Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Niveaux de protection

Cette page compare les différents niveaux de protection compatibles avec Cloud KMS :

Logiciels: Les clés Cloud KMS avec le niveau de protection SOFTWARE sont utilisées pour les opérations de chiffrement effectuées dans un logiciel. Les clés Cloud KMS peuvent être générées par Google ou importées.

Matériel mutualisé: Les clés Cloud HSM avec le niveau de protection HSM sont stockées dans un module de sécurité matérielle (HSM) appartenant à Google. Les opérations de chiffrement utilisant ces clés sont effectuées dans nos HSM. Vous pouvez utiliser les clés Cloud HSM de la même manière que les clés Cloud KMS. Les clés Cloud HSM peuvent être générées par Google ou importées.
Matériel à locataire unique: Les clés Cloud HSM avec le niveau de protection HSM_SINGLE_TENANT sont stockées dans une instance à locataire unique dans un module de sécurité matérielle (HSM) appartenant à Google. Vous contrôlez et gérez l'instance Cloud HSM à locataire unique, qui est un cluster dédié de partitions HSM que vous gérez. Les opérations de chiffrement utilisant ces clés sont effectuées dans nos HSM. Vous pouvez utiliser les clés Cloud HSM à locataire unique de la même manière que les clés Cloud KMS. Les clés Cloud HSM à locataire unique peuvent être générées par Google ou importées. Pour en savoir plus, consultez Cloud HSM à locataire unique.

Externe via Internet: Les clés Cloud EKM avec le niveau de protection EXTERNAL sont générées et stockées dans votre système de gestion des clés externes (EKM). Cloud EKM stocke du matériel de chiffrement supplémentaire et un chemin d'accès à votre clé unique, qui est utilisé pour accéder à votre clé sur Internet.
Externe via VPC: Les clés Cloud EKM avec le niveau de protection EXTERNAL_VPC sont générées et stockées dans votre système de gestion des clés externes (EKM). Cloud EKM stocke du matériel de chiffrement supplémentaire et un chemin d'accès à votre clé unique, qui est utilisé pour accéder à votre clé sur un réseau cloud privé virtuel (VPC).

Les clés avec tous ces niveaux de protection partagent les fonctionnalités suivantes :

Utilisez vos clés pour les services intégrés de clés de chiffrement gérées par le client (CMEK) Google Cloud .

Remarque : Certains services intégrés de CMEK ne sont pas compatibles avec les clés Cloud EKM. Pour savoir quels services intégrés de CMEK sont compatibles avec les clés Cloud EKM, consultez Intégrations de CMEK.
Utilisez vos clés avec les API ou les bibliothèques clientes Cloud KMS, sans aucun code spécialisé basé sur le niveau de protection de la clé.
Contrôlez l'accès à vos clés à l'aide des rôles Identity and Access Management (IAM).
Déterminez si chaque version de clé est activée ou désactivée à partir de Cloud KMS.
Les opérations sur les clés sont enregistrées dans les journaux d'audit. La journalisation des accès aux données peut être activée.

Niveau de protection logicielle

Cloud KMS utilise le module BoringCrypto (BCM) pour toutes les opérations de chiffrement des clés logicielles. Le BCM est validé FIPS 140-3. Les clés logicielles Cloud KMS utilisent les primitives cryptographiques du BCM validées FIPS 140-3 de niveau 1.

Le niveau de protection logicielle est le moins cher. Les clés logicielles sont un bon choix pour les cas d'utilisation qui n'ont pas d'exigences réglementaires spécifiques pour un niveau de validation FIPS 140-3 plus élevé.

