Par défaut, Google Cloud Observability chiffre le contenu client au repos. Google Cloud Observability gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.
Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Google Cloud Observability. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Grâce à Cloud KMS, vous pouvez également afficher les journaux d'audit et contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.
Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Google Cloud Observability est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).
Google Cloud Observability peut utiliser des CMEK pour chiffrer les données stockées dans les buckets d'observabilité. Ces buckets stockent vos données de trace. Ce document liste les règles d'administration compatibles, présente les paramètres par défaut des buckets d'observabilité et décrit l'interaction entre les règles d'administration et les paramètres par défaut.
Ce document ne s'applique pas à Cloud Logging, qui peut chiffrer les données stockées dans des buckets de journaux avec des clés CMEK. Pour en savoir plus, consultez Configurer les CMEK pour Cloud Logging.
Contraintes liées aux règles d'administration acceptées
Pour contrôler où sont créés vos buckets d'observabilité et qui gère les clés de chiffrement de ces buckets, vous pouvez configurer les règles d'administration suivantes :
Règle avec un ID de contrainte
constraints/gcp.resourceLocations. Cette règle définit l'ensemble des emplacements où de nouvelles ressources peuvent être créées. Pour utiliser les buckets d'observabilité, cet ensemble d'emplacements doit inclure au moins un emplacement de buckets d'observabilité compatible.Règle
Denyavec l'ID de contrainteconstraints/gcp.restrictNonCmekServices. Cette règle exige que les nouvelles ressources soient chiffrées avec des CMEK.Une règle avec l'ID de contrainte
constraints/gcp.restrictCmekCryptoKeyProjects. Cette règle limite les clés Cloud Key Management Service utilisées pour le chiffrement.
Vous pouvez créer des règles d'administration qui s'appliquent au niveau de l'organisation, d'un dossier ou d'un projet. Pour en savoir plus, consultez Créer et modifier des règles.
À propos des paramètres par défaut pour les buckets d'observabilité
Google Cloud Observability fournit des paramètres par défaut pour les buckets d'observabilité, qui sont appliqués à un projet, un dossier ou une organisation. Ces paramètres par défaut fonctionnent avec les règles d'administration de votre organisation pour s'assurer que les nouveaux buckets d'observabilité se trouvent à l'emplacement de votre choix et utilisent le modèle de chiffrement que vous spécifiez.
Pour les organisations, les dossiers et les projets, les paramètres par défaut des buckets d'observabilité vous permettent de configurer les éléments suivants :
- Un emplacement de stockage par défaut.
- Une clé Cloud Key Management Service par défaut pour chaque emplacement.
Lorsqu'ils sont configurés pour un projet, ces paramètres ne s'appliquent qu'aux nouveaux buckets d'observabilité créés dans ce projet. Lorsqu'ils sont configurés pour un dossier ou une organisation, ces paramètres s'appliquent aux nouveaux buckets d'observabilité créés dans les projets descendants du dossier ou de l'organisation, à l'exception de ceux pour lesquels vous avez configuré des paramètres par défaut.
Pour en savoir plus, consultez Définir des valeurs par défaut pour les buckets d'observabilité.Interaction entre les règles d'administration et les paramètres par défaut
Le parent d'un bucket d'observabilité doit être un projet. Autrement dit, le système ne peut pas créer de bucket d'observabilité dans un dossier ni dans une organisation. Toutefois, si vous configurez des paramètres par défaut pour les buckets d'observabilité d'une organisation ou d'un dossier, ces paramètres par défaut s'appliquent à tous les projets descendants de cette organisation ou de ce dossier.
