Halaman ini menjelaskan cara menggunakan Kunci Enkripsi yang Dikelola Pelanggan (CMEK) untuk melindungi layanan Dataproc Metastore. CMEK menyediakan enkripsi data dalam penyimpanan dengan kunci yang dapat Anda kontrol melalui Cloud Key Management Service. Anda dapat menyimpan kunci sebagai kunci software, di cluster HSM, atau secara eksternal.
Sebelum memulai
Jika ingin layanan Dataproc Metastore berjalan di dalam perimeter Kontrol Layanan VPC, Anda harus menambahkan Cloud Key Management Service (Cloud KMS) API ke perimeter.
Mengonfigurasi dukungan CMEK untuk Dataproc Metastore
Guna mengonfigurasi dukungan CMEK untuk Dataproc Metastore, Anda harus terlebih dahulu memberikan izin kunci Cloud KMS ke akun layanan Dataproc Metastore dan Cloud Storage. Kemudian, Anda dapat membuat layanan Dataproc Metastore yang menggunakan kunci CMEK.
Memberikan izin kunci Cloud KMS
Gunakan perintah berikut untuk memberikan izin kunci Cloud KMS untuk Dataproc Metastore:
gcloud
Buat kunci CMEK di Cloud KMS (jika belum tersedia). Perintah berikut adalah contoh cara membuat kunci software:
gcloud config set project PROJECT_ID gcloud kms keyrings create KEY_RING \ --project KEY_PROJECT \ --location=LOCATION gcloud kms keys create KEY_NAME \ --project KEY_PROJECT \ --location=LOCATION \ --keyring=KEY_RING \ --purpose=encryption
Demikian pula, Anda dapat membuat kunci HSM atau membuat kunci EKM.
Berikan izin ke akun layanan Dataproc Metastore Service Agent:
gcloud kms keys add-iam-policy-binding KEY_NAME \ --location LOCATION \ --keyring KEY_RING \ --member=serviceAccount:$(gcloud beta services identity create \ --service=metastore.googleapis.com 2>&1 | awk '{print $4}') \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypterBerikan izin ke akun layanan Cloud Storage:
gsutil kms authorize -k projects/KEY_PROJECT/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
Membuat layanan Dataproc Metastore dengan kunci CMEK
Gunakan langkah-langkah berikut untuk mengonfigurasi enkripsi CMEK selama pembuatan layanan:
Konsol
Di konsol Google Cloud, buka halaman Metastore Dataproc:
Di bagian atas halaman Metastore Dataproc, klik Buat.
Halaman Buat layanan akan terbuka.
Konfigurasi layanan Anda sesuai kebutuhan.
Di bagian Enkripsi, klik Gunakan kunci enkripsi yang dikelola pelanggan (CMEK).
Pilih kunci yang dikelola pelanggan.
Klik Submit.
Verifikasi konfigurasi enkripsi layanan:
Di konsol Google Cloud, buka halaman Metastore Dataproc:
Di halaman Dataproc Metastore, klik nama layanan yang ingin Anda lihat.
Halaman Detail layanan untuk layanan tersebut akan terbuka.
Di tab Configuration, pastikan detailnya menunjukkan CMEK diaktifkan.
gcloud
Jalankan perintah
gcloud metastore services createuntuk membuat layanan dengan enkripsi CMEK:gcloud metastore services create SERVICE \ --encryption-kms-key=KMS_KEY
Ganti kode berikut:
SERVICE: Nama layanan baru.KMS_KEY: Mengacu pada ID resource kunci.
Verifikasi bahwa pembuatan berhasil.
Data Metastore Dataproc dilindungi dengan kunci enkripsi yang disediakan Google
Database Cloud Monitoring tidak mendukung enkripsi CMEK. Sebagai gantinya, Google Cloud menggunakan kunci enkripsi Google untuk melindungi nama dan konfigurasi layanan layanan Dataproc Metastore Anda.
Mengimpor dan mengekspor data dari dan ke layanan berkemampuan CMEK
Jika ingin data Anda tetap dienkripsi dengan kunci yang dikelola pelanggan selama proses impor, Anda harus menetapkan CMEK di bucket Cloud Storage sebelum mengimpor data darinya.
Anda dapat mengimpor dari bucket Cloud Storage yang tidak dilindungi CMEK. Setelah diimpor, data yang disimpan di Dataproc Metastore akan dilindungi sesuai dengan setelan CMEK layanan tujuan.
Saat mengekspor, dump database yang diekspor dilindungi sesuai dengan setelan CMEK bucket penyimpanan tujuan.
Peringatan CMEK untuk Dataproc Metastore
Menonaktifkan atau menghapus CMEK untuk layanan berkemampuan CMEK akan membuat layanan tidak dapat digunakan dan tidak dapat dipulihkan.
- Data akan hilang secara permanen.
Anda tidak dapat mengaktifkan kunci enkripsi yang dikelola pelanggan pada layanan yang sudah ada.
Anda tidak dapat merotasi kunci yang digunakan oleh layanan berkemampuan CMEK.
Layanan berkemampuan CMEK tidak mendukung sinkronisasi Data Catalog. Mengupdate layanan berkemampuan CMEK untuk mengaktifkan sinkronisasi Data Catalog akan gagal. Anda juga tidak dapat membuat layanan baru dengan mengaktifkan kedua fitur tersebut.
Anda tidak dapat menggunakan kunci enkripsi yang dikelola pelanggan untuk mengenkripsi data pengguna selama pengiriman, seperti kueri dan respons pengguna.
Jika Anda menggunakan kunci Cloud EKM, Google tidak memiliki kontrol atas ketersediaan kunci yang dikelola secara eksternal. Jika kunci menjadi tidak tersedia selama periode pembuatan layanan Dataproc Metastore, pembuatan layanan akan gagal. Setelah layanan Dataproc Metastore dibuat, jika kunci menjadi tidak tersedia, layanan menjadi tidak tersedia sampai kunci tersedia. Untuk pertimbangan lainnya saat menggunakan kunci eksternal, lihat Pertimbangan Cloud EKM.