Secara default, Google Cloud otomatis mengenkripsi data saat dalam penyimpanan menggunakan kunci enkripsi yang dikelola oleh Google. Jika Anda memiliki persyaratan kepatuhan atau peraturan khusus terkait kunci yang melindungi data, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk set data Cloud Healthcare API. Set data Cloud Healthcare API dienkripsi menggunakan kunci yang Anda kontrol dan kelola di Cloud Key Management Service (Cloud KMS), bukan memiliki dan mengelola kunci enkripsi yang melindungi data Anda.
Untuk mengetahui informasi selengkapnya tentang CMEK secara umum, termasuk waktu dan alasan mengaktifkannya, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).
Sebelum memulai
Tentukan apakah set data Cloud Healthcare API dan Cloud KMS akan berada di project Google Cloud yang sama atau yang berbeda. Untuk panduan, lihat Pemisahan tugas.
Untuk tujuan dokumentasi, konvensi berikut digunakan:
PROJECT_ID
: project ID Cloud Healthcare APIKMS_PROJECT_ID
: project ID tempat Cloud KMS berjalan, yang mungkin sama denganPROJECT_ID
Untuk informasi tentang project ID dan nomor project Google Cloud, lihat Mengidentifikasi project.
Batasan
- Anda hanya dapat menggunakan kunci Cloud KMS saat membuat set data Cloud Healthcare API. Anda tidak dapat mengaktifkan, mengubah, atau menonaktifkan kunci Cloud KMS pada set data Cloud Healthcare API yang ada.
- Hanya penyimpanan FHIR, DICOM, dan HL7v2 yang didukung dalam set data yang dienkripsi CMEK. Perlindungan CMEK berlaku untuk penyimpanan DICOM, FHIR, dan HL7v2 dalam set data dan resource-nya.
- Anda tidak dapat melakukan de-identifikasi resource yang dienkripsi CMEK.
Operasi CMEK
Kunci Cloud KMS digunakan saat resource yang dienkripsi CMEK dibuat, dibaca, diperbarui, atau dihapus, dan untuk tugas operasional seperti penagihan atau memastikan kunci tersedia.
Pertimbangan utama eksternal
Untuk informasi tentang penggunaan kunci yang Anda kelola dalam sistem partner pengelolaan kunci eksternal yang didukung untuk melindungi data dalam Google Cloud, lihat Cloud External Key Manager.
Jika Anda kehilangan kunci yang dikelola di luar Google Cloud, Google tidak dapat memulihkan data Anda.
Ketidaktersediaan kunci dan kehilangan data
Jika set data dienkripsi dengan kunci, dan kunci tersebut menjadi tidak tersedia serta tetap tidak tersedia, Cloud Healthcare API akan menonaktifkan dan pada akhirnya menghapus set data. Terkadang, kunci menjadi tidak tersedia jika dinonaktifkan atau dihancurkan, atau jika tidak dapat diakses karena izin dicabut, tetapi perilaku ini terjadi jika kunci tersebut tidak tersedia karena alasan apa pun. Tingkat perlindungan kunci atau apakah merupakan kunci eksternal tidak memengaruhi perilaku ini. Kunci eksternal juga bisa menjadi tidak tersedia tanpa dapat diprediksi. Misalnya, masalah konektivitas mungkin muncul antara resource Google Cloud dan EKM Anda.
Proses berikut menjelaskan cara pemeriksaan ketersediaan kunci, serta cara menonaktifkan dan menghapus set data:
Setelah set data Cloud Healthcare API yang dienkripsi CMEK dibuat, Cloud Healthcare API akan memeriksa status kunci setiap lima menit untuk memastikan kunci tersebut tersedia. Jika kunci tidak tersedia, Cloud Healthcare API akan terus mendukung permintaan ke set data hingga satu jam.
