Kunci enkripsi yang dikelola pelanggan

Secara default, Integrasi Aplikasi otomatis mengenkripsi data saat dalam penyimpanan menggunakan kunci enkripsi yang dikelola oleh Google. Jika Anda memiliki persyaratan kepatuhan atau peraturan khusus terkait kunci yang melindungi data, atau jika Anda ingin mengontrol dan mengelola enkripsi sendiri, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Kunci CMEK dapat disimpan sebagai kunci software, dalam cluster HSM, atau secara eksternal di Cloud External Key Manager (Cloud EKM).

Untuk informasi selengkapnya tentang CMEK, lihat dokumentasi Cloud Key Management Service.

Sebelum memulai

Pastikan tugas berikut telah diselesaikan sebelum menggunakan CMEK untuk Integrasi Aplikasi:

Aktifkan Cloud KMS API untuk project yang akan menyimpan kunci enkripsi Anda.
Mengaktifkan Cloud KMS API
Tips: Anda dapat menjalankan Integrasi Aplikasi dan Cloud KMS di project Google Cloud yang sama, atau di project yang berbeda.
Tetapkan peran IAM Cloud KMS Admin atau berikan izin IAM berikut untuk project yang akan menyimpan kunci enkripsi Anda:
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
Untuk mengetahui informasi tentang cara memberikan peran atau izin tambahan, lihat Memberikan, mengubah, dan mencabut akses.

Perhatian: Peran Admin Cloud KMS berisi izin untuk pemeliharaan kunci dan pemusnahan versi kunci. Untuk melindungi resource Cloud KMS Anda, peran ini hanya boleh ditetapkan kepada individu yang bertanggung jawab atas administrasi kunci.
Buat key ring dan kunci.
Catatan: Key ring harus dibuat di region yang sama dengan tempat Anda menyiapkan Integrasi Aplikasi.

Menambahkan akun layanan ke kunci CMEK

Untuk menggunakan kunci CMEK di Integrasi Aplikasi, Anda harus memastikan bahwa akun layanan default ditambahkan dan ditetapkan dengan peran IAM Pengenkripsi/Pendekripsi CryptoKey untuk kunci CMEK tersebut.

Di konsol Google Cloud, buka halaman Inventaris Kunci.
Buka halaman Inventaris Kunci
Centang kotak untuk kunci CMEK yang diinginkan.
Tab Permissions di panel jendela kanan akan tersedia.
Klik Tambahkan akun utama, lalu masukkan alamat email akun layanan default.
Klik Select a role, lalu pilih peran Cloud KMS CryptoKey Encrypter/Decrypter dari daftar dropdown yang tersedia.
Klik Simpan.

Mengaktifkan enkripsi CMEK untuk region Integrasi Aplikasi

CMEK dapat digunakan untuk mengenkripsi dan mendekripsi data yang disimpan di PD dalam cakupan region yang disediakan.

Untuk mengaktifkan enkripsi CMEK untuk region Integrasi Aplikasi di project Google Cloud Anda, lakukan langkah-langkah berikut:

Di konsol Google Cloud, buka halaman Integrasi Aplikasi.
Buka Integrasi Aplikasi
Di menu navigasi, klik Region.
Halaman Regions akan muncul, yang mencantumkan region yang disediakan untuk Integrasi Aplikasi.
Untuk integrasi yang ada yang ingin Anda gunakan CMEK, klik Actions, lalu pilih Edit encryption.
Di panel Edit encryption, luaskan bagian Advanced settings.
Pilih Gunakan Kunci enkripsi yang dikelola pelanggan (CMEK), lalu lakukan tindakan berikut:
1. Pilih kunci CMEK dari menu drop-down yang tersedia. Kunci CMEK yang tercantum di menu drop-down didasarkan pada region yang disediakan. Untuk membuat kunci baru, lihat Membuat kunci CMEK baru.
2. Klik Verifikasi untuk memeriksa apakah akun layanan default Anda memiliki akses kunci enkripsi ke kunci CMEK yang dipilih.
3. Jika verifikasi untuk kunci CMEK yang dipilih gagal, klik Grant untuk menetapkan peran IAM CryptoKey Encrypter/Decrypter ke akun layanan default.
Klik Done.

Membuat kunci CMEK baru

Anda dapat membuat kunci CMEK baru jika tidak ingin menggunakan kunci yang ada, atau jika tidak memiliki kunci di region yang ditentukan.

Untuk membuat kunci enkripsi simetris baru, lakukan langkah-langkah berikut di dialog Create a new key:

Pilih Key ring:
1. Klik Key ring, lalu pilih key ring yang ada di region yang ditentukan.
2. Jika Anda ingin membuat key ring baru untuk kunci, klik tombol Create key ring dan lakukan langkah-langkah berikut:
  1. Klik Nama key ring dan masukkan nama key ring Anda.
  2. Klik Key ring location, lalu pilih lokasi regional key ring Anda.
    Catatan: Untuk enkripsi CMEK, key ring Anda harus dibuat di region yang sama dengan Integrasi Aplikasi.
3. Klik Lanjutkan.
Buat Kunci:
1. Klik Key name, lalu masukkan nama untuk kunci baru Anda.
2. Klik Tingkat perlindungan, lalu pilih Software atau HSM.
  Untuk informasi tentang tingkat perlindungan, lihat Tingkat perlindungan Cloud KMS.
Tinjau detail kunci dan gantungan kunci Anda, lalu klik Lanjutkan.
Klik Create.

Kuota Cloud KMS dan Application Integration

Saat Anda menggunakan CMEK di Integrasi Aplikasi, project Anda dapat memakai kuota permintaan kriptografis Cloud KMS. Misalnya, kunci CMEK dapat memakai kuota ini untuk setiap panggilan enkripsi dan dekripsi.

Operasi enkripsi dan dekripsi yang menggunakan kunci CMEK memengaruhi kuota Cloud KMS dengan cara berikut:

Untuk kunci software CMEK yang dihasilkan di Cloud KMS, tidak ada kuota Cloud KMS yang digunakan.
Untuk kunci hardware CMEK—terkadang disebut kunci Cloud HSM —operasi enkripsi dan dekripsi akan mengurangi kuota Cloud HSM dalam project yang berisi kunci tersebut.
Untuk kunci eksternal CMEK—terkadang disebut kunci Cloud EKM —operasi enkripsi dan dekripsi akan mengurangi kuota Cloud EKM dalam project yang berisi kunci tersebut.

Untuk informasi selengkapnya, lihat kuota Cloud KMS.