Cette page décrit l'utilisation des clés de chiffrement gérées par le client (CMEK) pour gérer Google Cloud NetApp Volumes.
À propos des clés CMEK
NetApp Volumes chiffre toujours vos données avec des clés spécifiques au volume. NetApp Volumes chiffre toujours vos données au repos.
Avec les clés CMEK, Cloud Key Management Service encapsule vos clés de volume stockées. Cette fonctionnalité vous offre un meilleur contrôle sur les clés de chiffrement que vous utilisez et une sécurité accrue en stockant les clés sur un système ou dans un emplacement différent des données. NetApp Volumes est compatible avec les fonctionnalités de Cloud Key Management Service, telles que les modules de sécurité matériels, et le cycle de vie complet de la gestion des clés (génération, utilisation, rotation et destruction).
NetApp Volumes n'accepte qu'une seule règle CMEK par région. Une règle CMEK est associée à un pool de stockage, et tous les volumes créés dans ce pool l'utilisent. Vous pouvez avoir un mélange de pools de stockage avec et sans règles CMEK dans une région. Si vous avez des pools sans CMEK dans une région spécifique, vous pouvez les convertir en CMEK à l'aide de l'action de migration de la règle CMEK d'une région.
L'utilisation de clés CMEK est facultative. Si vous les utilisez, les règles CMEK sont spécifiques à une région. Vous ne pouvez configurer qu'une seule règle par région.
Les pools de stockage en mode ONTAP utilisent également des règles CMEK. Vous ne pouvez pas configurer différents gestionnaires de clés en mode ONTAP.
Remarques
Les sections suivantes incluent des limites à prendre en compte pour les clés CMEK.
Gestion des clés
Si vous utilisez des clés CMEK, vous êtes seul responsable de vos clés et de vos données.
Configurations Cloud KMS
Les clés CMEK utilisent des clés symétriques pour le chiffrement et le déchiffrement.
Une fois tous les volumes supprimés dans une région pour un projet, la configuration Cloud KMS revient à un état Ready créé. Elle est réutilisée lorsque vous créez le volume suivant dans cette région.
Trousseaux de clés régionaux
NetApp Volumes n'accepte que les trousseaux de clés KMS régionaux, qui doivent se trouver dans la même région que la règle CMEK.
Niveau de service
Les clés CMEK sont compatibles avec les pools de stockage des niveaux de service Flex Unified, Flex File, Standard, Premium et Extreme.
VPC Service Controls
Pour en savoir plus sur l'utilisation de VPC Service Controls, consultez Configurer une règle d'entrée VPC Service Controls pour les clés CMEK.
Règle d'administration CMEK
La règle d'administration CMEK pour NetApp Volumes permet aux organisations de contrôler les clés de chiffrement des données et de limiter les clés pouvant être utilisées pour les clés CMEK. Pour ce faire, elle applique l'utilisation de clés CMEK pour chiffrer les données au repos dans les nouveaux pools de stockage et coffres de sauvegarde, et permet aux organisations de gérer les clés de chiffrement à l'aide de Cloud KMS. La règle d'administration est appliquée lors de la création du pool de stockage et du coffre de sauvegarde, et n'affecte pas les pools de stockage et coffres de sauvegarde existants.
Les règles d'administration permettent aux administrateurs d'appliquer et de faire respecter des contraintes cohérentes dans tous les projets et toutes les ressources. Cela est important pour les organisations qui gèrent plusieurs projets et ressources afin d'appliquer des règles standardisées.
Il existe deux types de contraintes de règles d'administration qui peuvent être appliquées aux clés CMEK :
Limiter les services non CMEK : vous permet de spécifier les services d'une organisation, d'un projet ou d'un dossier qui peuvent être configurés sans clés CMEK. Si vous ajoutez un service à la liste de refus ou si vous l'excluez de la liste d'autorisation, les ressources de ce service nécessitent des clés CMEK. Par défaut, cette contrainte autorise la création de ressources non CMEK.
Limiter les projets de CryptoKeys CMEK : vous permet de définir les projets qui peuvent fournir des clés KMS pour les CMEK lors de la configuration de ressources au sein de l'organisation, du projet ou du dossier. Si cette contrainte est définie, seules les clés KMS des projets spécifiés peuvent être utilisées pour les ressources protégées par des clés CMEK. Si la contrainte n'est pas définie, les CryptoKeys de n'importe quel projet peuvent être utilisées.
Pour en savoir plus sur l'application d'une règle d'administration, consultez Appliquer une règle d'administration CMEK.
Options CMEK
NetApp Volumes est compatible avec les clés CMEK, qui peuvent être stockées sous forme de clés logicielles, de clés matérielles dans un cluster HSM ou de clés externes stockées dans Cloud External Key Manager (Cloud EKM).
Pour en savoir plus, consultez Cloud Key Management Service.
Impact opérationnel des erreurs de clé
Une clé Cloud KMS désactivée ou une clé externe inaccessible utilisée dans une règle CMEK peut affecter les ressources et les opérations de NetApp Volumes et les coffres de sauvegarde associés à cette règle.
Les clés externes sont gérées par un tiers, et Google Cloud n'est pas responsable de leur disponibilité.
Volumes
Si le External Key Manager (EKM) informe Cloud Key Management Service qu'une clé externe est inaccessible, les volumes utilisant cette clé sont mis hors connexion, ce qui empêche les opérations de lecture et d'écriture. Le même résultat se produit si une clé Cloud KMS est désactivée.
Coffres de sauvegarde
Pour les coffres de sauvegarde qui utilisent des clés CMEK, vous devez vous assurer de la disponibilité de la ou des clés auxquelles le coffre de sauvegarde fait référence. Lorsque vous faites pivoter une clé, le système effectue une opération de rechiffrement sur le coffre de sauvegarde à l'aide de la nouvelle clé primaire. Jusqu'à la fin de cette opération, la clé pivotée doit être disponible pour le coffre de sauvegarde. Si vous supprimez la clé pivotée, vous ne pouvez pas récupérer les sauvegardes qui y font référence. Si la clé pivotée est inaccessible ou désactivée, les restaurations échouent jusqu'à ce qu'elle soit accessible ou activée.
Si la clé primaire est désactivée, inaccessible ou détruite, les opérations de chiffrement en cours échouent. Si vous ne pouvez pas récupérer la clé primaire, vous ne pouvez pas récupérer toutes les sauvegardes chiffrées qui y font référence. Le coffre de sauvegarde n'initie pas de nouvelles opérations de sauvegarde.
L'état du coffre de sauvegarde inclut des informations sur la clé CMEK et l'état du chiffrement.
Les utilisateurs reçoivent également une erreur contenant des informations sur l'état actuel de la clé si l'une des opérations suivantes est tentée alors que l'EKM est inaccessible ou que la clé Cloud KMS est désactivée dans les régions source ou de destination pour la réplication :