Ce document fournit des instructions pour configurer le chiffrement géré par le client (CMEK) des journaux stockés buckets de journaux. Ce document également décrit comment gérer ces clés, ainsi que les limites associées à l'utilisation des CMEK.
Vous pouvez configurer CMEK comme paramètre de ressource par défaut pour une organisation ou dans un dossier. Une fois configuré, Cloud Logging s'assure que tous les nouveaux buckets de journaux dans l'organisation ou le dossier chiffrées avec une clé gérée par le client. Si vous ne fournissez pas de clé lorsque vous créez le bucket de journaux, la clé par défaut est utilisée. Pour en savoir plus, consultez la page Configurer CMEK pour Cloud Logging.
Présentation
Par défaut, Cloud Logging chiffre le contenu client stocké au repos. Les données stockées par Logging dans des buckets de journaux sont chiffrées à l'aide de clés de chiffrement de clé, un processus appelé chiffrement encapsulé. L'accès à vos données de journalisation nécessite l'accès à ces clés de chiffrement de clé, qui sont gérées par Google gère sans aucune action de votre part.
Votre organisation peut avoir des exigences de chiffrement réglementaires, de conformité ou avancées que notre chiffrement au repos par défaut ne fournit pas. Pour répondre aux exigences de votre organisation, au lieu de laisser Google gérer de chiffrement qui protègent vos données, vous pouvez les gérer.
Pour obtenir des informations spécifiques sur l'utilisation des CMEK, y compris leurs avantages, et ses limites, consultez la page Clés de chiffrement gérées par le client.
Pour le chiffrement symétrique, la rotation périodique et automatique des clés est recommandée en termes de sécurité. Pour en savoir plus, consultez la page Rotation des clés.
Prérequis
Procédez comme suit :
L'utilisation de CMEK présente certaines limites. Avant de créer un bucket de journaux avec CMEK activée, consultez la section Limites.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Ce guide fournit des instructions à l'aide de la Google Cloud CLI.
Créez ou identifiez le projet Google Cloud dans lequel vous souhaitez exécuter Cloud KMS.
-
Pour obtenir les autorisations dont vous avez besoin pour créer des clés, demandez à votre administrateur de vous accorder le rôle IAM Administrateur Cloud KMS (
roles/cloudkms.admin) sur le projet ou une ressource parente. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Assurez-vous de disposer des autorisations Cloud Logging suivantes:
logging.settings.getlogging.buckets.getlogging.buckets.listlogging.buckets.createlogging.buckets.update
Activez l'API Cloud KMS pour le projet Google Cloud qui exécute Cloud KMS.
Créez des clés et un trousseau de clés pour le projet Google Cloud qui exécute Cloud KMS.
Pour aligner les domaines de défaillance, vous devez utiliser un trousseau de clés dont l'emplacement correspond à la portée régionale de vos données:
Vous ne pouvez pas activer les CMEK pour les buckets de journaux créés dans la région
global.Identifiez les valeurs des variables suivantes:
- BUCKET_ID est l'identifiant numérique unique du Bucket Logging à créer.
- BUCKET_PROJECT_ID est le nom du projet Google Cloud contenant le nouveau bucket de journaux.
- KMS_PROJECT_ID est l'identifiant alphanumérique unique ; composé du nom de votre projet Google Cloud et d'un fichier du projet Google Cloud en cours d'exécution Cloud KMS.
- KMS_KEY_LOCATION est la clé Cloud KMS dans la même région.
- KMS_KEY_RING est le trousseau de clés Cloud KMS son nom.
- KMS_KEY_NAME par le nom de la clé Cloud KMS.
Son format est le suivant :
projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEYRING/cryptoKeys/KEY
Pour en savoir plus sur la localisation des identifiants de ressources, consultez Identifier des projets
Activer les CMEK
Une fois les étapes préalables effectuées, procédez comme suit : pour activer les CMEK pour un bucket de journaux individuel.
