Appliquer une règle d'administration CMEK

Google Cloud propose deux contraintes liées aux règles d'administration pour vous aider à garantir l'utilisation des CMEK au sein d'une organisation:

constraints/gcp.restrictNonCmekServices permet d'exiger une protection CMEK.
constraints/gcp.restrictCmekCryptoKeyProjects permet de limiter les clés Filestore utilisées pour la protection CMEK.

Règles d'administration CMEK ne s'appliquent qu'aux ressources nouvellement créées dans les services Google Cloud compatibles.

Pour en savoir plus, consultez les pages Hiérarchie des ressources Google Cloud et Règles d'administration CMEK.

Contrôler l'utilisation des CMEK avec une règle d'administration

Filestore s'intègre aux contraintes liées aux règles d'administration CMEK pour vous permettre de spécifier des exigences de conformité de chiffrement pour les ressources Filestore de votre organisation.

Cette intégration vous permet d'effectuer les opérations suivantes :

Exiger des clés CMEK pour toutes les ressources Filestore.
Limitez les clés Cloud KMS pouvant être utilisées pour protéger les ressources d'un projet.

Les sections suivantes décrivent ces deux tâches.

Exiger des clés CMEK pour toutes les ressources Filestore

Une stratégie courante consiste à exiger que des clés CMEK soient utilisées pour protéger toutes les ressources d'une organisation. Vous pouvez utiliser la contrainte constraints/gcp.restrictNonCmekServices pour appliquer cette règle dans Filestore.

Si cette règle d'administration est définie, toutes les requêtes de création de ressources sans clé Cloud KMS spécifiée échouent.

Une fois cette règle définie, elle ne s'applique qu'aux nouvelles ressources du projet. Toutes les ressources existantes sans clé Cloud KMS continuent d'exister et sont accessibles sans problème.

Console

Ouvrez la page Règles d'administration.

Accéder à la page Règles d'administration
Dans le champ Filtre, saisissez constraints/gcp.restrictNonCmekServices, puis cliquez sur Restreindre les services autorisés à créer des ressources sans CMEK.
Cliquez sur Gérer la règle.
Sélectionnez Personnaliser, Remplacer, puis cliquez sur Ajouter une règle.
Sélectionnez Personnalisé, puis cliquez sur Refuser.
Dans le champ Valeur personnalisée, saisissez is:file.googleapis.com.
Cliquez sur OK, puis sur Définir une stratégie.

gcloud

  gcloud resource-manager org-policies --project=PROJECT_ID \
    deny gcp.restrictNonCmekServices is:file.googleapis.com

Pour vérifier que la règle est appliquée, vous pouvez essayer de créer une instance ou une sauvegarde dans le projet. Le processus échoue, sauf si vous spécifiez une clé Cloud KMS.

Restreindre les clés Cloud KMS pour un projet Filestore

Vous pouvez utiliser la contrainte constraints/gcp.restrictCmekCryptoKeyProjects pour restreindre les clés Cloud KMS que vous pouvez utiliser pour protéger une ressource dans un projet Filestore.

Vous pouvez spécifier une règle, par exemple : "Pour toutes les ressources Filestore dans projects/my-company-data-project, les clés Cloud KMS utilisées dans ce projet doivent provenir de projets/my-company-central-keys OU de projets/clés spécifiques à l'équipe".

Console

Ouvrez la page Règles d'administration.

