Halaman ini diterjemahkan oleh Cloud Translation API.

Menggunakan CMEK dengan Dataproc Serverless

Saat Anda menggunakan Dataproc Serverless, data disimpan di disk pada infrastruktur serverless yang mendasarinya dan di bucket staging Cloud Storage. Data ini dienkripsi menggunakan kunci enkripsi data (DEK) dan kunci enkripsi kunci (KEK) yang dibuat Google. Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk membuat, menggunakan, dan mencabut kunci enkripsi kunci (KEK). Google mempertahankan kontrol atas kunci enkripsi data (DEK). Untuk mengetahui informasi selengkapnya tentang kunci enkripsi data Google, lihat Enkripsi default dalam Penyimpanan.

Menggunakan CMEK

Ikuti langkah-langkah di bagian ini untuk menggunakan CMEK guna mengenkripsi data yang ditulis Dataproc Serverless ke disk persisten dan ke bucket staging Dataproc.

Mulai 23 April 2024:

Dataproc Serverless juga menggunakan CMEK Anda untuk mengenkripsi argumen tugas batch. Peran IAM Pengenkripsi/Pendekripsi Cloud KMS harus ditetapkan ke akun layanan Agen Layanan Dataproc untuk mengaktifkan perilaku ini. Jika peran Agen Layanan Dataproc tidak dilampirkan ke akun layanan Agen Layanan Dataproc, tambahkan izin serviceusage.services.use ke peran kustom yang dilampirkan ke akun layanan Agen Layanan Dataproc . Cloud KMS API harus diaktifkan di project yang menjalankan resource Dataproc Serverless.
batches.list menampilkan kolom unreachable yang mencantumkan batch apa pun dengan argumen tugas yang tidak dapat didekripsi. Anda dapat mengeluarkan permintaan batches.get untuk mendapatkan informasi selengkapnya tentang batch yang tidak dapat dijangkau.
Kunci (CMEK) harus berada di lokasi yang sama dengan resource terenkripsi. Misalnya, CMEK yang digunakan untuk mengenkripsi batch yang berjalan di region us-central1 juga harus berada di region us-central1.

Buat kunci menggunakan Cloud Key Management Service (Cloud KMS).

Salin nama resource.

Nama resource dibuat sebagai berikut:

projects/PROJECT_ID/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME

Aktifkan akun layanan Compute Engine, Dataproc, dan Agen Layanan Cloud Storage untuk menggunakan kunci Anda:
1. Lihat Melindungi resource dengan menggunakan kunci Cloud KMS > Peran yang Diperlukan untuk menetapkan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS ke akun layanan Agen Layanan Compute Engine. Jika akun layanan ini tidak tercantum di halaman IAM di konsol Google Cloud, klik Sertakan pemberian peran yang disediakan Google untuk mencantumkannya.
2. Tetapkan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS ke akun layanan Agen Layanan Dataproc. Anda dapat menggunakan Google Cloud CLI untuk menetapkan peran:
```
 gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
 --member serviceAccount:service-PROJECT_NUMBER@dataproc-accounts. \
 --role roles/cloudkms.cryptoKeyEncrypterDecrypter
```
  Ganti kode berikut:
  
  KMS_PROJECT_ID: ID project Google Cloud Anda yang menjalankan Cloud KMS. Project ini juga dapat menjadi project yang menjalankan resource Dataproc.
  
  PROJECT_NUMBER: nomor project (bukan project ID) dari project Google Cloud Anda yang menjalankan resource Dataproc.
3. Aktifkan Cloud KMS API di project yang menjalankan resource Dataproc Serverless.
4. Jika peran Agen Layanan Dataproc tidak dilampirkan ke akun layanan Agen Layanan Dataproc, tambahkan izin serviceusage.services.use ke peran kustom yang dilampirkan ke akun layanan Agen Layanan Dataproc. Jika peran Agen Layanan Dataproc disertakan ke akun layanan Agen Layanan Dataproc, Anda dapat melewati langkah ini.
5. Ikuti langkah-langkah untuk menambahkan kunci Anda di bucket.
Saat Anda mengirimkan beban kerja batch:
1. Tentukan kunci Anda dalam parameter Batch kmsKey.
2. Tentukan nama bucket Cloud Storage Anda di parameter Batch stagingBucket.