Cette page a été traduite par l'API Cloud Translation.

Activer CMEK pour Security Command Center

Par défaut, Security Command Center chiffre le contenu client au repos. Security Command Center gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.

Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Security Command Center. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Cloud KMS vous permet également de suivre l'utilisation des clés, de consulter les journaux d'audit et de contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.

Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Security Command Center est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).

Pour faciliter la séparation des tâches et mieux contrôler l'accès aux clés, nous vous recommandons de créer et de gérer les clés dans un projet distinct qui n'inclut pas d'autres ressources Google Cloud .

Lorsque vous utilisez des clés CMEK dans Security Command Center, vos projets peuvent consommer des quotas de requêtes de chiffrement Cloud KMS. Les instances chiffrées avec CMEK consomment des quotas lors de la lecture ou de l'écriture de données dans Security Command Center. Les opérations de chiffrement et de déchiffrement à l'aide de clés CMEK n'affectent les quotas Cloud KMS que si vous utilisez des clés matérielles (Cloud HSM) ou externes (Cloud EKM). Pour en savoir plus, consultez la page Quotas Cloud KMS.

Pour utiliser Security Command Center avec CMEK, vous devez choisir CMEK lorsque vous activez une organisation Security Command Center. Une fois Security Command Center activé, vous ne pouvez plus configurer le chiffrement des données. Vous ne pouvez pas configurer CMEK lors de l'activation au niveau du projet. Pour en savoir plus, consultez la ressource suivante :

Vous pouvez utiliser les règles d'administration CMEK pour appliquer les paramètres de chiffrement de votre choix lorsque vous activez Security Command Center. Pour savoir comment utiliser les règles d'administration CMEK avec Security Command Center, consultez Utiliser les règles d'administration CMEK.

La clé CMEK chiffre les données suivantes dans Security Command Center et l'API Security Command Center :

Résultats
Configurations de notification
Exportations BigQuery
Configurations de mise en sourdine

Avant de commencer

Avant de configurer CMEK pour Security Command Center, procédez comme suit :

Installez et initialisez la Google Cloud CLI :
1. Install the Google Cloud CLI.
2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
3. To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Créez un projet Google Cloud dans lequel Cloud KMS est activé. Il s'agit de votre projet clé.
Créez un trousseau de clés au bon emplacement. L'emplacement de votre trousseau de clés doit correspondre à celui où vous prévoyez d'activer Security Command Center. Pour savoir à quels emplacements de trousseau de clés correspondent les emplacements Security Command Center, consultez le tableau de la section Emplacement des clés de ce document. Pour savoir comment créer un trousseau de clés, consultez Créer un trousseau de clés.
Créez une clé Cloud KMS dans le trousseau de clés. Pour savoir comment créer une clé dans un trousseau de clés, consultez Créer une clé.
Pour vous assurer que le compte de service Cloud Security Command Center dispose des autorisations nécessaires pour chiffrer et déchiffrer des données, demandez à votre administrateur d'accorder au compte de service Cloud Security Command Center le rôle IAM Chiffreur/Déchiffreur de CryptoKeys Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) sur la clé Cloud KMS.
Important : Vous devez accorder ce rôle au compte de service Cloud Security Command Center, et non à votre compte utilisateur. Si vous ne l'accordez pas au bon compte principal, vous risquez de rencontrer des erreurs d'autorisation.
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Votre administrateur peut également attribuer au compte de service Cloud Security Command Center les autorisations requises à l'aide de rôles personnalisés ou d'autres rôles prédéfinis.

Emplacement de la clé

L'emplacement de votre clé Cloud KMS doit correspondre à celui où vous avez activé Security Command Center. Le tableau suivant indique l'emplacement de la clé Cloud KMS correspondant à chaque emplacement Security Command Center.

Emplacement de Security Command Center	Emplacement de la clé Cloud KMS
`eu`	`europe`
`global`	`us`
`sa`	`me-central2`
`us`	`us`

Si vous n'activez pas la résidence des données lorsque vous activez Security Command Center, utilisez global pour l'emplacement Security Command Center et us pour l'emplacement de votre clé Cloud KMS. Pour en savoir plus sur la résidence des données, consultez Planifier la résidence des données.

