Configurer CMEK pour les buckets de journaux

Ce document fournit des instructions pour configurer des clés de chiffrement gérées par le client (CMEK) pour les journaux stockés dans des buckets de journaux. Il explique également comment gérer ces clés et décrit les limites associées à l'utilisation de CMEK.

Pour les organisations et les dossiers, vous pouvez configurer CMEK comme paramètre de ressource par défaut pour Cloud Logging. Une fois configuré, Cloud Logging s'assure que tous les nouveaux buckets de journaux de l'organisation ou du dossier sont chiffrés avec une clé gérée par le client. Si vous ne fournissez pas de clé lorsque vous créez un bucket de journaux, la clé spécifiée par les paramètres de ressource par défaut pour Cloud Logging est utilisée. Pour en savoir plus, consultez Configurer CMEK pour Cloud Logging.

Les informations de ce document ne s'appliquent pas aux buckets d'observabilité. Si vous êtes intéressé par les buckets d'observabilité, consultez Définir des valeurs par défaut pour les buckets d'observabilité.

Présentation

Par défaut, Cloud Logging chiffre le contenu client au repos. Logging gère le chiffrement pour vous sans aucune action supplémentaire de votre part. Cette option est appelée chiffrement par défaut de Google.

Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Logging. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Grâce à Cloud KMS, vous pouvez également afficher les journaux d'audit et contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.

Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Logging est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).

Prérequis

Procédez comme suit :

  1. L'utilisation de CMEK est soumise à certaines limites. Avant de créer un bucket de journaux avec CMEK activé, consultez la section Limites.

  2. Dans la Google Cloud console, activez Cloud Shell.

    Activer Cloud Shell

    En bas de la Google Cloud console, une session Cloud Shell démarre et affiche une invite de ligne de commande. Cloud Shell est un environnement shell dans lequel Google Cloud CLI est déjà installé, et dans lequel des valeurs sont déjà définies pour votre projet actuel. L'initialisation de la session peut prendre quelques secondes.

  3. Configurez le Google Cloud projet dans lequel vous prévoyez de créer vos clés :

    1. Pour obtenir les autorisations nécessaires pour créer des clés, demandez à votre administrateur de vous accorder le rôle IAM Administrateur Cloud KMS (roles/cloudkms.admin) sur le projet ou une ressource parente. Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

      Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

    2. Activez l'API Cloud KMS.

    3. Créez un trousseau de clés et des clés.

      Cloud Logging vous permet d'utiliser une clé de n'importe quelle région. Toutefois, lorsque vous créez un bucket de journaux, son emplacement doit correspondre à celui de la clé. Pour en savoir plus sur les régions compatibles, consultez les pages suivantes :

      Vous ne pouvez pas activer CMEK pour les buckets de journaux créés dans la région global.

  4. Assurez-vous de disposer des autorisations Cloud Logging suivantes sur le Google Cloud projet dans lequel vous prévoyez de créer des buckets de journaux :

    • logging.settings.get
    • logging.buckets.get
    • logging.buckets.list
    • logging.buckets.create
    • logging.buckets.update

Activer CMEK

Une fois les prérequis remplis, suivez ces instructions pour activer CMEK pour un bucket de journaux individuel.

Identifier l'ID du compte de service

Pour déterminer l'ID du compte de service associé à la Google Cloud ressource pour laquelle CMEK s'appliquera, procédez comme suit :

  1. Exécutez la commande gcloud logging settings describe suivante :

    gcloud logging settings describe --project=BUCKET_PROJECT_ID

    Avant d'exécuter la commande précédente, effectuez le remplacement suivant :

    • BUCKET_PROJECT_ID : nom du Google Cloud projet dans lequel vous prévoyez de créer le bucket de journaux.

    La commande précédente génère un compte de service pour la ressource spécifiée, s'il n'en existe pas déjà, et renvoie l'ID de ce compte de service dans le champ kmsServiceAccountId :

    kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
name: projects/BUCKET_PROJECT_ID/settings

    Le champ kmsServiceAccountId répertorie le compte de service utilisé par Cloud Logging pour appeler Cloud Key Management Service.

