Menggunakan CMEK dengan Dataproc Serverless

Saat Anda menggunakan Dataproc Serverless, data disimpan di disk pada infrastruktur serverless yang mendasarinya dan di bucket staging Cloud Storage. Data ini dienkripsi menggunakan kunci enkripsi data (DEK) dan kunci enkripsi kunci (KEK) yang dihasilkan Google. Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk membuat, menggunakan, dan mencabut kunci enkripsi kunci (KEK). Google mempertahankan kontrol atas kunci enkripsi data (DEK). Untuk mengetahui informasi selengkapnya tentang kunci enkripsi data Google, lihat Enkripsi default saat Istirahat.

Menggunakan CMEK

Ikuti langkah-langkah di bagian ini untuk menggunakan CMEK guna mengenkripsi data yang ditulis Dataproc Serverless ke persistent disk dan ke bucket staging Dataproc.

Mulai 23 April 2024:

Dataproc Serverless juga menggunakan CMEK Anda untuk mengenkripsi argumen tugas batch. Peran IAM Encrypter/Decrypter Cloud KMS Encrypter harus ditetapkan ke akun layanan Dataproc Service Agent untuk mengaktifkan perilaku ini. Jika peran Agen Layanan Dataproc tidak terkait dengan akun layanan Agen Layanan Dataproc, tambahkan izin serviceusage.services.use ke peran khusus yang dikaitkan dengan akun layanan Agen Layanan Dataproc .
batches.list menampilkan kolom unreachable yang mencantumkan batch apa pun dengan argumen tugas yang tidak dapat didekripsi. Anda dapat mengirimkan permintaan batches.get untuk mendapatkan informasi lebih lanjut tentang batch yang tidak dapat dijangkau.
Kunci (CMEK) harus berada di lokasi yang sama dengan resource terenkripsi. Misalnya, CMEK yang digunakan untuk mengenkripsi batch yang berjalan di region us-central1 juga harus berada di region us-central1.

Buat kunci menggunakan Cloud Key Management Service (Cloud KMS).

Salin nama resource.

Nama resource dibuat sebagai berikut:

projects/PROJECT_ID/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME

Aktifkan akun layanan Compute Engine, Dataproc, dan Cloud Storage Service Agent untuk menggunakan kunci Anda:
1. Lihat Melindungi resource dengan menggunakan kunci Cloud KMS > Peran yang Diperlukan untuk menetapkan peran Cloud KMS CryptoKey Encrypter/Decrypter ke akun layanan Compute Engine Service Agent. Jika akun layanan ini tidak tercantum di halaman IAM di Konsol Google Cloud, klik Include Google-available role Grants untuk mencantumkannya.
2. Tetapkan peran Cloud KMS Encrypter/Decrypter ke akun layanan Agen Layanan Dataproc. Anda dapat menggunakan Google Cloud CLI untuk menetapkan peran:
```
 gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
 --member serviceAccount:service-PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com \
 --role roles/cloudkms.cryptoKeyEncrypterDecrypter
```
  Ganti kode berikut:
  
  KMS_PROJECT_ID: ID project Google Cloud Anda yang menjalankan Cloud KMS. Project ini juga dapat berupa project yang menjalankan resource Dataproc.
  
  PROJECT_NUMBER: nomor project (bukan project ID) dari project Google Cloud yang menjalankan resource Dataproc.
3. Jika peran Agen Layanan Dataproc tidak dikaitkan dengan akun layanan Agen Layanan Dataproc, tambahkan izin serviceusage.services.use ke peran khusus yang dikaitkan dengan akun layanan Agen Layanan Dataproc. Jika peran Dataproc Service Agent dikaitkan ke akun layanan Dataproc Service Agent, Anda dapat melewati langkah ini.
4. Ikuti langkah-langkah untuk menambahkan kunci ke bucket.
Saat Anda mengirimkan beban kerja batch:
1. Tentukan kunci Anda dalam parameter kmsKey Batch.
2. Tentukan nama bucket Cloud Storage Anda di parameter Batch stagingBucket.