Activer les clés de chiffrement gérées par le client

Les clés de chiffrement gérées par le client (CMEK) permettent de contrôler les clés de chiffrement utilisées pour protéger vos données au repos dans Google Cloud. Cet article explique comment configurer et gérer les CMEK dans Ads Data Hub.

Ads Data Hub chiffre les données au repos à l'aide de clés gérées par Google. Le chiffrement par défaut de Google est le meilleur choix, sauf si vous avez des exigences spécifiques nécessitant l'utilisation de CMEK.

Pour utiliser des CMEK :

  • Utilisez Cloud Key Management Service (KMS)
  • Vous devez avoir configuré un projet administrateur et effectué la mise à jour vers le nouveau compte de service.

En savoir plus sur les CMEK

Activer les CMEK

  1. Sur la page Cloud KMS, créez une clé symétrique.
    1. Vous pouvez créer la clé dans n'importe quel projet Google Cloud.
    2. Veillez à créer votre clé dans un emplacement Cloud KMS compatible. Conformément aux consignes Cloud KMS, il est déconseillé d'utiliser la région "global", car les performances pourraient être limitées. Si vous avez oublié votre région, contactez l'assistance Ads Data Hub.
      Région ADHEmplacements Cloud KMS
      USUS
      EUeurope
      asia-northeast1asia, asia-northeast1
      australia-southeast1australia-southeast1
  2. Sur la page "Cloud Identity and Access Management (IAM)", accordez au compte de service Ads Data Hub le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS (roles/cloudkms.cryptoKeyEncrypter). Vous pouvez également autoriser le compte de service Ads Data Hub directement au niveau de la clé sur la page Cloud KMS.
  3. Dans l'UI Ads Data Hub :
    1. Accédez à l'onglet Paramètres.
    2. Sous "Chiffrement géré par le client", cliquez sur Modifier.
    3. Activez l'option "Chiffrement géré par le client".
    4. Collez l'ID de ressource de la clé. Remarque : il doit s'agir de l'ID de ressource complet de la clé, et non d'une version spécifique. Découvrez comment obtenir un ID de ressource Cloud KMS.
    5. Cliquez sur Enregistrer.

Gérer les clés

Effectuer la rotation d'une clé

La rotation des clés est une pratique de sécurité courante. Pour obtenir des instructions sur la rotation des clés, consultez la page Cloud KMS.

Ads Data Hub n'effectue pas la rotation automatique de la clé de chiffrement lorsque la clé Cloud KMS associée au compte est alternée. Les tables existantes continuent à utiliser la version de clé avec laquelle elles ont été créées. Les nouvelles tables utilisent la version de clé actuelle.

Changer de clé

Plutôt que d'effectuer la rotation d'une clé existante, vous pouvez la remplacer par une nouvelle clé. Cette fonctionnalité est utile lorsque vous devez détruire une clé ou changer radicalement la méthode de gestion de vos clés (en changeant de niveau de protection, par exemple).

Pour passer à une nouvelle clé, suivez les instructions de la section Activer les CMEK. Attention : si vous modifiez ou détruisez la clé précédente avant la fin de la mise à jour, vous risquez de perdre définitivement des données.

Révoquer des autorisations, ou désactiver ou détruire une clé

Suivez les instructions de la documentation Google Cloud pour effectuer les actions suivantes :

  • Révoquer les autorisations du compte de service Ads Data Hub
    • Cette action prend effet immédiatement. Vous ne pourrez pas exécuter de requêtes dans Ads Data Hub tant que vous n'aurez pas résolu le problème, et vos tables et modèles temporaires risquent de perdre définitivement des données.
  • Désactiver une clé
    • Il peut s'écouler jusqu'à trois heures avant que cette action apparaisse dans Ads Data Hub. En attendant, vous pouvez continuer d'exécuter des requêtes avec la clé désactivée dans Ads Data Hub.
  • Détruire une clé
    • Important : Désactivez les CMEK avant de détruire votre clé. Sinon, vous ne pourrez pas exécuter de requêtes dans Ads Data Hub tant que vous n'aurez pas résolu le problème, et vos tables et modèles temporaires risquent de perdre des données définitivement.

Désactiver les CMEK

Il est important de désactiver les CMEK avant de supprimer des clés actives. Sinon, vous perdrez l'accès aux données chiffrées à l'aide de vos clés supprimées.

Pour désactiver les CMEK :

  1. Accédez à l'onglet Paramètres dans Ads Data Hub.
  2. Sous "Chiffrement géré par le client", cliquez sur Modifier.
  3. Désactivez l'option "Chiffrement géré par le client".
  4. Cliquez sur Enregistrer.