Identifier l'ID du compte de service
Pour déterminer l'ID de compte de service associé à Google Cloud à laquelle la clé CMEK s'applique, procédez comme suit:
Exécutez la commande suivante :
gcloud logging settings describe:gcloud logging settings describe --project=BUCKET_PROJECT_ID
La commande précédente génère un compte de service pour ressource, lorsqu'il n'en existe pas déjà, et renvoie l'ID de cette ressource compte de service dans le champ
kmsServiceAccountId:kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com name: projects/BUCKET_PROJECT_ID/settings
Le champ
kmsServiceAccountIdrépertorie le compte de service utilisé par Cloud Logging pour appeler Cloud Key Management Service. Le format du champ KMS_SERVICE_ACCT_NAME estservice-PROJECT_NUMBERoucmek-pPROJECT_NUMBER.Si le champ KMS_SERVICE_ACCT_NAME a le format suivant :
cmek-pPROJECT_NUMBER, Si vous utilisez VPC Service Controls ou si vous activer le partage restreint au domaine ; déterminez ensuite si vous devez migrer votre compte de service CMEK. Pour savoir quand effectuer la migration et connaître la procédure à suivre la migration, consultez Résoudre les problèmes liés à VPC Service Controls et au partage restreint au domaine
Affecter le rôle Chiffreur/Déchiffreur
Lorsque vous configurez une CMEK au niveau du bucket de journaux,
l'autorisation d'utiliser votre service Cloud KMS en attribuant le rôle
Chiffreur/Déchiffreur de CryptoKeys Cloud KMS
au compte de service identifié par le champ kmsServiceAccountId:
gcloud kms keys add-iam-policy-binding \ --project=KMS_PROJECT_ID \ --member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter \ --location=KMS_KEY_LOCATION \ --keyring=KMS_KEY_RING \ KMS_KEY_NAME
Définissez les variables dans la commande précédente comme suit:
Remplacez KMS_SERVICE_ACCT_NAME par la valeur
kmsServiceAccountId. que vous avez déterminé à l'étape précédente.Remplacez les autres variables par les valeurs que vous avez déterminées dans le prérequis.
Créer un bucket de journaux et fournir la clé Cloud KMS
Pour créer un bucket de journaux
et activer les CMEK pour celui-ci,
exécutez la commande suivante
gcloud logging buckets create
:
gcloud logging buckets create BUCKET_ID \ --location=LOCATION \ --cmek-kms-key-name=KMS_KEY_NAME
Vérifier l'activation des clés de chiffrement
Pour vérifier que vous avez bien créé un bucket de journaux avec CMEK activé, exécutez la commande suivante:
gcloud logging buckets list --project=BUCKET_PROJECT_ID
Le résultat tabulaire comporte une colonne intitulée CMEK. Si la valeur de
la colonne CMEK indique TRUE, la clé CMEK est activée pour le bucket de journaux.
Pour afficher les détails d'un bucket de journaux spécifique, y compris les détails de la clé, exécutez la commande suivante :
gcloud logging buckets describe BUCKET_ID
Gérer votre clé Cloud KMS
Dans les sections suivantes, nous allons voir comment mettre à jour un bucket de journaux pour utiliser la dernière version de clé primaire d'une clé Cloud KMS. Ils décrivent également comment modifier, révoquer et désactiver une clé Cloud KMS.
Effectuer une rotation de votre clé Cloud KMS
Lorsque vous créez une clé Cloud KMS, vous pouvez configurer une période de rotation. Vous pouvez également procéder manuellement à la rotation d'une clé Cloud KMS. À chaque rotation d'une clé, une version est créée pour cette clé.
Si vous effectuez la rotation d'une clé Cloud KMS, la nouvelle version de clé ne s'applique pour consigner les buckets créés après la rotation des clés. Si la clé est utilisée par un bucket de journaux existant, la rotation de la clé ne modifie pas la façon dont le bucket protège ses données.
Supposons que vous créez un bucket de journaux et que vous activez CMEK. Ensuite, vous effectuez une rotation de la clé Cloud KMS. Le bucket de journaux que vous créée n'utilise pas la nouvelle version de clé, mais continue de protéger son avec la version de clé qui a été marquée comme principale lorsque le bucket de journaux créé.
Pour mettre à jour un bucket de journaux afin qu'il utilise la version de clé primaire la plus récente Cloud KMS, procédez comme suit:
- Identifiez la clé Cloud KMS actuelle du bucket de journaux. Pour en savoir plus, consultez Vérifier l'activation des clés.
- Identifiez une autre clé Cloud KMS que vous pouvez utiliser. Si votre le trousseau ne comporte qu'une seule clé, puis sur Créer une clé.
- Remplacez la clé Cloud KMS du bucket de journaux par la Clé Cloud KMS créée à l'étape précédente.
- Remplacez la clé Cloud KMS du bucket de journaux par la clé Cloud KMS d'origine.
Modifier votre clé Cloud KMS
Pour modifier la clé Cloud KMS associée à votre bucket de journaux, procédez comme suit : créer une clé et mettre à jour les paramètres CMEK du bucket de journaux:
gcloud logging buckets update BUCKET_ID --cmek-kms-key-name=NEW_KMS_KEY_NAME
Révoquer l'accès à la clé Cloud KMS
Pour révoquer l'accès de Logging à la clé Cloud KMS à tout moment, supprimez l'autorisation IAM du compte de service configuré pour cette clé.
Si vous supprimez l'accès de Logging à une clé, la prise en compte de la modification peut prendre jusqu'à une heure.