Niveau de protection matérielle

Cloud HSM peut vous aider à appliquer la conformité réglementaire pour vos charges de travail dans Google Cloud. Ce service vous permet de générer des clés de chiffrement et d'effectuer des opérations de chiffrement dans des HSM validés FIPS 140-2 de niveau 3. Il est entièrement géré. Vous pouvez donc protéger vos charges de travail les plus sensibles, sans avoir à vous soucier des coûts opérationnels engendrés par la gestion d'un cluster HSM. Cloud HSM fournit une couche d'abstraction au-dessus des modules HSM. Cette abstraction vous permet d'utiliser vos clés dans les intégrations CMEK ou les API ou bibliothèques clientes Cloud KMS sans code spécifique au HSM.

Les versions de clés matérielles sont plus coûteuses, mais elles offrent des avantages considérables en termes de sécurité par rapport aux clés logicielles. Chaque clé Cloud HSM comporte une instruction d'attestation contenant des informations certifiées sur votre clé. Cette attestation et ses chaînes de certificats associées peuvent être utilisées pour vérifier l'authenticité de l'instruction et des attributs de la clé et du HSM.

Niveau de protection matérielle à locataire unique

Avec Cloud HSM à locataire unique, vous créez et gérez votre propre instance Cloud HSM à locataire unique dans des HSM gérés par Google. Chaque instance est un cluster de partitions dédiées sur des HSM dans une Google Cloud région. Les administrateurs de votre instance disposent d'un contrôle administratif sur votre instance.

Cloud HSM à locataire unique offre les mêmes fonctionnalités que Cloud HSM mutualisé, avec l'avantage supplémentaire de l'isolation cryptographique des autres Google Cloud clients. Pour en savoir plus sur les fonctionnalités partagées par toutes les clés Cloud HSM, consultez Niveau de protection matérielle plus haut sur cette page.

Les instances Cloud HSM à locataire unique entraînent des dépenses supplémentaires par rapport à Cloud HSM mutualisé.

Niveaux de protection externes

Les clés Cloud External Key Manager (Cloud EKM) sont des clés que vous gérez dans un service partenaire de gestion des clés externes (EKM) compatible et que vous utilisez dans Google Cloud des services, des API et des bibliothèques clientes Cloud KMS. Les clés Cloud EKM peuvent être intégrées au logiciel ou au matériel, selon votre fournisseur EKM. Vous pouvez utiliser vos clés Cloud EKM dans des services intégrés de CMEK ou à l'aide des API et des bibliothèques clientes Cloud KMS.

Les niveaux de protection Cloud EKM sont les plus coûteux. Lorsque vous utilisez des clés Cloud EKM, vous pouvez être sûr que Google Cloud ne peut pas accéder à votre matériel de clé.

Pour savoir quels services intégrés de CMEK sont compatibles avec les clés Cloud EKM, consultez Intégrations de CMEK et appliquez le filtre Afficher uniquement les services compatibles avec EKM.

Niveau de protection externe via Internet

Vous pouvez utiliser des clés Cloud EKM sur Internet dans tous les emplacements compatibles avec Cloud KMS, à l'exception de nam-eur-asia1 et global.

Niveau de protection externe via VPC

Vous pouvez utiliser des clés Cloud EKM sur un réseau VPC pour une meilleure disponibilité de vos clés externes. Cette meilleure disponibilité signifie que vos clés Cloud EKM et les ressources qu'elles protègent ont moins de chances de devenir indisponibles.

Vous pouvez utiliser des clés Cloud EKM sur un réseau VPC dans la plupart des emplacements régionaux compatibles avec Cloud KMS. Cloud EKM sur un réseau VPC n'est pas disponible dans les emplacements multirégionaux.

Étape suivante

Découvrez les services compatibles qui vous permettent d'utiliser vos clés dans Google Cloud.
Découvrez le niveau de protection Cloud HSM à locataire unique et comment créer et gérer une instance Cloud HSM à locataire unique.
Découvrez comment créer des trousseaux de clés et créer des clés de chiffrement.
Découvrez comment importer des clés.
Découvrez les clés externes.
Découvrez d'autres éléments à prendre en compte pour l'utilisation de Cloud EKM.