Si vous utilisez la contrainte de règle d'administration constraints/gcp.restrictNonCmekServices avec Security Command Center, CMEK est la seule option de chiffrement disponible.

Limites

Voici les limites de l'utilisation de clés CMEK avec Security Command Center :

Si vous avez déjà activé Security Command Center pour une organisation ou un projet de l'organisation que vous activez, vous ne pouvez pas utiliser CMEK sur Security Command Center pour cette organisation.
Vous ne pouvez pas configurer CMEK lors de l'activation au niveau du projet.
Vous ne pouvez pas modifier la clé Cloud KMS ni passer àGoogle-owned and Google-managed encryption key après avoir activé Security Command Center.

Avertissement : Si vous désactivez la clé CMEK, révoquez l'accès à celle-ci ou la détruisez après l'activation, Security Command Center cesse de fonctionner et vous risquez de perdre vos données Security Command Center. La destruction d'une version de clé est définitive et entraîne une perte de données irrécupérable.
Vous pouvez faire pivoter la clé, ce qui permet à Security Command Center d'utiliser la nouvelle version de la clé. Toutefois, certaines fonctionnalités de Security Command Center continueront à utiliser l'ancienne clé pendant 30 jours.

Utiliser les règles d'administration CMEK avec Security Command Center

Pour appliquer l'utilisation de CMEK pour Security Command Center, vous pouvez appliquer les règles d'administration suivantes au niveau de l'organisation, du dossier ou du projet :

constraints/gcp.restrictNonCmekServices, qui vous oblige à utiliser CMEK. Si vous définissez constraints/gcp.restrictNonCmekServices sur une organisation et que vous avez listé Security Command Center comme service restreint requis pour utiliser CMEK, vous devez utiliser CMEK lorsque vous activez Security Command Center.
constraints/gcp.restrictCmekCryptoKeyProjects, qui vous oblige à utiliser une clé provenant d'un projet ou d'un ensemble de projets spécifiques lorsque vous utilisez CMEK avec Security Command Center. La règle d'organisation constraints/gcp.restrictCmekCryptoKeyProjects, en elle-même, vous permet toujours de choisir le chiffrement par défaut de Google.

Si vous définissez constraints/gcp.restrictNonCmekServices et constraints/gcp.restrictCmekCryptoKeyProjects dans l'organisation où vous activez Security Command Center, Security Command Center vous demande d'utiliser une CMEK et exige que la clé CMEK se trouve dans un projet spécifique.

Si vous définissez constraints/gcp.restrictNonCmekServices sur un projet ou un dossier, vous devez utiliser CMEK dans l'organisation où vous activez Security Command Center et répertorier Security Command Center comme service restreint. Sinon, certaines fonctionnalités de Security Command Center ne fonctionneront pas correctement.

Pour savoir comment les règles d'administration sont évaluées dans la hiérarchie des ressourcesGoogle Cloud (organisations, dossiers et projets), consultez Comprendre l'évaluation hiérarchique.

Pour obtenir des informations générales sur l'utilisation des règles d'administration CMEK, consultez Règles d'administration CMEK.

Configurer les clés CMEK pour Security Command Center

Pour utiliser CMEK avec Security Command Center, procédez comme suit :

Lors de l'activation de Security Command Center pour une organisation, sélectionnez Modifier le chiffrement des données. Le volet Modifier les paramètres de chiffrement des données s'ouvre.
Sélectionnez Clé Cloud KMS.
Sélectionnez un projet.
Sélectionnez une clé. Vous pouvez sélectionner une clé à partir de n'importe quel Google Cloud projet, y compris les projets d'autres organisations. Seules les clés situées dans des emplacements compatibles sont affichées dans la liste. Pour en savoir plus sur les emplacements des clés CMEK pour Security Command Center, consultez le tableau de la section Emplacement des clés.
Cliquez sur OK et poursuivez le processus d'activation de Security Command Center.

Une fois que vous avez activé Security Command Center pour votre organisation, il chiffre vos données à l'aide de la clé Cloud KMS de votre choix.

