Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)

Secara default, Eventarc mengenkripsi konten pelanggan dalam penyimpanan. Eventarc menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan terintegrasi CMEK, termasuk Eventarc. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batas kriptografisnya. Dengan menggunakan Cloud KMS, Anda juga dapat melihat log audit dan mengontrol siklus proses kunci. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Eventarc mirip dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi Anda, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Kunci enkripsi yang dikelola pelanggan disimpan sebagai kunci software, dalam cluster Cloud HSM, atau secara eksternal menggunakan Cloud External Key Manager.

Yang dilindungi dengan CMEK

Anda dapat mengonfigurasi CMEK untuk mengenkripsi pesan peristiwa yang melewati resource Eventarc Advanced berikut:

  • MessageBus—Bus Eventarc Advanced
  • Pipeline—Pipeline Eventarc Advanced
  • GoogleApiSource—Resource Eventarc Advanced yang mewakili langganan ke peristiwa Google API untuk bus tertentu

Untuk mengetahui informasi selengkapnya, lihat Ringkasan Eventarc Advanced.

Jika Anda mengaktifkan CMEK untuk resource, tindakan ini akan melindungi data yang terkait dengan resource di region tersebut menggunakan kunci enkripsi yang hanya dapat Anda akses.

Cloud KMS dan Eventarc adalah layanan yang diregionalisasi. Region untuk kunci Cloud KMS dan resource Eventarc Advanced yang dilindungi harus sama.

Sebelum memulai

Sebelum menggunakan fitur ini di Eventarc, Anda harus melakukan tindakan berikut:

Konsol

  1. Enable the Cloud KMS and Eventarc APIs.

    Enable the APIs

  2. Buat key ring.
  3. Membuat kunci untuk key ring yang ditentukan.

gcloud

  1. Perbarui komponen gcloud. 
    gcloud components update
  2. Aktifkan Cloud KMS dan Eventarc API untuk project yang akan menyimpan kunci enkripsi Anda. 
    gcloud services enable cloudkms.googleapis.com eventarc.googleapis.com
  3. Buat key ring.
  4. Membuat kunci untuk key ring yang ditentukan.

Untuk mengetahui informasi tentang semua flag dan kemungkinan nilai, jalankan perintah dengan flag --help.

Memberi akun layanan Eventarc akses ke kunci

Untuk memberi akun layanan Eventarc akses ke kunci Cloud KMS, tambahkan akun layanan sebagai akun utama kunci, dan berikan akun layanan tersebut peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS:

Konsol

Saat mengaktifkan CMEK untuk bus atau pipeline menggunakan konsol Google Cloud, Anda akan diminta untuk memberikan peran Cloud KMS CryptoKey Encrypter/Decrypter ke akun layanan. Untuk informasi selengkapnya, dalam dokumen ini, lihat Mengaktifkan CMEK untuk bus atau Mengaktifkan CMEK untuk pipeline.

gcloud 

 gcloud kms keys add-iam-policy-binding KEY_NAME \
     --keyring KEY_RING \
     --location REGION \
     --member serviceAccount:SERVICE_AGENT_EMAIL \
     --role roles/cloudkms.cryptoKeyEncrypterDecrypter

Ganti kode berikut:

  • KEY_NAME: nama kunci—misalnya, my-key
  • KEY_RING: nama key ring—misalnya, my-keyring
  • REGION: lokasi kunci—misalnya, us-central1

  • SERVICE_AGENT_EMAIL: alamat email akun layanan dengan peran eventarc.serviceAgent

    Misalnya, service-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com. Untuk mengetahui informasi selengkapnya, lihat Agen layanan.

Mengaktifkan CMEK untuk bus

Saat Anda mengaktifkan CMEK untuk bus Eventarc Advanced, semua pesan yang melewati bus akan dienkripsi sepenuhnya dengan kunci CMEK tersebut.

Konsol

  1. Di konsol Google Cloud, buka halaman Eventarc > Bus.

    Buka Bus

  2. Anda dapat membuat bus atau, jika Anda memperbarui bus, klik nama bus.

  3. Di halaman Detail bus, klik Edit.

  4. Di halaman Edit bus, untuk Encryption, pilih Cloud KMS key.

  5. Dalam daftar Key type, pilih metode untuk mengelola kunci Anda.

    Anda dapat mengelola kunci secara manual atau menggunakan Autokey yang memungkinkan Anda membuat key ring dan kunci sesuai permintaan. Jika opsi Autokey dinonaktifkan, opsi tersebut belum terintegrasi dengan jenis resource saat ini.