Setelah satu jam, jika Cloud Healthcare API masih tidak dapat terhubung dengan Cloud KMS, set data Cloud Healthcare API dinonaktifkan sebagai tindakan perlindungan. Untuk mengaktifkan kembali set data Cloud Healthcare API, hubungi perwakilan dukungan Anda.
Jika dinonaktifkan, Anda hanya dapat mengirim permintaan
datasets.get
dandatasets.delete
ke set data Cloud Healthcare API. Permintaan lainnya gagal dengan error400 FAILED_PRECONDITION
.Jika set data Cloud Healthcare API tetap tidak tersedia selama lebih dari 30 hari, set data tersebut akan dihapus secara permanen. Semua DICOM, FHIR, dan HL7v2 yang disimpan dalam set data dan data terkait juga akan dihapus. Jika dihapus, data ini tidak dapat dipulihkan.
Pembuatan kunci
Bagian berikut menjelaskan cara membuat key ring dan kunci Cloud KMS. Hanya kunci enkripsi simetris Cloud KMS yang didukung.
Lokasi yang didukung
Kunci Cloud KMS tersedia di lokasi Cloud Healthcare API. Buat key ring di lokasi yang cocok dengan region atau multi-region dalam set data Cloud Healthcare API Anda.
Setiap set data Cloud Healthcare API multi-regional harus menggunakan key ring multi-regional dari lokasi yang cocok. Misalnya, set data Cloud Healthcare API di region
us
harus dilindungi dengan key ring dari regionus
, dan set data Cloud Healthcare API di regioneu
harus dilindungi dengan key ring dari regioneurope
.Set data Cloud Healthcare API regional harus menggunakan kunci regional yang cocok. Misalnya, set data Cloud Healthcare API di region
asia-northeast1
harus dilindungi dengan key ring dari regionasia-northeast1
.Anda tidak dapat menggunakan region
global
saat mengonfigurasi CMEK untuk set data Cloud Healthcare API.
Untuk informasi selengkapnya, lihat lokasi Cloud Healthcare API dan lokasi Cloud KMS.
Membuat key ring dan kunci
Selesaikan langkah-langkah berikut di project Google Cloud yang menjalankan Cloud KMS:
Memberikan izin enkripsi dan dekripsi
Untuk melindungi data Cloud Healthcare API Anda dengan kunci Cloud KMS, berikan
peran CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter
)
pada kunci tersebut kepada
akun layanan Cloud Healthcare Service Agent. Untuk mengetahui petunjuknya, lihat
Izin set data CMEK.
Setelah memberikan peran kepada akun layanan, Cloud Healthcare API dapat mengenkripsi dan mendekripsi resource yang dienkripsi CMEK. Aplikasi Anda tidak perlu menentukan kunci saat membaca atau menulis data. Cloud Healthcare API menangani enkripsi.
Saat pemohon membaca atau menulis objek yang dienkripsi dengan kunci Cloud KMS, ia akan mengakses objek seperti biasa. Selama permintaan, agen layanan akan otomatis mengenkripsi atau mendekripsi objek yang diminta, asalkan kedua kondisi berikut terpenuhi:
- Agen layanan masih memiliki izin yang diperlukan.
- Kunci tersedia dan diaktifkan.
Membuat set data Cloud Healthcare API yang dienkripsi CMEK
Contoh berikut menunjukkan cara membuat set data yang dienkripsi CMEK.
Anda harus menentukan ID resource kunci Cloud KMS saat membuat set data. Kunci ini peka huruf besar/kecil dan dalam format berikut:
projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
Untuk melihat ID resource kunci Cloud KMS, baca bagian Mendapatkan ID resource Cloud KMS.
Konsol
Di konsol Google Cloud, buka halaman Browser.
Klik add_box Create dataset. Halaman Create dataset akan ditampilkan.
Di kolom Name, masukkan ID untuk set data sesuai dengan persyaratan ukuran dan karakter yang diizinkan untuk set data.
