Par défaut, Migrate to Virtual Machines chiffre le contenu client au repos. Migrate to Virtual Machines gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.
Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Migrate to Virtual Machines. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Cloud KMS vous permet également de suivre l'utilisation des clés, d'afficher les journaux d'audit et de contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.
Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Migrate to Virtual Machines est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).
Migrate to Virtual Machines utilise CMEK pour chiffrer les données suivantes :
- Données stockées en interne lors d'une migration
- Données sur des instances de machines virtuelles (VM) et des disques de VM cibles
- Données sur les disques et les images système cibles
Les sections suivantes décrivent ces scénarios plus en détail.
Utiliser des CMEK pour chiffrer les données stockées lors d'une migration
Pour chiffrer des données stockées lors d'une migration ou d'une importation à l'aide de clés CMEK, vous devez fournir une référence à une clé Cloud KMS lors de la création d'une source de migration ou d'une ressource d'importation, respectivement. Pour obtenir des instructions sur l'utilisation de CMEK pour chiffrer des données lors d'une migration à partir de différentes sources de migration, consultez les rubriques suivantes :
- Migration à partir d'une source AWS
- Migration depuis une source Azure
- Migration à partir d'une source VMware
- Importer des images de disque virtuel
- Importer des images système
Utiliser des CMEK pour chiffrer les données sur des instances de VM et des disques de VM cibles
Pour chiffrer des données sur des instances de VM et des disques de VM cibles à l'aide de clés CMEK, vous devez fournir une référence à une clé Cloud KMS dans les détails de la cible. Pour obtenir des instructions sur la configuration des CMEK dans les détails de la cible, consultez les sections Définir des CMEK pour les instances de VM et Définir des CMEK pour les disques de VM.
Utiliser des CMEK pour chiffrer les données sur les disques et les images système cibles
Pour chiffrer des données sur des disques et des images de machine cibles à l'aide de clés CMEK, vous devez fournir une référence à une clé Cloud KMS dans les détails de la cible. Pour obtenir des instructions sur la configuration des CMEK dans les détails de la cible, consultez Importer une image de disque virtuel dans Compute Engine et Importer une image système dans Compute Engine.