Mengenkripsi data dengan kunci enkripsi yang dikelola pelanggan

Secara default, Dataproc Metastore mengenkripsi konten pelanggan dalam penyimpanan. Dataproc Metastore menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan terintegrasi CMEK, termasuk Dataproc Metastore. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batas kriptografisnya. Dengan menggunakan Cloud KMS, Anda juga dapat melihat log audit dan mengontrol siklus proses kunci. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Dataproc Metastore mirip dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi Anda, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Pertimbangan

  • Anda tidak dapat mengaktifkan kunci enkripsi yang dikelola pelanggan pada layanan yang ada.

  • Anda tidak dapat memutar kunci yang digunakan oleh layanan yang mendukung CMEK.

  • Anda tidak dapat menggunakan kunci enkripsi yang dikelola pelanggan untuk mengenkripsi data pengguna selama pengiriman, seperti kueri dan respons pengguna.

  • Layanan yang mengaktifkan CMEK tidak mendukung sinkronisasi Data Catalog. Memperbarui layanan yang mengaktifkan CMEK untuk mengaktifkan sinkronisasi Data Catalog gagal. Selain itu, Anda tidak dapat membuat layanan baru dengan kedua fitur tersebut diaktifkan.

  • Saat Anda menggunakan kunci Cloud EKM, Google tidak memiliki kontrol atas ketersediaan kunci yang dikelola secara eksternal. Jika kunci tidak tersedia selama periode pembuatan layanan Dataproc Metastore, pembuatan layanan akan gagal. Setelah layanan Dataproc Metastore dibuat, jika kunci tidak tersedia, layanan tidak akan tersedia hingga kunci tersedia. Untuk pertimbangan lainnya saat menggunakan kunci eksternal, lihat Pertimbangan Cloud EKM.

  • Database Cloud Monitoring tidak mendukung enkripsi CMEK. Sebagai gantinya, Google Cloud menggunakan kunci enkripsi Google untuk melindungi nama dan konfigurasi layanan layanan Dataproc Metastore Anda.

  • Jika ingin layanan Dataproc Metastore berjalan di dalam perimeter Kontrol Layanan VPC, Anda harus menambahkan Cloud Key Management Service (Cloud KMS) API ke perimeter.

Mengonfigurasi dukungan CMEK untuk Metastore Dataproc

Untuk mengonfigurasi dukungan CMEK untuk Dataproc Metastore, Anda harus memberikan izin kunci Cloud KMS terlebih dahulu ke akun layanan Dataproc Metastore dan Cloud Storage. Kemudian, Anda dapat membuat layanan Metastore Dataproc yang menggunakan kunci CMEK.

Memberikan izin kunci Cloud KMS

Gunakan perintah berikut untuk memberikan izin kunci Cloud KMS untuk Dataproc Metastore:

gcloud

  1. Buat kunci CMEK di Cloud KMS (jika belum tersedia). Perintah berikut adalah contoh cara membuat kunci software:

    gcloud config set project PROJECT_ID
gcloud kms keyrings create KEY_RING \
  --project KEY_PROJECT \
  --location=LOCATION

gcloud kms keys create KEY_NAME \
  --project KEY_PROJECT \
  --location=LOCATION \
  --keyring=KEY_RING \
  --purpose=encryption

    Demikian pula, Anda dapat membuat kunci HSM, atau membuat kunci EKM.

  2. Berikan izin ke akun layanan Agen Layanan Dataproc Metastore:

    gcloud kms keys add-iam-policy-binding KEY_NAME \
  --location LOCATION \
  --keyring KEY_RING \
  --member=serviceAccount:$(gcloud beta services identity create \
  --service=metastore.googleapis.com 2>&1 | awk '{print $4}') \
  --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

  3. Berikan izin ke akun layanan Cloud Storage:

    gcloud storage service-agent --authorize-cmek projects/KEY_PROJECT/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME

Membuat layanan Metastore Dataproc dengan kunci CMEK

Gunakan langkah-langkah berikut untuk mengonfigurasi enkripsi CMEK selama pembuatan layanan:

Konsol

  1. Di konsol Google Cloud, buka halaman Metastore Dataproc:

    Buka Dataproc Metastore

  2. Di bagian atas halaman Dataproc Metastore, klik Create.

    Halaman Buat layanan akan terbuka.

  3. Konfigurasi layanan Anda sesuai kebutuhan.

  4. Di bagian Enkripsi, klik Gunakan kunci enkripsi yang dikelola pelanggan (CMEK).

  5. Pilih kunci yang dikelola pelanggan.

  6. Klik Kirim.

Verifikasi konfigurasi enkripsi layanan:

  1. Di konsol Google Cloud, buka halaman Metastore Dataproc:

    Buka konsol Google Cloud

  2. Di halaman Dataproc Metastore, klik nama layanan yang ingin Anda lihat.

    Halaman Detail layanan untuk layanan tersebut akan terbuka.

  3. Di tab Configuration, pastikan detail menunjukkan bahwa CMEK diaktifkan.

gcloud

  1. Jalankan perintah gcloud metastore services create untuk membuat layanan dengan enkripsi CMEK:

    gcloud metastore services create SERVICE \
   --encryption-kms-key=KMS_KEY

    Ganti kode berikut:

    • SERVICE: Nama layanan baru.
    • KMS_KEY: Mengacu pada ID resource kunci.

  2. Pastikan pembuatan berhasil.

Mengimpor dan mengekspor data dari dan ke layanan yang mendukung CMEK

Jika ingin data Anda tetap dienkripsi dengan kunci yang dikelola pelanggan selama impor, Anda harus menetapkan CMEK di bucket Cloud Storage sebelum mengimpor data darinya.

Anda dapat mengimpor dari bucket Cloud Storage yang tidak dilindungi CMEK. Setelah diimpor, data yang disimpan di Dataproc Metastore akan dilindungi sesuai dengan setelan CMEK layanan tujuan.

Saat mengekspor, dump database yang diekspor dilindungi sesuai dengan setelan CMEK bucket penyimpanan tujuan.

Langkah selanjutnya