Terminal > Activer Cloud Shell.
Vérifiez que vous êtes dans le bon projet en comparant votre ID de projet à celui de l'invite Cloud Shell.
À l'aide de Cloud Shell, créez le compte de service Cloud HSM pour Google Workspace :
```
gcloud beta services identity create \
    --service=cloudkmskacls-pa.googleapis.com
```
Notez l'identité de service créée par cette commande. Vous aurez besoin du nom de l'identité de service à l'étape suivante.
Attribuez le rôle Agent de service des clés CHGWS au compte de service que vous avez créé :
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \
    --role=roles/cloudkmskacls.serviceAgent
```
Remplacez les éléments suivants :
- PROJECT_ID : ID du projet de votre clé.
- PROJECT_NUMBER : numéro de votre projet de clé.

Gérer le point de terminaison du service CHGWS

Les sections suivantes vous expliquent comment configurer et gérer vos points de terminaison CHGWS.

Configurer des clés Cloud KMS

Configurez les ressources Cloud KMS pour le point de terminaison de service de votre clé CHGWS.

Créez un trousseau de clés dans l'une des régions compatibles :
```
gcloud kms keyrings create KEY_RING --location LOCATION
```
- Remplacez KEY_RING par le nom que vous souhaitez utiliser pour votre trousseau de clés CHGWS (par exemple, CHGWS_KEY_RING).
- Remplacez LOCATION par l'emplacement où vous souhaitez créer votre trousseau de clés, par exemple us.
Créez une clé Cloud HSM.
Cloud HSM mutualisé
Pour créer une clé avec le niveau de protection hsm :
gcloud kms keys create KEY_NAME \ --protection-level "hsm" \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Remplacez les éléments suivants :
- KEY_NAME : nom que vous souhaitez utiliser pour votre clé, par exemple CHGWS_KEY.
- KEY_RING : nom de votre trousseau de clés (par exemple, CHGWS_KEY_RING).
- LOCATION : emplacement où vous avez créé votre trousseau de clés (par exemple, us).
- ROTATION_PERIOD : fréquence à laquelle vous souhaitez faire tourner vos clés, par exemple 7d.
- NEXT_ROTATION_TIME : date et heure de la prochaine rotation de clé, par exemple 2024-03-20T01:00:00.
Cloud HSM à locataire unique
Pour créer une clé avec le niveau de protection hsm_single_tenant, vous devez d'abord provisionner une instance Cloud HSM à locataire unique au même emplacement.
1. Créez et provisionnez une instance Cloud HSM à locataire unique : suivez les instructions du guide Créer et gérer une instance Cloud HSM à locataire unique. Notez l'ID de l'instance provisionnée. Vous en aurez besoin à l'étape suivante.
2. Créez une clé :
  
  gcloud kms keys create KEY_NAME \ --protection-level "hsm_single_tenant" \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --crypto-key-backend "projects/PROJECT_ID/locations/LOCATION/singleTenantHsmInstances/INSTANCE_NAME" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
  
  Remplacez les éléments suivants :
  
  KEY_NAME : nom que vous souhaitez utiliser pour votre clé, par exemple CHGWS_KEY.
  
  KEY_RING : nom de votre trousseau de clés (par exemple, CHGWS_KEY_RING).
  
  LOCATION : emplacement où vous avez créé votre trousseau de clés (par exemple, us).
  
  PROJECT_ID : ID du projet de votre clé.
  
  INSTANCE_NAME : nom de l'instance Cloud HSM à locataire unique dans laquelle vous souhaitez créer la clé.
  
  ROTATION_PERIOD : fréquence à laquelle vous souhaitez faire tourner vos clés (par exemple, 7d).
  
  NEXT_ROTATION_TIME : date et heure de la prochaine rotation de clé, par exemple 2024-03-20T01:00:00.
Pour en savoir plus sur les options de création de clés, consultez Créer des clés.

Demander l'intégration et la création de points de terminaison

Pour demander l'intégration et la création de points de terminaison, contactez votre responsable de compte. Il vous aidera à envoyer une demande d'intégration de point de terminaison. Dans la demande, incluez les informations suivantes :

Informations sur Google Workspace
- ID Google Workspace : votre ID Google Workspace. Pour trouver votre ID Google Workspace, suivez les instructions de la page Trouver votre numéro client.
