Skip to content
Learni
Voir tous les tutoriels
Google Cloud

Comment configurer et utiliser Google Cloud KMS en 2026

14 minBEGINNER
SécuritéNode.jsCryptographieGoogle CloudCloud KMS
Read in English

Introduction

Google Cloud Key Management Service (KMS) est un service géré pour créer, gérer et utiliser des clés cryptographiques à des fins de chiffrement. En 2026, avec l'essor des réglementations comme GDPR et les menaces cyber en hausse, KMS est indispensable pour sécuriser vos données au repos et en transit sans gérer l'infrastructure sous-jacente.

Imaginez vos secrets d'API ou données clients comme un coffre-fort : KMS fournit la clé maître. Contrairement aux bibliothèques locales comme crypto en Node.js, KMS offre une Hardware Security Module (HSM) certifiée FIPS 140-2, rotation automatique des clés et audit via Cloud Audit Logs. Ce tutoriel beginner vous guide pas à pas : setup CLI pour tester, création de ressources, chiffrement/déchiffrement, puis intégration Node.js. À la fin, vous bookmarkederez ce guide pour vos projets prod. Prêt à verrouiller vos données ? (142 mots)

Prérequis

  • Un compte Google Cloud gratuit (console.cloud.google.com) avec facturation activée.
  • Outils gcloud CLI installés (cloud.google.com/sdk/docs/install).
  • Node.js 20+ et npm (nodejs.org).
  • Connaissances basiques en ligne de commande et JavaScript.
  • Créez un projet GCP vide nommé kms-tutorial-2026.

Installer et authentifier gcloud CLI

terminal
curl https://sdk.cloud.google.com | bash
exec -l $SHELL
gcloud init
# Suivez les invites : sélectionnez kms-tutorial-2026, authentifiez via navigateur
gcloud auth login
# Notez la sortie : votre projet est prêt

Ce script télécharge et initialise gcloud CLI. L'authentification lie votre compte local au projet GCP. Piège : sur Windows, utilisez l'installateur MSI ; vérifiez gcloud config list pour confirmer le projet.

Vérification de l'environnement

Exécutez gcloud version pour confirmer l'installation (v450+ en 2026). Créez un bucket test si besoin : gsutil mb gs://kms-bucket-test/. Analogie : gcloud est votre télécommande GCP, sans elle, pas d'accès aux services.

Activer l'API KMS et créer keyring/clé

terminal
gcloud services enable cloudkms.googleapis.com --project=kms-tutorial-2026
gcloud kms keyrings create my-keyring --location=global --project=kms-tutorial-2026
gcloud kms keys create my-key \
  --location=global \
  --keyring=my-keyring \
  --purpose=encryption \
  --project=kms-tutorial-2026
echo "Key created successfully!"

Active l'API, crée un keyring global (porte-feuille de clés) et une clé symétrique pour chiffrement. --purpose=encryption pour AES-256-GCM. Piège : location doit matcher (global pour simplicité beginner).

Chiffrer et déchiffrer via CLI

terminal
echo -n "Mon secret super confidentiel" | gcloud kms encrypt \
  --plaintext-file=- \
  --ciphertext-file=secret.enc \
  --key=my-key \
  --keyring=my-keyring \
  --location=global \
  --project=kms-tutorial-2026

cat secret.enc | gcloud kms decrypt \
  --ciphertext-file=- \
  --plaintext-file=secret.dec \
  --key=my-key \
  --keyring=my-keyring \
  --location=global \
  --project=kms-tutorial-2026

cat secret.dec  # Devrait afficher : Mon secret super confidentiel

Chiffre un plaintext en binaire (.enc), le déchiffre en texte clair. Utilisez --plaintext-file=- pour stdin. Piège : ne pas oublier echo -n (pas de newline), et permissions roles/cloudkms.cryptoKeyEncrypterDecrypter.

Transition vers l'intégration applicative

La CLI prouve le concept. Passons à Node.js pour une app réelle. Téléchargez un service account key : IAM > Service Accounts > Create > kms-user@kms-tutorial-2026.iam.gserviceaccount.com, rôle Cloud KMS CryptoKey Encrypter/Decrypter, JSON key file. Set export GOOGLE_APPLICATION_CREDENTIALS=./service-account.json.