  2. Si le champ KMS_SERVICE_ACCT_NAME est au format cmek-pPROJECT_NUMBER, et que vous utilisez VPC Service Controls ou si vous activez le partage limité au domaine, déterminez si vous devez migrer votre compte de service CMEK. Pour savoir quand vous devez effectuer la migration et connaître les étapes à suivre, consultez Résoudre les problèmes liés à VPC Service Controls et au partage limité au domaine.

Affecter le rôle Chiffreur/Déchiffreur

Lorsque vous configurez CMEK au niveau du bucket de journaux, autorisez le compte de service à accéder à votre service Cloud KMS en lui attribuant le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS au compte de service identifié par le kmsServiceAccountId champ :

gcloud kms keys add-iam-policy-binding \
--project=KMS_PROJECT_ID \
--member=serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter \
--location=KMS_KEY_LOCATION \
--keyring=KMS_KEY_RING \
KMS_KEY_NAME

Avant d'exécuter la commande précédente, effectuez les remplacements suivants :

  • KMS_PROJECT_ID : identifiant alphanumérique unique du Google Cloud projet qui exécute Cloud KMS. Il est composé du nom de votre projet et d'un numéro attribué de manière aléatoire . Google Cloud Pour savoir comment obtenir cet identifiant, consultez Identifier des projets.
  • KMS_SERVICE_ACCT_NAME : nom du compte de service affiché dans le champ kmsServiceAccountId de la réponse à la commande gcloud logging settings describe.
  • KMS_KEY_LOCATION : région de la clé Cloud KMS.
  • KMS_KEY_RING : nom du trousseau de clés Cloud KMS.
  • KMS_KEY_NAME : nom de la clé Cloud KMS. Il est au format suivant : projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

Créer un bucket de journaux et fournir la clé Cloud KMS

Pour créer un bucket de journaux et activer CMEK pour celui-ci, exécutez la gcloud logging buckets create commande suivante :

gcloud logging buckets create BUCKET_ID \
--location=LOCATION \
--cmek-kms-key-name=KMS_KEY_NAME \
--project=BUCKET_PROJECT_ID

Avant d'exécuter la commande précédente, effectuez les remplacements suivants :

  • BUCKET_ID : nom ou ID du bucket de journaux.
  • LOCATION : emplacement du bucket de journaux.
  • KMS_KEY_NAME : nom de la clé Cloud KMS. Il est au format suivant : projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.
  • BUCKET_PROJECT_ID : nom du Google Cloud projet dans lequel le bucket de journaux sera créé.

Vérifier l'activation des clés de chiffrement

Pour vérifier que vous avez bien créé un bucket de journaux avec CMEK activé, exécutez la commande gcloud logging buckets list suivante :

gcloud logging buckets list --project=BUCKET_PROJECT_ID

Avant d'exécuter la commande précédente, effectuez le remplacement suivant :

  • BUCKET_PROJECT_ID : nom du Google Cloud projet qui stocke le bucket de journaux.

Dans la sortie tabulaire, une colonne intitulée CMEK s'affiche. Si la valeur de la colonne CMEK est TRUE, CMEK est activé pour le bucket de journaux.

Pour afficher les détails d'un bucket de journaux spécifique, y compris les détails de la clé, exécutez la commande suivante :

gcloud logging buckets describe BUCKET_ID --location=LOCATION --project=BUCKET_PROJECT_ID

Gérer votre clé Cloud KMS

Les sections suivantes décrivent comment mettre à jour un bucket de journaux pour utiliser la dernière version de clé primaire d'une clé Cloud KMS. Elles expliquent également comment modifier ou supprimer votre clé Cloud KMS et comment révoquer les droits d'accès qui lui sont associés.

Effectuer une rotation de votre clé Cloud KMS

Lorsque vous créez une clé Cloud KMS, vous pouvez configurer une période de rotation. Vous pouvez également effectuer une rotation manuelle d'une clé Cloud KMS. Chaque fois qu'une clé est alternée, une nouvelle version est créée.