  6. Di daftar Select a Cloud KMS key, pilih kunci.

  7. Opsional: Untuk memasukkan nama resource kunci secara manual, di daftar Select a Cloud KMS key, klik Enter key manually, lalu masukkan nama kunci dalam format yang ditentukan.

  8. Jika diminta, berikan peran cloudkms.cryptoKeyEncrypterDecrypter ke Agen Layanan Eventarc.

  9. Klik Simpan.

gcloud

Gunakan perintah gcloud beta eventarc message-buses update untuk mengaktifkan CMEK untuk bus Anda:

gcloud beta eventarc message-buses update BUS_NAME \
    --location=REGION \
    --crypto-key=KEY

Ganti kode berikut:

  • BUS_NAME: ID atau ID yang sepenuhnya memenuhi syarat dari bus Anda
  • REGION: Lokasi Eventarc Advanced yang didukung

  • KEY: nama kunci Cloud KMS yang sepenuhnya memenuhi syarat dalam format projects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME

    REGION kunci harus cocok dengan lokasi bus yang akan dilindungi.

Memverifikasi penggunaan Cloud KMS

Pastikan bus kini mematuhi CMEK.

Konsol

  1. Di konsol Google Cloud, buka halaman Eventarc > Bus.

    Buka Bus

  2. Klik nama bus yang telah Anda lindungi menggunakan CMEK.

  3. Di halaman Detail bus, status Enkripsi menunjukkan kunci enkripsi yang dikelola pelanggan yang digunakan. Anda dapat mengklik kunci untuk membukanya di Security Command Center.

    Jika tidak, pesan statusnya adalah Event messages encrypted using Google-managed encryption keys.

gcloud

Gunakan perintah gcloud beta eventarc message-buses describe untuk mendeskripsikan bus Anda:

 gcloud beta eventarc message-buses describe BUS_NAME \
     --location=REGION

Outputnya akan mirip dengan berikut ini:

 cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
 name: projects/PROJECT_ID/locations/REGION/messageBuses/BUS_NAME
 updateTime: '2022-06-28T17:24:56.365866104Z'

Nilai cryptokeyName menunjukkan kunci Cloud KMS yang digunakan untuk bus.

Menonaktifkan CMEK untuk bus

Anda dapat menonaktifkan perlindungan CMEK yang terkait dengan bus. Peristiwa yang dikirim melalui bus masih dilindungi oleh Google-owned and Google-managed encryption keys.

Konsol

  1. Di konsol Google Cloud, buka halaman Eventarc > Bus.

    Buka Bus

  2. Klik nama bus.

  3. Di halaman Detail bus, klik Edit.

  4. Di halaman Edit bus, untuk Enkripsi, pilih Kunci enkripsi yang dikelola Google.

  5. Klik Simpan.

gcloud

Gunakan perintah gcloud beta eventarc message-buses update untuk menonaktifkan CMEK untuk bus Anda:

gcloud beta eventarc message-buses update BUS_NAME \
    --location=REGION \
    --clear-crypto-key

Mengaktifkan CMEK untuk pipeline

Saat Anda mengaktifkan CMEK untuk pipeline Eventarc Advanced, semua pesan yang melewati pipeline akan dienkripsi sepenuhnya dengan kunci CMEK tersebut.

Konsol

  1. Di konsol Google Cloud, buka halaman Eventarc > Pipelines.

    Buka Pipeline

  2. Anda dapat membuat pipeline atau, jika Anda mengupdate pipeline, klik nama pipeline.

  3. Di halaman Detail pipeline, klik Edit.

  4. Di halaman Edit pipeline, untuk Encryption, pilih Cloud KMS key.

  5. Dalam daftar Key type, pilih metode untuk mengelola kunci Anda.

    Anda dapat mengelola kunci secara manual atau menggunakan Autokey yang memungkinkan Anda membuat ring kunci dan kunci sesuai permintaan. Jika dinonaktifkan, opsi Kunci Otomatis belum terintegrasi dengan jenis resource saat ini.

  6. Di daftar Select a Cloud KMS key, pilih kunci.

  7. Opsional: Untuk memasukkan nama resource kunci secara manual, di daftar Select a Cloud KMS key, klik Enter key manually, lalu masukkan nama kunci dalam format yang ditentukan.