Si vous disposez d'un ensemble de données BigQuery associé, BigQuery ne peut pas utiliser cet accès pour appliquer la clé à une nouvelle tableau. Si vous souhaitez utiliser sur une table BigQuery des clés associé à Logging, suivez Documentation BigQuery pour ce faire. Si vous révoquez l'accès de Logging à une clé et que vous avez un ensemble de données BigQuery associé ; vous révoquez également l'accès de BigQuery à cette clé.
Vous ne pouvez pas révoquer l'accès de BigQuery à la clé de l'ensemble de données associé tout en préservant l'accès de Logging.
Pour en savoir plus sur les conséquences de la révocation d'accès, consultez Limites.
Pour supprimer l'accès de Logging à une clé, exécutez la commande suivante:
gcloud kms keys remove-iam-policy-binding \ --project=KMS_PROJECT_ID \ --member serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \ --role roles/cloudkms.cryptoKeyEncrypterDecrypter \ --location=KMS_KEY_LOCATION \ --keyring=KMS_KEY_RING \ KMS_KEY_NAME
Limites
Les limites suivantes sont connues.
La clé CMEK désactive Error Reporting
Si vous souhaitez utiliser Error Reporting, activer les clés de chiffrement gérées par le client (CMEK) dans vos buckets de journaux. Pour en savoir plus, consultez la section Dépannage.
Impossible de supprimer la clé CMEK des buckets de journaux
Vous ne pouvez pas reconfigurer les buckets de journaux pour modifier ou supprimer les CMEK.
Dégradation due à l'indisponibilité d'une clé Cloud KMS
Une clé Cloud KMS est considérée comme disponible et accessible par Logging si les deux conditions suivantes sont remplies :
- La clé est activée.
- Le compte de service Logging dispose de fonctionnalités de chiffrement et de déchiffrement sur la clé.
Logging recommande vivement de vérifier que les clés configurés et toujours disponibles.
Perte de reprise après sinistre
En cas de défaillances critiques dans l'espace de stockage principal de Cloud Logging, Logging met en miroir les données de journalisation dans des fichiers de reprise après sinistre. Lorsque le chiffrement CMEK est activé pour une ressource, telle qu'une organisation Google Cloud, les journaux appartenant à cette ressource sont protégés par la clé CMEK configurée. Si la clé CMEK n'est pas accessible, les fichiers de reprise après sinistre ne peuvent pas être écrits pour cette ressource.
La perte de fichiers de reprise après sinistre n'affecte pas les opérations de journalisation normales. Toutefois, en cas de sinistre de stockage, Cloud Logging risque de ne pas pouvoir récupérer les journaux à partir de ressources dont la clé CMEK n'est pas correctement configurée.
Contraintes liées à l'assistance
Cloud Customer Care ne peut pas lire les journaux de votre ressource si sa clé n'est pas correctement configurée ou si elle n'est plus disponible.
Performances des requêtes dégradées
Lorsqu'une clé de chiffrement gérée par le client est inaccessible, Cloud Logging chiffre vos données et les stocke dans des buckets de journaux. Toutefois, Cloud Logging ne peut pas effectuer d'optimisations en arrière-plan sur ces données. Si l'accès à la clé est restauré, les données deviennent disponibles. Toutefois, les données sont initialement stockées dans un état non optimisé, et les requêtes les performances peuvent en pâtir.
Dégradation due à l'indisponibilité de la clé Cloud EKM
Lorsque vous utilisez une clé Cloud EKM, Google n'a aucun contrôle sur la disponibilité de votre clé gérée en externe dans le système partenaire de gestion des clés externes. Pour les CMEK au niveau du bucket, si une clé gérée en externe est Cloud Logging continue de stocker les journaux dans des buckets de journaux mais les utilisateurs ne peuvent pas accéder à ces journaux.
Pour d'autres considérations et d'autres alternatives potentielles, lorsque vous utilisez des clés externes, consultez la documentation Cloud External Key Manager.
Régionalité
Lorsque vous créez un bucket de journaux et activez les CMEK, vous devez utiliser une clé
la région correspond à la portée régionale de vos données.
Vous ne pouvez pas configurer une clé CMEK pour les buckets de journaux créés dans la région global
région.
Disponibilité des bibliothèques clientes
Les bibliothèques clientes de Logging ne fournissent pas de méthodes pour configurer CMEK.
Quotas
Pour en savoir plus sur les limites d'utilisation de Logging, consultez la page Quotas et limites.
Résoudre les erreurs de configuration
Pour en savoir plus sur la résolution des erreurs de configuration CMEK, consultez Résoudre les erreurs liées aux CMEK et aux paramètres d'organisation