Tentang enkripsi disk

Secara default, Compute Engine mengenkripsi konten pelanggan dalam penyimpanan. Compute Engine menangani dan mengelola enkripsi ini secara otomatis sehingga Anda tidak perlu melakukan tindakan apa pun. Opsi ini disebut sebagai enkripsi yang dikelola Google.

Namun, jika memiliki persyaratan khusus terkait kepatuhan atau lokalitas materi kriptografi, Anda dapat menyesuaikan enkripsi yang digunakan Compute Engine untuk resource Anda.

Anda dapat menyesuaikan enkripsi dengan menyediakan kunci enkripsi kunci. Kunci enkripsi kunci tidak langsung mengenkripsi data Anda, tetapi mengenkripsi kunci yang dihasilkan Google yang digunakan Compute Engine untuk mengenkripsi data Anda.

Anda memiliki dua opsi untuk memberikan kunci enkripsi kunci:

Direkomendasikan. Gunakan Cloud Key Management Service (Cloud KMS) di Compute Engine untuk membuat dan mengelola kunci enkripsi kunci.

Kunci yang dikelola oleh Cloud Key Management Service disebut sebagai kunci enkripsi yang dikelola pelanggan (CMEK). Setelah membuat kunci, Anda dapat menggunakannya sebagai kunci enkripsi kunci disk.

Biasanya, setelah membuat disk terenkripsi CMEK, Anda tidak perlu menentukan kuncinya saat menangani disk tersebut, karena Cloud Key Management Service mengetahui kunci yang digunakan. Pengecualian untuk hal ini adalah membuat disk dari snapshot instan yang dienkripsi CMEK.
Anda dapat mengelola kunci enkripsi kunci Anda sendiri di luar Compute Engine, dan menyediakan kunci setiap kali Anda membuat atau mengelola disk. Opsi ini dikenal sebagai kunci enkripsi yang disediakan pelanggan (CSEK). Saat mengelola resource yang dienkripsi CSEK, Anda harus selalu menentukan kunci yang digunakan saat mengenkripsi resource.

Untuk mengetahui informasi selengkapnya, lihat Kunci enkripsi yang dikelola pelanggan dan Kunci enkripsi yang disediakan pelanggan.

Jenis disk yang didukung

Bagian ini mencantumkan jenis enkripsi yang didukung untuk disk dan opsi penyimpanan lain yang ditawarkan oleh Compute Engine.

Volume Persistent Disk mendukung enkripsi default Google, CMEK, dan CSEK.
Google Cloud Hyperdisk mendukung CMEK dan enkripsi default Google. Anda tidak dapat menggunakan CSEK untuk mengenkripsi Hyperdisk.
Disk SSD lokal hanya mendukung enkripsi default Google. Anda tidak dapat menggunakan CSEK atau CMEK untuk mengenkripsi disk SSD Lokal.
clone disk dan image mesin mendukung enkripsi default Google, CMEK, dan CSEK.
Snapshot standar dan snapshot instan mendukung enkripsi default Google, CMEK, dan CSEK.

Enkripsi disk dengan kunci enkripsi yang dikelola pelanggan

Untuk mengetahui informasi selengkapnya tentang cara menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk mengenkripsi disk dan resource Compute Engine lainnya, lihat Melindungi resource dengan menggunakan kunci Cloud KMS.

Mengenkripsi disk dengan kunci enkripsi yang disediakan pelanggan

Untuk mempelajari cara menggunakan kunci enkripsi yang disediakan pelanggan (CSEK) guna mengenkripsi disk dan resource Compute Engine lainnya, lihat Mengenkripsi disk dengan kunci enkripsi yang disediakan pelanggan.

Melihat informasi tentang enkripsi disk

Disk di Compute Engine dienkripsi dengan kunci enkripsi yang dikelola Google, dikelola pelanggan, atau yang disediakan pelanggan. Enkripsi yang dikelola Google bersifat default.

Untuk melihat jenis enkripsi disk, Anda dapat menggunakan gcloud CLI, Google Cloud Console, atau Compute Engine API.