Initialiser projet Node.js et installer SDK

terminal
mkdir kms-node-app && cd kms-node-app
npm init -y
npm install @google-cloud/kms
npm install --save-dev typescript @types/node ts-node

Crée un projet Node avec le client officiel KMS. TypeScript pour robustesse. Piège : SDK v5+ en 2026 supporte async/await natif ; ts-node pour exécuter sans build.

Script TypeScript complet : Chiffrement asymétrique

kms-example.ts
import {KeyManagementServiceClient} from '@google-cloud/kms';

const client = new KeyManagementServiceClient();
const projectId = 'kms-tutorial-2026';
const locationId = 'global';
const keyRingId = 'my-keyring';
const keyId = 'my-key';
const name = client.cryptoKeyPath(projectId, locationId, keyRingId, keyId);

async function encrypt(plaintext: string) {
  const [result] = await client.encrypt({name, plaintext: Buffer.from(plaintext)});
  console.log('Chiffré:', result.ciphertext!.toString('base64'));
  return result.ciphertext;
}

async function decrypt(ciphertext: Buffer) {
  const [result] = await client.decrypt({name, ciphertext});
  console.log('Déchiffré:', result.plaintext!.toString());
}

(async () => {
  const secret = 'Mon secret Node.js';
  const encrypted = await encrypt(secret);
  await decrypt(encrypted);
})();

Script autonome : chiffrement symétrique avec AES-256, gestion Buffer/base64. Chemin cryptoKeyPath assemble l'ID unique. Piège : Buffer pour binary data ; ajoutez try/catch en prod pour Status: PERMISSION_DENIED.

Configuration TypeScript

tsconfig.json
{
  "compilerOptions": {
    "target": "ES2022",
    "module": "NodeNext",
    "moduleResolution": "NodeNext",
    "strict": true,
    "esModuleInterop": true,
    "skipLibCheck": true,
    "forceConsistentCasingInFileNames": true,
    "outDir": "./dist"
  },
  "ts-node": {
    "esm": true
  }
}

tsconfig pour ES modules modernes. NodeNext évite pièges CJS/ESM. Exécutez avec npx ts-node --esm kms-example.ts. Piège : sans esm: true, erreurs import.

Exemple avancé : Rotation de clé

terminal
gcloud kms keys versions create 2 \
  --key=my-key \
  --keyring=my-keyring \
  --location=global \
  --project=kms-tutorial-2026

gcloud kms keys versions use 2 \
  --key=my-key \
  --keyring=my-keyring \
  --location=global \
  --project=kms-tutorial-2026

gcloud kms keys versions list --key=my-key --keyring=my-keyring --location=global --project=kms-tutorial-2026

Crée version 2, la rend primaire pour rotation zero-downtime. List versions pour audit. Piège : rotation planifiée via console pour auto en prod.

Bonnes pratiques

  • Rôles IAM minimaux : Utilisez roles/cloudkms.cryptoKeyEncrypterDecrypter au lieu d'Owner.
  • Rotation automatique : Activez dans console (annuel pour compliance).
  • Locations spécifiques : Préférez europe-west1 vs global pour data residency.
  • Audit Logs : Activez pour tracer tous accès (gratuit).
  • Service Accounts : Jamais de clés user en prod ; utilisez Workload Identity.

Erreurs courantes à éviter

  • Location mismatch : Keyring et clé doivent avoir même --location.
  • Permissions manquantes : Vérifiez gcloud projects get-iam-policy.
  • Plaintext avec newline : Utilisez echo -n ou Buffer.from sans \n.
  • Clé asymmetric pour encrypt : --purpose=encryption est symétrique ; asymmetric pour sign.

Pour aller plus loin

Maîtrisez l'Envelope Encryption pour volumes massifs. Explorez Customer Managed Encryption Keys (CMEK) avec Cloud Storage.

Découvrez nos formations Google Cloud certifiantes : de Associate Cloud Engineer à Professional Security. Docs officielles : cloud.google.com/kms/docs. Intégrez avec Secret Manager pour secrets dynamiques.