Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)

Secara default, Colab Enterprise mengenkripsi konten pelanggan dalam penyimpanan. Colab Enterprise menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan terintegrasi CMEK, termasuk Colab Enterprise. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batas kriptografisnya. Dengan menggunakan Cloud KMS, Anda juga dapat melihat log audit dan mengontrol siklus proses kunci. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Colab Enterprise akan mirip dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi Anda, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Panduan ini menjelaskan cara menggunakan CMEK untuk Colab Enterprise.

Untuk mengetahui informasi selengkapnya tentang cara menggunakan CMEK untuk Vertex AI, lihat halaman CMEK Vertex AI.

CMEK untuk Colab Enterprise

Anda dapat menggunakan CMEK untuk mengenkripsi runtime Colab Enterprise dan file notebook (notebook).

Runtime

Saat Anda menjalankan kode di notebook Colab Enterprise, runtime akan menjalankan kode di satu atau beberapa instance virtual machine (VM) yang dikelola oleh Colab Enterprise. Saat Anda mengaktifkan CMEK untuk runtime Colab Enterprise, kunci yang Anda tetapkan, bukan kunci yang dikelola oleh Google, digunakan untuk mengenkripsi data di VM ini. Kunci CMEK mengenkripsi jenis data berikut:

  • Salinan kode Anda di VM.
  • Data apa pun yang dimuat oleh kode Anda.
  • Setiap data sementara yang disimpan ke disk lokal oleh kode Anda.

Anda dapat memulai, menghentikan, dan mengupgrade runtime tanpa memengaruhi enkripsi CMEK-nya.

Secara umum, kunci CMEK tidak mengenkripsi metadata yang terkait dengan operasi Anda, seperti nama runtime atau nama dan region notebook Anda. Metadata ini selalu dienkripsi menggunakan mekanisme enkripsi default Google.

Notebook

Notebook Colab Enterprise disimpan di repositori Dataform. Saat Anda membuat notebook, Colab Enterprise akan otomatis membuat repositori Dataform tersembunyi tempat notebook disimpan. Karena repositori tersembunyi, Anda tidak dapat mengubah setelan enkripsinya seperti yang Anda lakukan dengan repositori Dataform lainnya.

Untuk menggunakan CMEK untuk notebook, Anda harus menetapkan kunci CMEK Dataform default untuk project Google Cloud yang akan berisi notebook Anda. Setelah Anda menetapkan kunci CMEK Dataform default, Dataform akan menerapkan kunci tersebut ke semua repositori baru yang dibuat di project Google Cloud secara default, termasuk repositori tersembunyi yang dibuat untuk menyimpan notebook Anda.

Kunci CMEK Dataform default tidak diterapkan ke repositori yang ada. Oleh karena itu, jika Anda sudah memiliki notebook di project tersebut, notebook tersebut tidak akan dienkripsi oleh kunci CMEK Dataform default. Untuk menggunakan CMEK dengan notebook yang dibuat sebelum Anda menetapkan kunci CMEK Dataform default project, Anda dapat menyimpan file notebook sebagai notebook Colab Enterprise baru.

Untuk mempelajari kunci CMEK Dataform default lebih lanjut, lihat Menggunakan kunci CMEK default Dataform.

Untuk menggunakan CMEK untuk notebook, lihat Menetapkan kunci CMEK Dataform default.

Kunci yang didukung

Colab Enterprise mendukung jenis kunci CMEK berikut:

Ketersediaan kunci bervariasi menurut jenis kunci dan wilayah. Untuk informasi selengkapnya tentang ketersediaan geografis kunci CMEK, lihat lokasi Cloud KMS.

Batas dan pembatasan

Colab Enterprise mendukung CMEK dengan batasan dan pembatasan berikut:

  • Kuota default di Vertex AI adalah satu kunci enkripsi per project dan region. Jika Anda perlu mendaftarkan lebih dari satu kunci untuk region dalam project, hubungi tim Akun Google Anda untuk meminta peningkatan kuota untuk konfigurasi CMEK, dengan memberikan justifikasi alasan Anda memerlukan lebih dari satu kunci.

Kuota Cloud KMS dan Colab Enterprise

Saat Anda menggunakan CMEK di Colab Enterprise, project Anda dapat memakai kuota permintaan kriptografis Cloud KMS. Operasi enkripsi dan dekripsi menggunakan kunci CMEK memengaruhi kuota Cloud KMS hanya jika Anda menggunakan kunci hardware (Cloud HSM) atau kunci eksternal (Cloud EKM). Untuk informasi selengkapnya, lihat kuota Cloud KMS.

Mengonfigurasi CMEK untuk runtime

Bagian berikut menjelaskan cara membuat key ring dan kunci di Cloud Key Management Service, memberikan izin bagi pengenkripsi dan pendekripsi Colab Enterprise untuk kunci Anda, serta membuat template runtime yang dikonfigurasi untuk menggunakan CMEK. Setiap runtime yang dihasilkan Colab Enterprise dari template runtime ini menggunakan enkripsi CMEK.

Sebelum memulai

Panduan ini mengasumsikan bahwa Anda menggunakan dua project Google Cloud yang terpisah untuk mengonfigurasi CMEK untuk runtime Colab Enterprise:

  • Project untuk mengelola kunci enkripsi Anda (disebut sebagai "project Cloud KMS").
  • Project untuk mengakses resource Colab Enterprise dan berinteraksi dengan produk Google Cloud lain yang Anda perlukan (disebut sebagai "Project notebook").

Penyiapan yang direkomendasikan ini mendukung pemisahan tugas.