  8. Jika diminta, berikan peran cloudkms.cryptoKeyEncrypterDecrypter ke Agen Layanan Eventarc.

  9. Klik Simpan.

gcloud

Gunakan perintah gcloud beta eventarc pipelines update untuk mengaktifkan CMEK untuk pipeline:

 gcloud beta eventarc pipelines update PIPELINE_NAME \
     --location=REGION \
     --crypto-key=KEY

Ganti kode berikut:

  • PIPELINE_NAME: ID atau ID yang memenuhi syarat sepenuhnya dari pipeline Anda
  • REGION: Lokasi Eventarc Advanced yang didukung

  • KEY: nama kunci Cloud KMS yang sepenuhnya memenuhi syarat dalam format projects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME

    REGION kunci harus cocok dengan lokasi pipeline yang akan dilindungi.

Memverifikasi penggunaan Cloud KMS

Pastikan pipeline kini mematuhi CMEK.

Konsol

  1. Di konsol Google Cloud, buka halaman Eventarc > Pipelines.

    Buka Pipeline

  2. Klik nama pipeline yang telah Anda lindungi menggunakan CMEK.

  3. Di halaman Detail pipeline, status Enkripsi menunjukkan kunci enkripsi yang dikelola pelanggan yang digunakan. Anda dapat mengklik kunci untuk membukanya di Security Command Center.

    Jika tidak, pesan statusnya adalah Event messages encrypted using Google-managed encryption keys.

gcloud

Gunakan perintah gcloud beta eventarc pipelines describe untuk memverifikasi CMEK untuk pipeline Anda:

 gcloud beta eventarc pipelines describe PIPELINE_NAME \
     --location=REGION

Outputnya akan mirip dengan berikut ini:

 createTime: '2022-06-28T18:05:52.403999904Z'
 cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
 destinations: ...
 name: projects/PROJECT_ID/locations/REGION/pipelines/PIPELINE_NAME
 uid: 5ea277f9-b4b7-4e7f-a8e0-6ca9d7204fa3
 updateTime: '2022-06-28T18:09:18.650727516Z'

Nilai cryptokeyName menunjukkan kunci Cloud KMS yang digunakan untuk pipeline.

Menonaktifkan CMEK untuk pipeline

Anda dapat menonaktifkan perlindungan CMEK yang terkait dengan pipeline. Peristiwa yang dikirim melalui pipeline masih dilindungi oleh Google-owned and Google-managed encryption keys.

Konsol

  1. Di konsol Google Cloud, buka halaman Eventarc > Pipelines.

    Buka Pipeline

  2. Klik nama pipeline.

  3. Di halaman Detail pipeline, klik Edit.

  4. Di halaman Edit pipeline, untuk Encryption, pilih Google-managed encryption key.

  5. Klik Simpan.

gcloud

Gunakan perintah gcloud beta eventarc pipelines update untuk menonaktifkan CMEK untuk pipeline Anda:

gcloud beta eventarc pipelines update PIPELINE_NAME \
    --location=REGION \
    --clear-crypto-key

Mengaktifkan CMEK untuk sumber Google API

Saat Anda mengaktifkan CMEK untuk resource GoogleApiSource, semua pesan yang dikumpulkan untuk resource tersebut akan dienkripsi sepenuhnya dengan kunci CMEK.

Konsol

  1. Di konsol Google Cloud, buka halaman Eventarc > Bus.

    Buka Bus

  2. Anda dapat membuat bus atau, jika Anda memperbarui bus, klik nama bus.

  3. Di halaman Detail bus, klik Edit.

  4. Untuk menambahkan sumber pesan, klik Tambahkan sumber.

    Jika sumber pesan sudah ada, Anda harus menghapusnya terlebih dahulu, lalu menambahkan sumber pesan baru.

  5. Di panel Tambahkan sumber pesan, untuk penyedia pesan Google API, terima google-api-source default.

  6. Untuk Enkripsi, pilih Kunci Cloud KMS, lalu lakukan hal berikut:

    1. Dalam daftar Key type, pilih metode untuk mengelola kunci Anda.

      Anda dapat mengelola kunci secara manual atau menggunakan Autokey yang memungkinkan Anda membuat ring kunci dan kunci sesuai permintaan. Jika dinonaktifkan, opsi Kunci Otomatis belum terintegrasi dengan jenis resource saat ini.

    2. Di bagian Select a Cloud KMS key, pilih kunci.

      Anda harus memilih region sebelum dapat melihat kunci yang dikelola pelanggan.