Le tableau suivant liste les règles utilisées par le système pour déterminer l'emplacement d'un nouveau bucket d'observabilité :
| Utiliser une règle d'administration pour restreindre l'emplacement |
Le projet (ou un projet ancêtre) possède un emplacement de stockage par défaut |
Comment le système détermine-t-il l'emplacement d'un nouveau bucket d'observabilité ? |
|---|---|---|
| Non | Non | Le système sélectionne l'emplacement parmi les emplacements compatibles pour les buckets d'observabilité. |
| Oui | Non | Le système sélectionne l'emplacement à partir de l'intersection des emplacements autorisés par les règles d'administration et de ceux compatibles avec les buckets d'observabilité. Si l'intersection est vide, le système ne crée pas le bucket d'observabilité. |
| Non | Oui | Le système définit l'emplacement sur l'emplacement de stockage par défaut défini dans les paramètres par défaut du projet. Si le projet ne définit pas d'emplacement de stockage par défaut, le système utilise celui défini pour un ancêtre. |
| Oui | Oui | Le système définit l'emplacement sur l'emplacement de stockage par défaut défini dans les paramètres par défaut du projet. Si le projet ne définit pas d'emplacement de stockage par défaut, le système utilise celui de l'ancêtre. Si l'emplacement de stockage par défaut n'est pas autorisé par les règles d'administration d'administration de l'organisation, le système ne crée pas le bucket d'observabilité. |
Le tableau suivant liste les règles utilisées par le système pour déterminer si un nouveau bucket d'observabilité utilise des clés CMEK et, le cas échéant, la valeur de la clé Cloud KMS. Pour chiffrer un bucket d'observabilité, une clé Cloud KMS doit se trouver à l'emplacement du bucket et être autorisée par les règles d'administration d'administration de l'organisation. Si vous ne spécifiez pas de règle d'administration avec la contrainte gcp.restrictCmekCryptoKeyProjects, toutes les clés sont autorisées :
| Utiliser une règle d'administration pour exiger les CMEK |
Le projet (ou un projet ancêtre) possède une clé Cloud KMS par défaut |
Comment le système détermine la clé Cloud KMS à utiliser. |
|---|---|---|
| Non | Non | Le bucket d'observabilité n'utilise pas de CMEK. |
| Oui | Non | Le système ne crée pas de buckets d'observabilité, car la règle d'administration de l'organisation exige des clés CMEK, mais aucune clé Cloud KMS par défaut n'est définie. |
| Non | Oui | Pour identifier une clé de chiffrement, le système détermine d'abord si un emplacement de stockage par défaut est défini pour le projet ou pour l'un de ses ancêtres. Sinon, le système sélectionne un emplacement et crée le bucket d'observabilité. Le bucket n'utilise pas de CMEK. Si un emplacement de stockage par défaut est trouvé, le système recherche une clé Cloud KMS par défaut dans les paramètres par défaut du projet. Si les paramètres par défaut du projet ne spécifient pas de clé appropriée, le système recherche dans les paramètres par défaut de l'ancêtre une clé par défaut qui se trouve à l'emplacement du nouveau bucket. L'un des événements suivants se produit :
|
| Oui | Oui | Pour identifier une clé de chiffrement, le système détermine d'abord si un emplacement de stockage par défaut est défini pour le projet ou pour l'un de ses ancêtres. Si aucun emplacement de stockage par défaut n'est défini, le système ne crée pas le nouveau bucket d'observabilité. Si un emplacement de stockage par défaut est trouvé, le système recherche une clé Cloud KMS par défaut dans les paramètres par défaut du projet. Si les paramètres par défaut du projet ne spécifient pas de clé appropriée, le système recherche dans les paramètres par défaut de l'ancêtre une clé par défaut qui se trouve à l'emplacement du nouveau bucket. L'un des événements suivants se produit :
|
Limites
Lorsque le système crée un bucket d'observabilité, le modèle de chiffrement est défini sur le chiffrement par défaut de Google ou sur le chiffrement géré par le client. Une fois le bucket créé, vous ne pouvez plus modifier le modèle de chiffrement.
Étapes suivantes
L'article Définir des valeurs par défaut pour les buckets d'observabilité explique comment définir un emplacement de stockage et une clé Cloud KMS par défaut pour vos buckets d'observabilité.
Les pages Configurer les paramètres de ressources par défaut pour Cloud Logging et Configurer les CMEK pour Cloud Logging expliquent comment définir un emplacement de stockage et une clé Cloud KMS par défaut pour vos buckets de journaux.