Pilih salah satu jenis lokasi berikut:
Region. Set data secara permanen berada dalam satu region Google Cloud. Setelah memilih opsi ini, ketik atau pilih lokasi di kolom Region.
Multi-region. Set data secara permanen berada di dalam lokasi yang mencakup beberapa region Google Cloud. Setelah memilih opsi ini, ketik atau pilih lokasi multi-region di kolom Multi-region.
Di bagian Enkripsi, pilih salah satu jenis enkripsi berikut:
Kunci enkripsi yang dikelola Google: Metode enkripsi default. Gunakan metode ini jika Anda ingin Google mengelola kunci enkripsi yang melindungi data Anda dalam set data Cloud Healthcare API ini.
Kunci Cloud KMS: Gunakan kunci enkripsi yang dikelola pelanggan (CMEK).
Klik Create. Halaman Browser akan ditampilkan. {i>Dataset<i} yang baru ditampilkan dalam daftar {i>dataset<i}.
REST
Buat set data menggunakan metode
datasets.create
.Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
PROJECT_ID
: ID project Google Cloud AndaLOCATION
: lokasi yang didukung untuk set dataDATASET_ID
: ID yang tunduk pada persyaratan ukuran dan karakter yang diizinkan untuk set dataKEY_RESOURCE_ID
: ID resource untuk kunci Cloud KMS, dalam formatprojects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
Meminta isi JSON:
{ "encryptionSpec": { "kmsKeyName": "KEY_RESOURCE_ID" } }
Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:
curl
Simpan isi permintaan dalam file bernama
request.json
. Jalankan perintah berikut di terminal untuk membuat atau menimpa file ini di direktori saat ini:cat > request.json << 'EOF' { "encryptionSpec": { "kmsKeyName": "KEY_RESOURCE_ID" } } EOF
Kemudian, jalankan perintah berikut untuk mengirim permintaan REST Anda:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets?datasetId=DATASET_ID"PowerShell
Simpan isi permintaan dalam file bernama
request.json
. Jalankan perintah berikut di terminal untuk membuat atau menimpa file ini di direktori saat ini:@' { "encryptionSpec": { "kmsKeyName": "KEY_RESOURCE_ID" } } '@ | Out-File -FilePath request.json -Encoding utf8
Kemudian jalankan perintah berikut untuk mengirim permintaan REST Anda:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets?datasetId=DATASET_ID" | Select-Object -Expand ContentAPIs Explorer
Salin isi permintaan, lalu buka halaman referensi metode. Panel APIs Explorer akan terbuka di sisi kanan halaman. Anda bisa berinteraksi dengan alat ini untuk mengirim permintaan. Tempelkan isi permintaan di alat ini, lengkapi kolom wajib lainnya, lalu klik Jalankan.
OPERATION_ID
. Anda memerlukan nilai ini pada langkah berikutnya.Dapatkan status operasi yang berjalan lama menggunakan metode
projects.locations.datasets.operations.get
.Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
PROJECT_ID
: ID project Google Cloud AndaLOCATION
: lokasi set dataDATASET_ID
: ID set dataOPERATION_ID
: ID yang ditampilkan dari operasi yang berjalan lama
Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:
curl
Jalankan perintah berikut:
curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID"PowerShell
Jalankan perintah berikut:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method GET `
-Headers $headers `
-Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID" | Select-Object -Expand ContentAPIs Explorer
Buka halaman referensi metode. Panel APIs Explorer akan terbuka di sisi kanan halaman. Anda bisa berinteraksi dengan alat ini untuk mengirim permintaan. Lengkapi kolom yang wajib diisi, lalu klik Jalankan.
"done": true
, operasi yang berjalan lama telah selesai.
Menentukan apakah set data dilindungi oleh Cloud KMS
Untuk setiap kunci yang telah dibuat atau yang melindungi set data Cloud Healthcare API, Anda dapat melihat resource apa yang dilindungi oleh kunci tersebut dengan pelacakan penggunaan kunci. Untuk mengetahui informasi selengkapnya, lihat Melihat penggunaan kunci.