    3. Opsional: Untuk memasukkan nama resource kunci secara manual, di daftar Select a Cloud KMS key, klik Enter key manually, lalu masukkan nama kunci dalam format yang ditentukan.

    4. Jika diminta, berikan peran cloudkms.cryptoKeyEncrypterDecrypter ke Agen Layanan Eventarc.

  7. Klik Buat.

    Hal ini memungkinkan pengumpulan peristiwa secara otomatis yang berasal langsung dari sumber Google, dan semua pesan peristiwa dienkripsi sepenuhnya dengan kunci CMEK.

    Hanya peristiwa dari resource dalam project Google Cloud yang sama dengan GoogleApiSource yang dipublikasikan. Untuk informasi selengkapnya, lihat Memublikasikan peristiwa dari sumber Google.

  8. Klik Simpan.

gcloud

Gunakan perintah gcloud beta eventarc google-api-sources update untuk mengaktifkan CMEK untuk resource GoogleApiSource Anda:

gcloud beta eventarc google-api-sources update GOOGLE_API_SOURCE_NAME \
    --location=REGION \
    --crypto-key=KEY

Ganti kode berikut:

  • GOOGLE_API_SOURCE_NAME: ID atau ID yang memenuhi syarat sepenuhnya dari resource GoogleApiSource Anda
  • REGION: Lokasi Eventarc Advanced yang didukung

  • KEY: nama kunci Cloud KMS yang sepenuhnya memenuhi syarat dalam format projects/PROJECT_NAME/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME

    REGION kunci harus cocok dengan lokasi resource yang akan dilindungi.

Memverifikasi penggunaan Cloud KMS

Pastikan resource kini mematuhi CMEK.

Konsol

  1. Di konsol Google Cloud, buka halaman Eventarc > Bus.

    Buka Bus

  2. Klik nama bus yang sumber pesannya telah Anda lindungi menggunakan kunci Cloud KMS.

  3. Di halaman Detail bus, klik Edit.

    Kunci yang mengenkripsi sumber pesan Anda harus dicantumkan. Anda dapat mengklik kunci untuk membukanya di Security Command Center.

    Jika tidak, pesan status Encryption adalah Event messages encrypted using Google-managed encryption keys.

gcloud

Gunakan perintah gcloud beta eventarc google-api-sources describe untuk memverifikasi CMEK untuk resource GoogleApiSource Anda:

  gcloud beta eventarc google-api-sources describe GOOGLE_API_SOURCE_NAME \
      --location=REGION

Outputnya akan mirip dengan berikut ini:

  createTime: '2022-06-28T18:05:52.403999904Z'
  cryptoKeyName: projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME
  destination: projects/PROJECT_ID/locations/REGION/messageBuses/BUS_NAME
  name: projects/PROJECT_ID/locations/REGION/googleApiSources/GOOGLE_API_SOURCE_NAME
  uid: 5ea277f9-b4b7-4e7f-a8e0-6ca9d7204fa3
  updateTime: '2022-06-28T18:09:18.650727516Z'

Nilai cryptokeyName menunjukkan kunci Cloud KMS yang digunakan untuk pipeline.

Menonaktifkan CMEK untuk sumber Google API

Anda dapat menonaktifkan perlindungan CMEK yang terkait dengan sumber Google API. Peristiwa yang dikumpulkan melalui resource GoogleApiSource masih dilindungi oleh Google-owned and Google-managed encryption keys.

Konsol

  1. Di konsol Google Cloud, buka halaman Eventarc > Bus.

    Buka Bus

  2. Klik nama bus yang sumber pesannya telah Anda lindungi menggunakan CMEK.

  3. Di halaman Detail bus, klik Edit.

  4. Untuk menghapus sumber pesan yang dienkripsi oleh kunci Cloud KMS, klik Hapus resource.

  5. Jika perlu, tambahkan kembali sumber pesan.

gcloud

Gunakan perintah gcloud beta eventarc google-api-sources update untuk menonaktifkan CMEK untuk resource GoogleApiSource Anda:

gcloud beta eventarc google-api-sources update GOOGLE_API_SOURCE_NAME \
    --location=REGION \
    --clear-crypto-key

Menerapkan kebijakan organisasi CMEK

Eventarc terintegrasi dengan dua batasan kebijakan organisasi untuk membantu memastikan penggunaan CMEK di seluruh organisasi:

  • constraints/gcp.restrictNonCmekServices digunakan untuk mewajibkan perlindungan CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects digunakan untuk membatasi kunci Cloud KMS mana yang digunakan untuk perlindungan CMEK.

