Cette page a été traduite par l'API Cloud Translation.

Activer CMEK pour Security Command Center

Par défaut, Security Command Center chiffre le contenu client au repos. Security Command Center gère le chiffrement sans intervention de votre part. Cette option est appelée chiffrement par défaut de Google.

Si vous souhaitez contrôler vos clés de chiffrement, vous pouvez utiliser des clés de chiffrement gérées par le client (CMEK) dans Cloud KMS avec des services bénéficiant d'une intégration des CMEK, y compris Security Command Center. L'utilisation de clés Cloud KMS vous permet de contrôler leur niveau de protection, leur emplacement, leur calendrier de rotation, leurs autorisations d'utilisation et d'accès, ainsi que leurs limites cryptographiques. Cloud KMS vous permet également de suivre l'utilisation des clés, d'afficher les journaux d'audit et de contrôler les cycles de vie des clés. Au lieu de laisser Google posséder et gérer les clés de chiffrement de clés (KEK) symétriques qui protègent vos données, c'est vous qui vous chargez de cette tâche dans Cloud KMS.

Une fois que vous avez configuré vos ressources avec des CMEK, l'accès à vos ressources Security Command Center est semblable à celui du chiffrement par défaut de Google. Pour en savoir plus sur les options de chiffrement, consultez Clés de chiffrement gérées par le client (CMEK).

Pour permettre la séparation des tâches et un meilleur contrôle de l'accès aux clés, nous vous recommandons de créer et de gérer les clés dans un projet distinct qui n'inclut pas d'autres ressources Google Cloud .

Pour utiliser CMEK avec Security Command Center, vous devez configurer CMEK lorsque vous activez Security Command Center pour une organisation. Vous ne pouvez pas configurer CMEK lors de l'activation au niveau du projet. Pour en savoir plus, consultez Activer Security Command Center Standard ou Premium pour une organisation.

Lorsque vous utilisez des clés CMEK dans Security Command Center, vos projets peuvent consommer des quotas de requêtes de chiffrement Cloud KMS. Les instances chiffrées par CMEK consomment des quotas lors de la lecture ou de l'écriture de données dans Security Command Center. Les opérations de chiffrement et de déchiffrement à l'aide de clés CMEK n'affectent les quotas Cloud KMS que si vous utilisez des clés matérielles (Cloud HSM) ou externes (Cloud EKM). Pour en savoir plus, consultez la page Quotas Cloud KMS.

La clé CMEK chiffre les données suivantes dans Security Command Center et l'API Security Command Center :

Résultats
Configurations de notification
Exportations BigQuery
Configurations de mise en sourdine

Avant de commencer

Avant de configurer CMEK pour Security Command Center, procédez comme suit :

Installez et initialisez la Google Cloud CLI :
1. Install the Google Cloud CLI.
2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
3. To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Créez un projet Google Cloud dans lequel Cloud KMS est activé. Il s'agit de votre projet clé.
Créez un trousseau de clés au bon emplacement. L'emplacement de votre trousseau de clés doit correspondre à celui où vous prévoyez d'activer Security Command Center. Pour savoir quelles sont les zones de trousseau de clés correspondant à chaque zone Security Command Center, consultez le tableau de la section Emplacement des clés de ce document. Pour savoir comment créer un trousseau de clés, consultez Créer un trousseau de clés.
Créez une clé Cloud KMS dans le trousseau de clés. Pour savoir comment créer une clé dans un trousseau de clés, consultez Créer une clé.
Pour vous assurer que le compte de service Cloud Security Command Center dispose des autorisations nécessaires pour chiffrer et déchiffrer les données, demandez à votre administrateur d'accorder au compte de service Cloud Security Command Center le rôle IAM suivant : Chiffreur/Déchiffreur de CryptoKeys Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) sur la clé Cloud KMS.
Important : Vous devez accorder ce rôle au compte de service Cloud Security Command Center, et non à votre compte utilisateur. Si vous ne l'accordez pas au bon compte principal, vous risquez de rencontrer des erreurs d'autorisation.
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Votre administrateur peut également attribuer au compte de service Cloud Security Command Center les autorisations requises à l'aide de rôles personnalisés ou d'autres rôles prédéfinis.

Emplacement de la clé

L'emplacement de votre clé Cloud KMS doit correspondre à celui où vous avez activé Security Command Center. Utilisez le tableau suivant pour identifier l'emplacement de clé Cloud KMS correspondant à chaque emplacement Security Command Center.

Emplacement de Security Command Center	Emplacement de la clé Cloud KMS
`eu`	`europe`
`global`	`us`
`sa`	`me-central2`
`us`	`us`

Si vous n'activez pas la résidence des données lorsque vous activez Security Command Center, utilisez global pour l'emplacement Security Command Center et us pour l'emplacement de la clé Cloud KMS. Pour en savoir plus sur la résidence des données, consultez Planifier la résidence des données.