Si vous effectuez une rotation d'une clé Cloud KMS, la nouvelle version de clé ne s'applique qu'aux buckets de journaux créés après la rotation des clés. Si la clé est utilisée par un bucket de journaux existant, la rotation de la clé ne modifie pas la façon dont le bucket de journaux protège ses données.

Supposons, par exemple, que vous créez un bucket de journaux et que vous activez CMEK, puis que vous effectuez une rotation de la clé Cloud KMS. Le bucket de journaux que vous avez créé n'utilise pas la nouvelle version de clé. Il continue de protéger ses données avec la version de clé qui a été marquée comme principale lors de sa création.

Pour mettre à jour un bucket de journaux afin qu'il utilise la version de clé primaire la plus récente d'une clé Cloud KMS, procédez comme suit :

  1. Identifiez la clé Cloud KMS actuelle du bucket de journaux. Pour en savoir plus, consultez Vérifier l'activation des clés de chiffrement.
  2. Identifiez une autre clé Cloud KMS que vous pouvez utiliser. Si votre trousseau de clés ne comporte qu'une seule clé, créez-en une.
  3. Remplacez la clé Cloud KMS du bucket de journaux par la clé Cloud KMS créée à l'étape précédente.
  4. Remplacez la clé Cloud KMS du bucket de journaux par la clé Cloud KMS d'origine.

Modifier votre clé Cloud KMS

Pour modifier la clé Cloud KMS associée à votre bucket de journaux, créez une clé et mettez à jour les paramètres CMEK du bucket de journaux :

gcloud logging buckets update BUCKET_ID --location=LOCATION \
--cmek-kms-key-name=NEW_KMS_KEY_NAME --project=BUCKET_PROJECT_ID
  • BUCKET_ID : nom ou ID du bucket de journaux.
  • LOCATION : emplacement du bucket de journaux.
  • NEW_KMS_KEY_NAME : nom de la nouvelle clé.
  • BUCKET_PROJECT_ID : nom du Google Cloud projet qui stocke le bucket de journaux.

Révoquer l'accès à la clé Cloud KMS

Pour révoquer l'accès de Logging à la clé Cloud KMS à tout moment, supprimez l'autorisation IAM du compte de service configuré pour cette clé.

Si vous supprimez l'accès de Logging à une clé, la prise en compte de la modification peut prendre jusqu'à une heure.

Si vous disposez d'un ensemble de données BigQuery associé, BigQuery ne peut pas utiliser cet accès pour appliquer la clé à une nouvelle table BigQuery. Si vous souhaitez utiliser une clé sur une table BigQuery qui n'est pas associée à Logging, suivez la documentation de BigQuery. Si vous révoquez l'accès de Logging à une clé et que vous disposez d'un ensemble de données BigQuery associé, vous révoquez également l'accès de BigQuery à la même clé.

Vous ne pouvez pas révoquer l'accès de BigQuery à la clé de l'ensemble de données associé tout en conservant l'accès de Logging.

Pour en savoir plus sur l'impact de la révocation de l'accès, consultez la section Limites.

Pour supprimer l'accès de Logging à une clé, exécutez la commande suivante :

gcloud kms keys remove-iam-policy-binding \
--project=KMS_PROJECT_ID \
--member=serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter \
--location=KMS_KEY_LOCATION \
--keyring=KMS_KEY_RING \
KMS_KEY_NAME

Avant d'exécuter la commande précédente, effectuez les remplacements suivants :

  • KMS_PROJECT_ID : identifiant alphanumérique unique du Google Cloud projet qui exécute Cloud KMS. Il est composé du nom de votre projet et d'un numéro attribué de manière aléatoire . Google Cloud Pour savoir comment obtenir cet identifiant, consultez Identifier des projets.
  • KMS_SERVICE_ACCT_NAME : nom du compte de service affiché dans le champ kmsServiceAccountId de la réponse à la commande gcloud logging settings describe.
  • KMS_KEY_LOCATION : région de la clé Cloud KMS.
  • KMS_KEY_RING : nom du trousseau de clés Cloud KMS.
  • KMS_KEY_NAME : nom de la clé Cloud KMS. Il est au format suivant : projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

Limites

Voici les limites connues.