- Adresses e-mail des administrateurs Google Workspace : saisissez une liste d'adresses e-mail d'administrateur séparées par une virgule.
Informations sur le fournisseur d'identité (IdP)
- Informations sur le fournisseur d'identité (IdP) principal :
  - URL JWKS (JSON Web Key Set) de l'IdP : pour Google Identity Platform, utilisez https://www.googleapis.com/oauth2/v3/certs.
  - Émetteur de jetons Web JSON (JWT) : pour Google Identity Platform, utilisez https://accounts.google.com.
  - Audience JWT : ID client de votre IdP pour les applications Web.
  - Audiences JWT supplémentaires : facultatif. Indiquez les ID client pour les applications de plate-forme non Web, le cas échéant. Pour Google Identity Platform, utilisez les ID client indiqués dans Si vous utilisez l'identité Google pour le CSE.
- Informations sur l'IdP pour les invités : facultatif. Remplissez cette section si vous utilisez un IdP invité.
  - URL JWKS de l'IdP invité : URL JWKS de votre IdP invité.
  - Émetteur du jeton JWT invité : émetteur du jeton JWT de votre FdI invité.
  - Audience JWT invité : ID client de votre IdP invité pour les applications Web, à l'exception de Google Meet.
  - Audiences JWT supplémentaires pour les invités : facultatif. Si vous configurez un ID client de client Web Google Meet ou d'autres ID client d'application de plate-forme non Web, fournissez-en un pour chacun. Pour Google Identity Platform, utilisez les ID client indiqués dans Si vous utilisez l'identité Google pour le CSE.
Important : Vérifiez que l'URL JWKS de votre IdP est accessible publiquement. Confirmez les valeurs de l'émetteur et de l'audience du jeton JWT auprès de l'administrateur de votre IdP.
Informations essentielles sur le CSE
- ID du projet Google Cloud : PROJECT_ID
- Numéro du projet Google Cloud : PROJECT_NUMBER
- Nom du trousseau de clés Cloud KMS : KEY_RING
- Emplacement du trousseau de clés Cloud KMS : LOCATION
- Nom de la clé Cloud KMS : KEY_NAME
- Niveau de protection de la clé Cloud KMS : doit être hsm ou hsm_single_tenant
- URL de base CHGWS : facultatif. Liste des URL pour activer la migration des clés. Si vous configurez CHGWS pour la première fois pour ce compte Google Workspace, laissez ce champ vide.
Informations supplémentaires
- Nom du client : indiquez le nom du client.
- Nombre d'utilisateurs attendu : indiquez le nombre d'utilisateurs attendu dans votre instance Google Workspace.

Configurer le point de terminaison CHGWS dans Google Workspace CSE

Configurez Google Workspace CSE pour utiliser l'URL CHGWS générée lorsque vous avez créé le point de terminaison CHGWS. Suivez les instructions de la section Ajouter et gérer des services de clés pour le chiffrement côté client.

Migration du service de clés

CHGWS vous permet de déplacer votre service de clés vers ou depuis CHGWS. Pour lancer une migration de service de clés, contactez votre responsable de compte afin d'obtenir de l'aide pour envoyer une demande de migration. Dans la demande, incluez les informations suivantes :

ID du point de terminaison : ID du point de terminaison de CHGWS.
URL du service de clés : liste des URL permettant la migration du service de clés.
- Si vous migrez vers Cloud HSM pour Google Workspace, indiquez l'URL de base de chaque point de terminaison de service de clé à partir duquel vous migrez.
- Si vous migrez depuis Cloud HSM pour Google Workspace, indiquez les URL de base des points de terminaison du service de clés vers lesquels vous souhaitez migrer.
Important : Si vous migrez entre deux points de terminaison Cloud HSM pour Google Workspace différents, envoyez deux demandes distinctes : une depuis l'ancien point de terminaison et l'autre vers le nouveau point de terminaison.

Supprimer ou désactiver des points de terminaison

Les opérations de suppression ou de désactivation sur le point de terminaison Cloud HSM pour Google Workspace ne sont pas directement prises en charge. Toutefois, vous pouvez désactiver un point de terminaison Cloud HSM pour Google Workspace en désactivant toutes les versions de clé Cloud KMS sous-jacentes.