Integrasi ini memungkinkan Anda menentukan persyaratan kepatuhan enkripsi berikut untuk resource Eventarc di organisasi Anda:

Pertimbangan saat menerapkan kebijakan organisasi

Sebelum menerapkan kebijakan organisasi CMEK, Anda harus mengetahui hal-hal berikut.

  • Bersiap menghadapi penundaan penerapan

    Setelah Anda menetapkan atau memperbarui kebijakan organisasi, perlu waktu hingga 15 menit agar kebijakan baru dapat diterapkan.

  • Pertimbangkan resource yang ada

    Resource yang ada tidak tunduk pada kebijakan organisasi yang baru dibuat. Misalnya, kebijakan organisasi tidak berlaku secara surut untuk pipeline yang ada. Resource tersebut masih dapat diakses tanpa CMEK dan, jika berlaku, masih dienkripsi dengan kunci yang ada.

  • Memverifikasi izin yang diperlukan untuk menetapkan kebijakan organisasi

    Izin untuk menetapkan atau memperbarui kebijakan organisasi mungkin sulit diperoleh untuk tujuan pengujian. Anda harus diberi peran Administrator Kebijakan Organisasi, yang hanya dapat diberikan di tingkat organisasi (bukan di tingkat project atau folder).

    Meskipun peran ini harus diberikan di tingkat organisasi, Anda tetap dapat menentukan kebijakan yang hanya berlaku untuk project atau folder tertentu.

Mewajibkan CMEK untuk resource Eventarc baru

Anda dapat menggunakan batasan constraints/gcp.restrictNonCmekServices untuk mewajibkan CMEK digunakan untuk melindungi resource Eventarc baru di organisasi.

Jika ditetapkan, kebijakan organisasi ini akan menyebabkan semua permintaan pembuatan resource tanpa kunci Cloud KMS yang ditentukan akan gagal.

Setelah ditetapkan, kebijakan ini hanya berlaku untuk resource baru dalam project. Setiap resource yang ada tanpa kunci Cloud KMS yang diterapkan akan tetap ada dan dapat diakses tanpa masalah.

Konsol

  1. Di konsol Google Cloud, buka halaman Organization policies.

    Buka Organization policies

  2. Dengan menggunakan Filter, telusuri batasan berikut:

    constraints/gcp.restrictNonCmekServices

  3. Di kolom Name, klik Batasi layanan mana yang dapat membuat resource tanpa CMEK.

  4. Klik Manage Policy.

  5. Di halaman Edit policy, pada bagian Policy source, pilih Override parent's policy.

  6. Di bagian Rules, klik Add a rule.

  7. Dalam daftar Policy values, pilih Custom.

  8. Dalam daftar Jenis kebijakan, pilih Tolak.

  9. Di kolom Custom values, masukkan hal berikut:

    is:eventarc.googleapis.com

  10. Klik Selesai, lalu klik Tetapkan kebijakan.

gcloud

  1. Membuat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:

      name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
  spec:
    rules:
    - values:
        deniedValues:
        - is:eventarc.googleapis.com

    Ganti PROJECT_ID dengan ID project tempat Anda menerapkan batasan ini.

  2. Jalankan perintah org-policies set-policy :

    gcloud org-policies set-policy /tmp/policy.yaml

Untuk memverifikasi bahwa kebijakan berhasil diterapkan, Anda dapat mencoba membuat pipeline Eventarc Advanced dalam project. Proses ini akan gagal kecuali jika Anda menentukan kunci Cloud KMS.

Membatasi kunci Cloud KMS untuk project Eventarc

Anda dapat menggunakan batasan constraints/gcp.restrictCmekCryptoKeyProjects untuk membatasi kunci Cloud KMS yang dapat digunakan untuk melindungi resource dalam project Eventarc.

Misalnya, Anda dapat menentukan aturan yang mirip dengan berikut: "Untuk resource Eventarc yang berlaku di projects/my-company-data-project, kunci Cloud KMS yang digunakan dalam project ini harus berasal dari projects/my-company-central-keys ATAU projects/team-specific-keys".