CMEK désactive Error Reporting

Si vous souhaitez utiliser Error Reporting, n'activez pas les clés de chiffrement gérées par le client (CMEK) sur vos buckets de journaux. Pour en savoir plus, consultez la section Dépannage.

CMEK ne peut pas être supprimé des buckets de journaux

Vous ne pouvez pas reconfigurer les buckets de journaux pour modifier ou supprimer CMEK.

Dégradation due à l'indisponibilité de la clé Cloud KMS

Une clé Cloud KMS est considérée comme disponible et accessible par Logging si les deux conditions suivantes sont remplies :

  • La clé est activée.
  • Le compte de service Logging détient des autorisations de chiffrement et de déchiffrement sur la clé.

Logging recommande vivement de s'assurer que toutes les clés sont correctement configurées et toujours disponibles.

Perte de la reprise après sinistre

En cas de défaillance critique dans le stockage principal de Cloud Logging, Logging duplique les données de journalisation dans des fichiers de reprise après sinistre. Lorsque CMEK est activé pour une ressource, telle qu'une Google Cloud organisation, les journaux appartenant à cette ressource sont protégés par la clé CMEK configurée. Si la clé CMEK n'est pas accessible, les fichiers de reprise après sinistre ne peuvent pas être écrits pour cette ressource.

La perte de fichiers de reprise après sinistre n'affecte pas les opérations de journalisation normales. Toutefois, en cas de sinistre de stockage, Cloud Logging peut ne pas être en mesure de récupérer les journaux des ressources dont CMEK n'est pas correctement configuré.

Contraintes d'assistance

Cloud Customer Care ne peut pas lire les journaux de votre ressource si sa clé n'est pas correctement configurée ou devient indisponible.

Dégradation des performances des requêtes

Lorsqu'une clé de chiffrement gérée par le client est inaccessible, Cloud Logging continue de chiffrer vos données et de les stocker dans des buckets de journaux. Toutefois, Cloud Logging ne peut pas effectuer d'optimisations en arrière-plan sur ces données. Si l'accès à la clé est rétabli, les données deviennent disponibles. Toutefois, elles sont initialement stockées dans un état non optimisé et les performances des requêtes peuvent en pâtir.

Dégradation due à l'indisponibilité de la clé Cloud EKM

Lorsque vous utilisez une clé Cloud EKM, Google Cloud n'a aucun contrôle sur la disponibilité de votre clé gérée en externe dans le système partenaire de gestion des clés externes. Pour CMEK au niveau du bucket, si une clé gérée en externe n'est pas disponible, Cloud Logging continue de stocker les journaux dans des buckets de journaux, mais les utilisateurs ne peuvent pas y accéder.

Pour plus d'informations sur les clés externes et les autres solutions possibles, consultez la documentation de Cloud External Key Manager.

Régionalité

Lorsque vous créez un bucket de journaux et que vous activez CMEK, vous devez utiliser une clé dont la région correspond à la portée régionale de vos données. Vous ne pouvez pas configurer CMEK pour les buckets de journaux créés dans la global région.

Disponibilité des bibliothèques clientes

Les bibliothèques clientes de Logging ne fournissent pas de méthodes pour configurer CMEK.

Quotas

Lorsque vous utilisez CMEK dans Logging, vos projets peuvent consommer des quotas de requêtes de chiffrement Cloud KMS. Par exemple, l'activation de CMEK sur un bucket de journaux peut consommer ces quotas. Les opérations de chiffrement et de déchiffrement à l'aide de clés CMEK n'affectent les quotas Cloud KMS que si vous utilisez des clés matérielles (Cloud HSM) ou externes (Cloud EKM). Pour en savoir plus, consultez la page Quotas Cloud KMS.

Pour en savoir plus sur les limites d'utilisation de Logging, consultez la page Quotas et limites.

Résoudre les erreurs de configuration

Pour en savoir plus sur la résolution des erreurs de configuration de CMEK, consultez Résoudre les problèmes liés à CMEK et aux paramètres de l'organisation.