Accéder à la page Règles d'administration
Dans le champ Filtre, saisissez constraints/gcp.restrictCmekCryptoKeyProjects, puis cliquez sur Limiter les projets pouvant fournir des clés CryptoKeys KMS pour CMEK.
Cliquez sur Gérer la règle.
Sélectionnez Personnaliser, Remplacer, puis cliquez sur Ajouter une règle.
Sélectionnez Personnalisé, puis cliquez sur Autoriser.
Dans le champ Valeur personnalisée, saisissez les valeurs suivantes:
```
under:projects/KMS_PROJECT_ID
```
Remplacez les éléments suivants :
- KMS_PROJECT_ID par l'ID du projet où se trouvent les clés Cloud KMS que vous souhaitez utiliser ; Exemple : under:projects/my-kms-project.
Cliquez sur OK, puis sur Définir une stratégie.

gcloud

  gcloud resource-manager org-policies --project=PROJECT_ID \
    allow gcp.restrictCmekCryptoKeyProjects under:projects/KMS_PROJECT_ID

Remplacez les éléments suivants :

KMS_PROJECT_ID par l'ID du projet où se trouvent les clés Cloud KMS que vous souhaitez utiliser ; Exemple : under:projects/my-kms-project.

Pour vérifier que la règle a bien été appliquée, vous pouvez essayer de créer une instance ou une sauvegarde à l'aide d'une clé Cloud KMS issue d'un autre projet. Le processus échouera.

Limites

Les limites suivantes s'appliquent lors de la configuration d'une règle d'administration.

Disponibilité des CMEK

Pour rappel, les CMEK ne sont pas compatibles avec les niveaux de service HDD de base et SSD de base. Compte tenu de la manière dont ces contraintes sont définies, si vous appliquez une règle d'administration nécessitant l'utilisation de clés CMEK, puis tentez de créer une instance ou une sauvegarde de base dans le projet associé, ces opérations de création échouent.

Ressources existantes

Les ressources existantes ne sont pas soumises aux nouvelles règles d'administration. Par exemple, si vous créez une règle d'administration qui vous oblige à spécifier une clé CMEK pour chaque opération create, la règle ne s'applique pas rétroactivement aux instances et aux chaînes de sauvegarde existantes. Ces ressources restent accessibles sans clé CMEK. Si vous souhaitez appliquer la stratégie à des ressources existantes, qu'il s'agisse d'instances ou de chaînes de sauvegarde, vous devez les remplacer.

Autorisations requises pour définir une règle d'administration

L'autorisation de définir ou de mettre à jour la règle d'administration peut s'avérer difficile à obtenir à des fins de test. Vous devez disposer du rôle Administrateur des règles d'administration, qui ne peut être attribué qu'au niveau de l'organisation.

Bien que le rôle doit être accordé au niveau de l'organisation, il est toujours possible de spécifier une stratégie qui ne s'applique qu'à un projet ou un dossier spécifique.

Impact de la rotation des clés Cloud KMS

Filestore n'effectue pas la rotation automatique de la clé de chiffrement d'une ressource lorsque la clé Cloud KMS associée à cette ressource change.

Toutes les données des instances et des sauvegardes existantes continuent d'être protégées par la version de clé avec laquelle elles ont été créées.
Toutes les instances ou sauvegardes nouvellement créées utilisent la version de clé primaire spécifiée au moment de leur création.

Lorsque vous effectuez la rotation d'une clé, les données chiffrées avec des versions de clé précédentes ne sont pas automatiquement rechiffrées. Pour chiffrer vos données avec la dernière version de clé, vous devez déchiffrer l'ancienne version de la ressource, puis rechiffrer la même ressource avec la nouvelle version. En outre, la rotation d'une clé ne désactive pas ni ne détruit automatiquement les versions de clé existantes.

Pour obtenir des instructions détaillées sur l'exécution de chacune de ces tâches, consultez les guides suivants:

Accès Filestore à la clé Cloud KMS

Une clé Cloud KMS est considérée comme disponible et accessible par Filestore dans les conditions suivantes:

La clé est activée.
Le compte de service Filestore dispose d'autorisations de chiffrement et de déchiffrement sur la clé.

Étapes suivantes

Découvrez comment chiffrer une instance ou une sauvegarde Filestore.
Apprenez-en davantage sur les CMEK.
Découvrez le chiffrement en transit dans Google Cloud.
En savoir plus sur les règles d'administration
Découvrez les règles d'administration CMEK.