Konsol

  1. Di konsol Google Cloud, buka halaman Organization policies.

    Buka Organization policies

  2. Dengan menggunakan Filter, telusuri batasan berikut:

    constraints/gcp.restrictCmekCryptoKeyProjects

  3. Di kolom Nama, klik Batasi project mana yang dapat menyediakan CryptoKey KMS untuk CMEK.

  4. Klik Manage Policy.

  5. Di halaman Edit policy, pada bagian Policy source, pilih Override parent's policy.

  6. Di bagian Rules, klik Add a rule.

  7. Dalam daftar Policy values, pilih Custom.

  8. Dalam daftar Jenis kebijakan, pilih Izinkan.

  9. Di kolom Custom values, masukkan hal berikut:

    under:projects/KMS_PROJECT_ID

    Ganti KMS_PROJECT_ID dengan ID project tempat kunci Cloud KMS yang ingin Anda gunakan berada.

    Misalnya, under:projects/my-kms-project.

  10. Klik Selesai, lalu klik Tetapkan kebijakan.

gcloud

  1. Membuat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:

      name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
  spec:
    rules:
    - values:
        allowedValues:
        - under:projects/KMS_PROJECT_ID

    Ganti kode berikut:

    • PROJECT_ID: ID project tempat Anda menerapkan batasan ini.
    • KMS_PROJECT_ID: ID project tempat kunci Cloud KMS yang ingin Anda gunakan berada.

  2. Jalankan perintah org-policies set-policy :

    gcloud org-policies set-policy /tmp/policy.yaml

Untuk memverifikasi bahwa kebijakan berhasil diterapkan, Anda dapat mencoba membuat pipeline Eventarc Advanced menggunakan kunci Cloud KMS dari project lain. Proses tersebut akan gagal.

Menonaktifkan dan mengaktifkan kunci Cloud KMS

Versi kunci menyimpan materi kunci kriptografis yang Anda gunakan untuk mengenkripsi, mendekripsi, menandatangani, dan memverifikasi data. Anda dapat menonaktifkan versi kunci ini sehingga data yang dienkripsi dengan kunci tidak dapat diakses.

Jika Eventarc tidak dapat mengakses kunci Cloud KMS, perutean peristiwa akan gagal dengan error FAILED_PRECONDITION dan pengiriman peristiwa akan berhenti. Anda dapat mengaktifkan kunci dalam status Nonaktif sehingga data terenkripsi dapat diakses lagi.

Menonaktifkan kunci Cloud KMS

Untuk mencegah Eventarc menggunakan kunci untuk mengenkripsi atau mendekripsi data peristiwa Anda, lakukan salah satu tindakan berikut:

  • Sebaiknya nonaktifkan versi kunci yang telah Anda konfigurasikan untuk bus atau pipeline. Hal ini hanya memengaruhi bus atau pipeline Eventarc Advanced yang terkait dengan kunci tertentu.
  • Opsional: Cabut peran cloudkms.cryptoKeyEncrypterDecrypter dari akun layanan Eventarc. Hal ini memengaruhi semua resource Eventarc project yang mendukung peristiwa yang dienkripsi menggunakan CMEK.

Meskipun kedua operasi tersebut tidak menjamin pencabutan akses secara instan, perubahan Identity and Access Management (IAM) umumnya diterapkan lebih cepat. Untuk mengetahui informasi selengkapnya, lihat Konsistensi resource Cloud KMS dan Penerapan perubahan akses.

Mengaktifkan kembali kunci Cloud KMS

Untuk melanjutkan pengiriman dan pemilihan rute peristiwa, pulihkan akses ke Cloud KMS.

Logging audit dan pemecahan masalah

Cloud KMS menghasilkan log audit saat kunci diaktifkan, dinonaktifkan, atau digunakan oleh resource Eventarc Advanced untuk mengenkripsi dan mendekripsi pesan. Untuk informasi selengkapnya, lihat Informasi logging audit Cloud KMS.

Untuk mengatasi masalah yang mungkin Anda alami saat menggunakan kunci yang dikelola secara eksternal melalui Cloud External Key Manager (Cloud EKM), lihat Referensi error Cloud EKM.

Harga

Integrasi bus tidak menimbulkan biaya tambahan di luar operasi utama, yang ditagih ke project Google Cloud Anda. Penggunaan CMEK untuk pipeline akan dikenai biaya akses ke layanan Cloud KMS berdasarkan harga Pub/Sub.

Untuk mengetahui informasi selengkapnya tentang informasi harga terbaru, lihat Harga Cloud KMS.

Langkah berikutnya