Konsol

Di konsol Google Cloud, buka halaman Disks.

Buka Disk
Di kolom Name, klik nama disk.
Di tabel Properties, baris berlabel Encryption menunjukkan jenis enkripsi: Dikelola Google, dikelola pelanggan, atau disediakan pelanggan.

gcloud

Di konsol Google Cloud, aktifkan Cloud Shell.

Aktifkan Cloud Shell

Di bagian bawah Google Cloud Console, Cloud Shell sesi akan terbuka dan menampilkan perintah command line. Cloud Shell adalah lingkungan shell dengan Google Cloud CLI yang sudah terinstal, dan dengan nilai yang sudah ditetapkan untuk project Anda saat ini. Diperlukan waktu beberapa detik untuk melakukan inisialisasi sesi.
Gunakan perintah gcloud compute disks describe:
```
    gcloud compute disks describe DISK_NAME \
      --zone=ZONE \
      --format="json(diskEncryptionKey)"
  
```
Ganti kode berikut:
- PROJECT_ID: project ID Anda.
- ZONE: zona tempat disk Anda berada.
- DISK_NAME: nama disk.
  
  Output perintah
  
  Jika output-nya adalah null, disk akan menggunakan enkripsi yang dikelola Google, yang merupakan default.
  
  Jika tidak, output-nya adalah objek JSON.
  
  Jika objek JSON berisi kolom bernama diskEncryptionKey, disk akan dienkripsi. Objek diskEncryptionKey berisi informasi tentang apakah disk dienkripsi CMEK atau CSEK:
  - Jika ada properti diskEncryptionKey.kmsKeyName, berarti disk dienkripsi CMEK. Properti kmsKeyName menunjukkan nama kunci khusus yang digunakan untuk mengenkripsi disk:
```
{
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
```
  - Jika ada properti diskEncryptionKey.sha256, berarti disk akan dienkripsi CSEK. Properti sha256 adalah hash SHA-256 dari kunci enkripsi yang disediakan pelanggan yang melindungi disk.
```
  {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }
    
```

API

Buat permintaan POST ke metode compute.disks.get.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/disks/DISK_NAME

Ganti kode berikut:

PROJECT_ID: project ID Anda.
ZONE: zona tempat disk Anda berada.
DISK_NAME: nama disk

Minta respons

Jika responsnya adalah null, disk akan menggunakan enkripsi yang dikelola Google, yang merupakan setelan default.

Jika tidak, responsnya adalah objek JSON.

Jika objek JSON berisi kolom bernama diskEncryptionKey, disk akan dienkripsi. Objek diskEncryptionKey berisi informasi tentang apakah disk dienkripsi CMEK atau CSEK:

Jika ada properti diskEncryptionKey.kmsKeyName, berarti disk dienkripsi CMEK. Properti kmsKeyName menunjukkan nama kunci khusus yang digunakan untuk mengenkripsi disk:
```
{
  "diskEncryptionKey": {
    "kmsKeyName": "projects/my-proj/.."
  }
}
```
Jika ada properti diskEncryptionKey.sha256, berarti disk akan dienkripsi CSEK. Properti sha256 adalah hash SHA-256 dari kunci enkripsi yang disediakan pelanggan yang melindungi disk.
```
  {
    "diskEncryptionKey": {
      "sha256": "abcdefghijk134560459345dssfd"
    }
  }
    
```

Jika disk menggunakan enkripsi CMEK, Anda dapat menemukan informasi mendetail tentang kunci, key ring, dan lokasinya dengan mengikuti langkah-langkah di Melihat kunci menurut project.

Jika disk menggunakan enkripsi CSEK, hubungi administrator organisasi Anda untuk mengetahui detail tentang kunci tersebut.

Langkah selanjutnya

Untuk mempelajari cara membuat CMEK, lihat Membuat kunci enkripsi dengan Cloud KMS.
Enkripsi disk dengan kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK).
Pelajari format dan spesifikasi CSEK lebih lanjut.