En tant que client Sovereign Controls by Partners, vous utilisez un workflow différent pour gérer vos clés Cloud External Key Manager (Cloud EKM). Au lieu de configurer et de gérer votre propre gestionnaire de clés externe, Google Cloud et le partenaire s'en charge pour vous. Cela signifie que le partenaire gère vos clés et leurs versions à votre demande.
Cette page explique comment envoyer des demandes pour les opérations de clé courantes dans un projet Cloud Key Management Service géré par un partenaire, généralement appelé projet de gestion des clés.
Avant de commencer
Vous devez disposer d'un trousseau de clés contenant au moins une clé avant d'envoyer des requêtes d'opération de clé.
Obtenir le nom de ressource de la clé
Pour toute demande d'opération sur une clé, vous devez fournir le nom de ressource de la clé ou de la version de clé à modifier.
- Vous devez fournir le nom de ressource de la clé pour créer une version ou effectuer une rotation de clé.
- Vous devez fournir le nom de ressource de la version de clé pour mettre à jour ou détruire une version de clé.
Demandes Issue Tracker
Issue Tracker est un outil utilisé par Google et ses partenaires pour suivre les demandes concernant des projets spécialisés. Pour les projets Cloud Key Management Service gérés par un partenaire, vous utilisez l'outil Issue Tracker pour envoyer des demandes au partenaire, qui les traite ensuite dans votre projet Cloud Key Management Service et gère vos clés dans le gestionnaire de clés externes.
Vous trouverez un lien vers l'Issue Tracker de votre organisation dans votre e-mail de bienvenue.
Opérations de clé courantes
Créer une version de clé
Utilisez Issue Tracker pour demander une nouvelle version de clé. La nouvelle version de clé est définie comme version principale s'il s'agit de la première version de clé ou s'il n'y a pas d'autres versions de clé.
Dans l'outil Issue Tracker, sélectionnez Créer une version de clé et indiquez le nom de ressource de votre clé. Cliquez sur Créer pour envoyer votre demande.
Alterner la clé
Dans l'outil Issue Tracker, indiquez Rotate key (Faire pivoter la clé) dans le corps de la demande et fournissez le nom de ressource de votre clé. Cliquez sur Créer pour envoyer votre demande.
Lorsqu'une clé est permutée, le partenaire génère un nouveau matériel de clé dans l'EKM, crée une version de clé dans votre projet Cloud Key Management Service, puis définit la nouvelle version de clé comme version principale.
La rotation d'une version de clé entraîne le chiffrement de toutes les données nouvellement créées et protégées par cette clé avec un nouveau matériel de clé. Les données protégées avec l'ancien matériel de clé ne sont pas rechiffrées. Par conséquent, votre matériel de clé précédent doit rester disponible pour être utilisé.
Désactiver une version de clé
Vous pouvez utiliser la console Google Cloud , Google Cloud CLI ou une bibliothèque cliente Cloud KMS pour désactiver une version de clé à l'état Activée. Lorsque vous désactivez une version de clé, son état passe à Désactivée. Pour en savoir plus, consultez Activer et désactiver des versions de clés dans la documentation Cloud KMS.
Détruire une version de clé
Pour détruire une version de clé, programmez sa destruction dans Cloud KMS. La clé Cloud KMS est alors détruite et les données chiffrées par cette clé ne sont plus accessibles.
Si vous souhaitez également détruire la clé dans l'EKM du partenaire :
- Programmez la destruction de la version de clé.
- Dans l'outil Issue Tracker, sélectionnez Destroy key version (Détruire la version de la clé) dans le corps de la demande, puis indiquez le nom de ressource de la version de la clé que vous souhaitez détruire.
- Cliquez sur Créer pour envoyer votre demande.
Le partenaire confirme avec vous votre demande de destruction de clé avant de la traiter. Une fois la destruction confirmée, le partenaire fournit la date et l'heure de destruction de la clé. Vous pouvez restaurer la clé avant sa destruction.
Pendant la période précédant la destruction de la clé, si vous restaurez votre version de clé, la clé Cloud KMS et la clé dans l'EKM du partenaire seront conservées.
Si la destruction se poursuit comme prévu, la clé Cloud KMS est supprimée en premier, puis la clé de l'EKM du partenaire est supprimée.
Temps de réponse
N'utilisez l'Issue Tracker que pour les opérations de gestion des clés courantes. Une fois votre demande envoyée dans l'outil Issue Tracker, vous devriez recevoir une réponse de votre partenaire sous un jour ouvré.
Voir aussi
- Consulter la liste des produits compatibles