Vérifier la configuration CMEK

Pour vérifier que vous avez correctement configuré CMEK pour Security Command Center :

Dans Security Command Center, sélectionnez Paramètres.
Accédez à l'onglet Détails du niveau.
Accédez à Détails de la configuration > Chiffrement des données pour afficher le nom de la clé. Si la CMEK pour Security Command Center est configurée, le nom de la clé s'affiche sous forme de lien après Chiffrement des données.

Résoudre les problèmes liés à CMEK pour Security Command Center

Bien qu'aucuns frais supplémentaires ne soient facturés pour activer CMEK dans Security Command Center Standard et Premium, des frais s'appliquent dans Cloud KMS lorsque Security Command Center utilise votre CMEK pour chiffrer et déchiffrer des données. Pour en savoir plus, consultez la page Tarifs de Cloud KMS.

Restaurer l'accès à Security Command Center

Lorsque CMEK est activé, le compte de service Security Command Center a besoin d'accéder à votre clé Cloud KMS pour fonctionner. Ne révoquez pas les autorisations du compte de service sur la CMEK, ne désactivez pas la CMEK et ne planifiez pas sa destruction. Ces actions entraînent l'arrêt des fonctionnalités Security Command Center suivantes :

Résultats
Configurations des exportations continues
Exportations BigQuery
Règles de masquage

Si la clé Cloud KMS n'est pas disponible lorsque vous essayez d'utiliser Security Command Center, un message d'erreur ou une erreur d'API FAILED_PRECONDITION s'affiche.

Vous pouvez perdre des fonctionnalités Security Command Center si une clé Cloud KMS présente l'un des problèmes suivants :

Il est possible que le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS de la clé du compte de service ait été révoqué. Vous pouvez restaurer l'accès à Security Command Center après la révocation d'une clé.
Il est possible que la clé Cloud KMS ait été désactivée. Vous pouvez restaurer l'accès à Security Command Center après la désactivation d'une clé.
La destruction de la clé a peut-être été programmée. Vous pouvez restaurer l'accès à Security Command Center après la programmation de la destruction d'une clé.

Restaurer l'accès à Security Command Center après la révocation d'une clé

Pour restaurer l'accès à votre clé dans Security Command Center, accordez au compte de service Cloud Security Command Center le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS sur la clé :

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORG_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Remplacez les éléments suivants :

KEY_RING : trousseau de clés pour votre clé Cloud KMS
LOCATION : emplacement de votre clé Cloud KMS
KEY_NAME : nom de votre clé Cloud KMS
ORG_NUMBER : numéro de votre organisation

Restaurer l'accès à Security Command Center après la désactivation d'une clé

Pour savoir comment activer une clé désactivée, consultez Activer une version de clé.

Restaurer l'accès à Security Command Center après la programmation de la destruction d'une clé

Pour savoir comment restaurer une clé dont la destruction est programmée, consultez Détruire et restaurer des versions de clé.

Une fois une clé détruite, vous ne pouvez pas la récupérer ni restaurer l'accès à Security Command Center.

Erreurs lors de la création de ressources protégées

Si vous rencontrez une erreur lors de la création de résultats, de configurations de notifications, de configurations de mise en sourdine ou d'exportations BigQuery, vérifiez si une règle d'administration CMEK est définie pour votre organisation ou pour l'un des projets ou dossiers de cette organisation.

Si vous choisissez Google-owned and Google-managed encryption keys lorsque vous activez une organisation Security Command Center et que vous définissez la règle d'administration CMEK constraints/gcp.restrictNonCmekServices sur un projet ou un dossier de l'organisation et que vous listez Security Command Center comme service restreint, vous ne pouvez pas créer de ressources protégées dans ce projet ou ce dossier. Pour en savoir plus, consultez Utiliser les règles d'administration CMEK avec Security Command Center.

Tarifs

Bien qu'aucuns frais supplémentaires ne soient facturés pour activer CMEK dans Security Command Center Standard ou Premium, des frais s'appliquent dans Cloud KMS lorsque Security Command Center utilise votre CMEK pour chiffrer ou déchiffrer des données. Pour en savoir plus, consultez la page Tarifs de Cloud KMS.