Pour chaque version de clé Cloud KMS qui soutient le point de terminaison, exécutez la commande suivante :
```
gcloud kms keys versions disable KEY_VERSION --keyring \
    KEY_RING --location LOCATION --key KEY_NAME
```
Remplacez les éléments suivants :
- KEY_VERSION : version de la clé que vous souhaitez désactiver (par exemple, 1).
- KEY_RING : nom du trousseau de clés, par exemple CHGWS_KEY_RING.
- LOCATION : emplacement que vous souhaitez désactiver (par exemple, us).
- KEY_NAME : nom de la clé (par exemple, CHGWS_KEY).

Activer les points de terminaison

Si vous avez désactivé un point de terminaison CHGWS en désactivant toutes les versions de clé de la clé Cloud KMS sous-jacente, vous pouvez le réactiver. Pour réactiver le point de terminaison, activez toutes les versions actives de la clé Cloud KMS de sauvegarde à l'aide de la commande gcloud CLI suivante :

Pour chaque version de clé Cloud KMS qui soutient le point de terminaison, exécutez la commande suivante :
```
gcloud kms keys versions enable KEY_VERSION --keyring \
    KEY_RING --location LOCATION --key KEY_NAME
```
Remplacez les éléments suivants :
- KEY_VERSION : version de la clé que vous souhaitez activer (par exemple, 1).
- KEY_RING : nom du trousseau de clés, par exemple CHGWS_KEY_RING.
- LOCATION : emplacement où vous souhaitez activer le service (par exemple, us).
- KEY_NAME : nom de la clé (par exemple, CHGWS_KEY).

Gérer la facturation pour CHGWS

La facturation commence dès que vous recevez le point de terminaison CHGWS demandé dans votre demande d'intégration. À partir de ce moment, les frais d'abonnement récurrents pour Cloud HSM pour Google Workspace continueront d'être facturés tant que la facturation restera activée sur le projet Google Cloud , même si vous désactivez le point de terminaison CHGWS. Cette section explique comment arrêter d'accumuler des frais pour Cloud HSM pour Google Workspace et comment les reprendre.

Désactiver/Activer la facturation d'un projet

Vous pouvez désactiver la facturation pour le projet qui contient vos clés Cloud KMS pour Cloud HSM pour Google Workspace. La désactivation de la facturation entraîne l'arrêt de tous les services payants du projet. Une fois la facturation au niveau du projet désactivée, les frais d'abonnement Cloud HSM pour Google Workspace devraient cesser d'être facturés dans les 24 heures.

Lorsque vous souhaitez recommencer à utiliser Cloud HSM pour Google Workspace, vous pouvez réactiver la facturation dans le projet. Une fois la facturation réactivée, les frais d'abonnement reprennent et votre point de terminaison CHGWS et vos clés Cloud KMS fonctionnent à nouveau normalement.

Demander une désactivation ou une activation manuelle

Si vous devez désactiver le point de terminaison CHGWS tout en gardant actifs les autres ressources du projet, envoyez une demande semblable à la demande d'intégration. Fournissez les informations Google Workspace, l'ID du point de terminaison CHGWS et d'autres informations pertinentes, et décrivez votre besoin. Le traitement manuel des demandes peut prendre jusqu'à 48 heures par l'équipe CHGWS. Une fois la demande traitée, les frais d'abonnement Cloud HSM pour Google Workspace devraient cesser d'être facturés dans les 24 heures.

Vous pouvez réactiver le point de terminaison CHGWS et sa facturation en créant une requête similaire.

Supprimer ou restaurer le projet

Vous pouvez supprimer le projet qui contient vos clés Cloud KMS pour Cloud HSM pour Google Workspace. La suppression d'un projet arrête tous les services qu'il contient. Vous pouvez restaurer un projet supprimé dans les 30 jours suivant sa suppression. Toutefois, les clés Cloud KMS du projet ne peuvent pas être récupérées. Par conséquent, tous les documents et autres données chiffrés avec des clés dans le projet restauré restent définitivement détruits par chiffrement. La restauration d'un projet supprimé reprend les frais d'abonnement à Cloud HSM pour Google Workspace, même si les clés Cloud KMS restent irrécupérables.

Étapes suivantes

En savoir plus sur Cloud HSM pour Google Workspace
En savoir plus sur Cloud Key Management Service
Découvrez comment ajouter et gérer des services de clés pour le chiffrement côté client.