Atau, Anda dapat menggunakan satu project Google Cloud untuk seluruh panduan. Untuk melakukannya, gunakan project yang sama untuk semua tugas berikut yang merujuk ke project Cloud KMS dan tugas yang merujuk ke project Notebook.

Menyiapkan project Cloud KMS

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Cloud KMS API.

    Enable the API

    5.

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Cloud KMS API.

    Enable the API

    8.

Menyiapkan project Notebook

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Vertex AI API.

    Enable the API

    5.

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  6. Make sure that billing is enabled for your Google Cloud project.

  7. Enable the Vertex AI API.

    Enable the API

    8.

Menyiapkan Google Cloud CLI

gcloud CLI diperlukan untuk beberapa langkah dalam panduan ini, dan bersifat opsional untuk langkah lainnya.

Install the Google Cloud CLI, then initialize it by running the following command: 

gcloud init

Membuat key ring dan kunci

Ikuti Panduan Cloud KMS untuk membuat kunci simetris untuk membuat key ring dan kunci. Saat Anda membuat key ring, tentukan region yang mendukung operasi Colab Enterprise sebagai lokasi key ring. Colab Enterprise hanya mendukung CMEK jika runtime dan kunci Anda menggunakan region yang sama. Anda tidak boleh menentukan lokasi region ganda, multi-region, atau global untuk key ring Anda.

Pastikan untuk membuat key ring dan kunci di project Cloud KMS Anda.

Memberikan izin Colab Enterprise

Agar dapat menggunakan CMEK untuk resource, Anda harus memberikan izin kepada Colab Enterprise untuk mengenkripsi dan mendekripsi data menggunakan kunci Anda. Colab Enterprise menggunakan agen layanan yang dikelola Google untuk menjalankan operasi menggunakan resource Anda. Akun layanan ini diidentifikasi oleh alamat email dengan format berikut: service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com.

Untuk menemukan akun layanan yang sesuai dengan project Notebook Anda, buka halaman IAM di konsol Google Cloud dan temukan anggota yang cocok dengan format alamat email ini, dengan nomor project untuk project Notebook Anda yang menggantikan variabel NOTEBOOK_PROJECT_NUMBER. Akun layanan juga memiliki nama Vertex AI Service Agent.

Buka halaman IAM

Catat alamat email untuk akun layanan ini, dan gunakan dalam langkah-langkah berikut guna memberi akan layanan tersebut izin untuk mengenkripsi dan mendekripsi data menggunakan kunci Anda. Anda dapat memberikan izin menggunakan konsol Google Cloud atau menggunakan Google Cloud CLI:

Konsol Google Cloud

  1. Di konsol Google Cloud, Click Security, lalu pilih Key Management. Anda akan diarahkan ke halaman Cryptographic Keys dan pilih project Cloud KMS Anda.

    Buka halaman Cryptographic Keys

  2. Klik nama key ring yang Anda buat di bagian sebelumnya dalam panduan ini untuk membuka halaman Key ring details.

  3. Centang kotak untuk kunci yang Anda buat di bagian sebelumnya dalam panduan ini. Jika panel info yang berlabel nama kunci Anda belum terbuka, klik Tampilkan panel info.

  4. Di panel info, klik Add member untuk membuka dialog Add members to "KEY_NAME". Dalam dialog ini, lakukan hal berikut:

    1. Di kotak New members, masukkan alamat email akun layanan yang Anda catat di bagian sebelumnya: service-NOTEBOOK_PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com

    2. Di menu drop-down Select a role, klik Cloud KMS, lalu pilih peran Cloud KMS Encrypter/Decrypter.

    3. Klik Save.

gcloud

Jalankan perintah berikut:

gcloud kms keys add-iam-policy-binding KEY_NAME \
  --keyring=KEY_RING_NAME \
  --location=REGION \
  --project=KMS_PROJECT_ID \
  --member=serviceAccount:service-NOTEBOOK_PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com \
  --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Dalam perintah ini, ganti placeholder berikut:

  • KEY_NAME: Nama kunci yang Anda buat di bagian sebelumnya dalam panduan ini.
  • KEY_RING_NAME: Key ring yang Anda buat di bagian sebelumnya dalam panduan ini.
  • REGION: Region tempat Anda membuat key ring.
  • KMS_PROJECT_ID: ID project Cloud KMS Anda.
  • NOTEBOOK_PROJECT_NUMBER: Nomor project Notebook Anda, yang telah Anda catat di bagian sebelumnya sebagai bagian dari alamat email akun layanan.

Mengonfigurasi template runtime dengan kunci KMS

Saat membuat resource yang didukung CMEK baru, Anda dapat menentukan kunci sebagai salah satu parameter pembuatan. Untuk membuat runtime Colab Enterprise, Anda membuat template runtime dengan kunci CMEK yang ditentukan sebagai parameter. Setiap runtime yang dihasilkan Colab Enterprise dari template runtime ini menggunakan enkripsi CMEK.

Untuk membuat template runtime menggunakan konsol Google Cloud, Anda menentukan kunci di dialog Create new runtime template. Lakukan tindakan berikut:

  1. Di konsol Google Cloud, buka halaman Runtime Templates Colab Enterprise.

    Buka Template Runtime

  2. Klik  New template.

    Dialog Create new runtime template akan muncul.

  3. Di bagian Configure compute, di Encryption, pilih Cloud KMS key.

  4. Untuk Key type, pilih Cloud KMS, lalu, di kolom berikutnya, pilih kunci enkripsi yang dikelola pelanggan.

  5. Selesaikan dialog pembuatan instance selanjutnya, lalu klik Buat.

    Template runtime Anda akan muncul dalam daftar di tab Runtime templates.

Langkah selanjutnya