Limites

Si l'organisation que vous activez contient un ou plusieurs projets avec Security Command Center, vous ne pouvez pas utiliser CMEK pour Security Command Center pour cette organisation.

Vous ne pouvez pas modifier la clé Cloud KMS ni passer àGoogle-owned and Google-managed encryption key après avoir activé Security Command Center.

Vous pouvez effectuer une rotation de la clé, ce qui permet à Security Command Center d'utiliser la nouvelle version de la clé. Toutefois, certaines fonctionnalités de Security Command Center continueront d'utiliser l'ancienne clé pendant 30 jours.

Configurer les clés CMEK pour Security Command Center

Pour utiliser des CMEK avec Security Command Center :

Lors de la configuration de Security Command Center pour une organisation, sur la page Sélectionner des services, sous Chiffrement des données, sélectionnez Modifier la solution de gestion des clé de chiffrement des données (facultatif). L'option Chiffrement s'ouvre.
Sélectionnez Clé Cloud KMS.
Sélectionnez un projet.
Sélectionnez une clé. Vous pouvez sélectionner une clé à partir de n'importe quel projet Google Cloud , y compris ceux qui ne font pas partie de l'organisation que vous activez. Seules les clés situées dans des emplacements compatibles s'affichent dans la liste. Pour en savoir plus sur les emplacements des clés CMEK pour Security Command Center, consultez le tableau de la section Emplacement des clés.

Une fois le rôle accordé et la configuration de Security Command Center terminée, Security Command Center chiffre vos données à l'aide de la clé Cloud KMS de votre choix.

Vérifier la configuration CMEK

Pour vérifier que vous avez bien configuré CMEK pour Security Command Center :

Dans Security Command Center, sélectionnez Paramètres.
Accédez à l'onglet Détails du niveau.
Dans Détails de la configuration> Chiffrement des données, si le chiffrement CMEK pour Security Command Center est configuré, le nom de la clé s'affiche sous forme de lien après Chiffrement des données.

Tarifs

Bien qu'aucuns frais supplémentaires ne soient facturés pour activer CMEK dans Security Command Center Standard et Premium, des frais s'appliquent dans Cloud KMS lorsque Security Command Center utilise votre CMEK pour chiffrer et déchiffrer des données. Pour en savoir plus, consultez la page Tarifs de Cloud KMS.

Restaurer l'accès à Security Command Center

Lorsque CMEK est activé, le compte de service Security Command Center a besoin d'accéder à votre clé Cloud KMS pour fonctionner. Ne révoquez pas les autorisations du compte de service sur la CMEK, ne désactivez pas la CMEK et ne planifiez pas sa destruction. Ces actions entraînent l'arrêt des fonctionnalités Security Command Center suivantes :

Résultats
Configurations des exportations continues
Exportations BigQuery
Règles de masquage

Si vous essayez d'utiliser Security Command Center alors que la clé Cloud KMS n'est pas disponible, un message d'erreur s'affiche dans Security Command Center ou une erreur FAILED_PRECONDITION dans l'API.

Vous pouvez perdre des fonctionnalités Security Command Center en raison d'une clé Cloud KMS pour l'une des raisons suivantes :

Il est possible que le rôle Chiffreur/Déchiffreur de CryptoKey Cloud KMS de la clé du compte de service ait été révoqué. Vous pouvez restaurer l'accès à Security Command Center après la révocation d'une clé.
Il est possible que la clé Cloud KMS ait été désactivée. Vous pouvez restaurer l'accès à Security Command Center après la désactivation d'une clé.
La destruction de la clé peut être programmée. Vous pouvez restaurer l'accès à Security Command Center après la programmation de la destruction d'une clé.

Restaurer l'accès à Security Command Center après la révocation d'une clé

Pour restaurer l'accès à votre clé dans Security Command Center, accordez au compte de service Cloud Security Command Center le rôle Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS sur la clé :

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORG_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Remplacez les éléments suivants :

KEY_RING : trousseau de clés pour votre clé Cloud KMS
LOCATION : emplacement de votre clé Cloud KMS
KEY_NAME : nom de votre clé Cloud KMS
ORG_NUMBER : numéro de votre organisation

Restaurer l'accès à Security Command Center après la désactivation d'une clé

Pour savoir comment activer une clé désactivée, consultez Activer une version de clé.

Restaurer l'accès à Security Command Center après la programmation de la destruction d'une clé

Pour savoir comment restaurer une clé dont la destruction est programmée, consultez Détruire et restaurer des versions de clé.

Une fois une clé détruite, vous ne pouvez pas la récupérer ni restaurer l'accès à Security Command Center.