Service de gestion des clés externes

  • Rversion finale: Australia
  • Mis à jour 24 mars 2026
  • 4 minutes de lecture

    • Service de gestion des clés externes (EKMS) vous permet d’intégrer Chiffrement de champ vos propres systèmes externes de gestion des clés.

    Service de gestion des clés externes (EKMS) vous permet de garder un contrôle direct sur les clés de chiffrement qui protègent vos données au sein de la ServiceNow plateforme. Plutôt que de stocker les clés au sein de l’infrastructure, vous pouvez les générer, les stocker et les gérer dans un système de gestion des clés dédié. Cette approche vous permet d’adopter des services d’entreprise basés sur le cloud tout en gardant le contrôle de vos données sensibles.

    Vous conservez l’autorité sur les principales opérations de cycle de vie, y compris la génération, la rotation et la révocation, ce qui vous permet de réagir immédiatement aux événements de sécurité. Cela vous permet de supprimer des clés de votre système, rendant vos données cryptographiquement inaccessibles.

    Fournisseurs pris en charge

    Actuellement, EKMS prend Chiffrement de champ en charge AWS Key Management Service (AWS KMS). Les futures versions prendront en charge d’autres fournisseurs de gestion de clés.

    Principales limites

    • EKMS Une seule configuration peut être créée par instance.
    • Les clés multi-régions ne sont pas prises en charge.
    • La clé AWS KMS doit être une clé symétrique.

    Mode de fonctionnement de EKMS

    EKMS utilise une chaîne d’encapsulation de clés pour sécuriser les données. Voir le diagramme d’encapsulation de clé EKMS ci-dessous pour une représentation visuelle. Lorsque EKMS est configuré :

    1. Une clé de chiffrement de clé (KEK) est générée dans votre instance. Pour EKMS, cette clé est appelée clé de chiffrement de clé externe (EKEK).
    2. L’EKEK est enveloppé par une clé racine d’instance (IRK) interne, qui est unique à votre instance et stockée en toute sécurité dans un module de sécurité matériel (HSM) géré par ServiceNow.
    3. L’EKEK encapsulé IRK est ensuite à nouveau enveloppé par votre clé AWS KMS, que vous gérez dans AWS.
    4. L’EKEK encapsulée est stockée dans la table External Instance Keys (Clés d’instances externes).
    5. Les clés de chiffrement de données (DEK) d’un module cryptographique sont encapsulées par l’EKEK et stockées dans la table de clés de module. Les DEK sont ce qui crypte vos données de terrain.
    6. Les données de champ sont chiffrées à l’aide des DEK du module de chiffrement.

    Service de gestion des clés externes diagramme

    Cette architecture garantit que votre instance n’a jamais d’accès direct au déchiffrement des données sans accès à la clé AWS externe.

    Synchronisation de l’état de la clé

    La tâche de vérification de l’intégrité EKMS en arrière-plan s’exécute toutes les 30 minutes pour synchroniser l’état de la clé AWS avec votre instance. La synchronisation garantit que les changements d’état de clé dans AWS (activé, désactivé, suppression en attente, supprimé) sont reflétés dans l’état de la clé dans la configuration EKMS. Les utilisateurs disposant du rôle security_admin peuvent modifier cette fréquence en modifiant la propriété système com.glide.encryption.ekms.scheduler.health_check_interval . Voir Modifier la fréquence de synchronisation.

    Important :
    Les clés supprimées par AWS nécessitent un minimum de sept jours avant d’afficher l’état supprimé, car cela est contrôlé par les politiques de conservation AWS.

    Intégration à Chiffrement de champ Enterprise

    EKMS s’intègre à Chiffrement de champ Enterprise (FEE) via des modules cryptographiques. Les modules de chiffrement utilisent votre clé AWS KMS externe pour envelopper les clés de chiffrement, et les configurations de champs chiffrés spécifient les données à chiffrer.

    Contrôle d'accès

    Les politiques d’accès au module (MAP) déterminent quels rôles d’utilisateur peuvent afficher des données chiffrées en texte clair. Les utilisateurs sans les affectations de rôle appropriées ne seront pas en mesure de déchiffrer et d’afficher les informations protégées, même s’ils ont accès à la table.

    Premiers pas

    Configuration Service de gestion des clés externes

    Créez et gérez les composants de gestion des clés pour personnaliser et gérer la façon dont les opérations cryptographiques sont exécutées sur votre ServiceNow instance.

    Actions du service de gestion des clés externes

    Utiliser EKMS pour gérer, révoquer ou faire pivoter les clés afin de sécuriser les données sensibles avec les supports de chiffrement et les opérations de cycle de vie les plus récents.

    Informations sur l'activation

    Pour activer le , vous devez d’abord acheter un abonnement à la Service de gestion des clés externes plateforme Chiffrement ou ServiceNow Coffre-fort.

    Le ServiceNow lot d’abonnements à la plateforme Chiffrement est un droit commercial de groupe qui comprend Chiffrement de champ Enterprise et Chiffrement dans le cloud.

    Chiffrement de champ Enterprise est la licence illimitée de Chiffrement de champ Starter. Chiffrement de champ Enterprise est disponible avec l’activation du module d’extension com.glide.field.encryption.enterprise. Pour plus d’informations, consultez Chiffrement et gestion des clés groupés.

    Une fois que vous avez installé le Chiffrement de champ Enterprise module d’extension, installez le EKMS module d’extension appelé « Gestion des clés externes de chiffrement de la plateforme ». L’ID du module d’extension est com.glide.encryption.external_kms. Voir Activer le service de gestion des clés externes pour plus d’informations.