Rotasi kunci
Cloud KMS mendukung rotasi kunci otomatis dan manual ke versi baru.
Merotasi hasil utama akan menghasilkan hal berikut:
- Set data Cloud Healthcare API yang dibuat setelah rotasi menggunakan versi kunci baru untuk enkripsi dan semua operasi.
- Resource di set data yang ada dan dienkripsi dengan kunci tidak otomatis dienkripsi ulang dengan versi kunci utama yang baru.
Agar enkripsi dapat berfungsi, semua versi kunci harus tersedia. Jika tidak, set data Cloud Healthcare API akan dinonaktifkan dan semua permintaan ke set data akan gagal. Untuk informasi selengkapnya, lihat Pertimbangan kunci eksternal dan Set data yang dinonaktifkan dan penghapusan set data permanen.
Menghapus akses Cloud Healthcare API ke kunci Cloud KMS
Anda memiliki kontrol atas kunci dan dapat menonaktifkan, menghancurkan, atau mencabut izin pada kunci tersebut, sehingga Cloud Healthcare API tidak dapat mengakses data terenkripsi CMEK. Setelah Anda menghancurkan kunci atau versi kunci yang terkait dengan set data Cloud Healthcare API, semua data yang dienkripsi dengan kunci atau versi kunci tersebut akan hilang secara permanen.
Ada jeda antara saat Anda menonaktifkan kunci atau versi kunci dan saat kunci atau versi kunci tersebut tidak dapat digunakan lagi. Terdapat juga penundaan antara saat Anda mencabut izin akun layanan agen layanan Cloud Healthcare pada kunci dan saat tidak dapat diakses lagi. Untuk mengetahui informasi selengkapnya, lihat konsistensi resource Cloud KMS.
Mengekspor dan mengimpor data ke instance yang mendukung CMEK
Agar data tetap dienkripsi dengan kunci yang dikelola pelanggan selama operasi ekspor, Anda harus menetapkan CMEK di tujuan penyimpanan sebelum memulai ekspor. Tidak ada persyaratan atau batasan khusus untuk mengimpor data ke set data yang dienkripsi CMEK saat mengimpor dari penyimpanan yang tidak dienkripsi dengan CMEK atau CMEK.
Pembatasan
- Key Access Justifications dengan Cloud External Key Manager tidak didukung.
- Ada batas 10 set data CMEK per project dalam periode 30 hari. Kuota ini diberlakukan oleh metrik kuota
cmek_datasets
. - Kontrol Layanan VPC dengan CMEK tidak didukung.
- Kebijakan organisasi CMEK tidak didukung.
Harga
Set data ditagih dengan cara yang sama terlepas dari apakah set data tersebut dienkripsi CMEK atau tidak. Untuk mengetahui informasi selengkapnya, lihat harga Cloud Healthcare API.
Anda akan ditagih oleh Cloud KMS untuk biaya kunci dan operasi kriptografi apa pun pada kunci tersebut. Operasi ini terjadi saat Cloud Healthcare API menggunakan kunci tersebut untuk enkripsi atau dekripsi. Biaya ini dapat diperkirakan akan minimal, berdasarkan jumlah operasi kriptografi yang diharapkan yang dihasilkan oleh Cloud Healthcare API. Untuk mengetahui informasi lebih lanjut, lihat harga Cloud KMS.
Kuota Cloud KMS dan Cloud Healthcare API
Saat Anda menggunakan CMEK di Cloud Healthcare API,
project Anda dapat menggunakan kuota permintaan
kriptografis Cloud KMS. Set data Cloud Healthcare API yang dienkripsi CMEK serta penyimpanan DICOM, FHIR, dan HL7v2-nya menggunakan kuota ini untuk semua operasi, kecuali datasets.get
. Operasi enkripsi dan dekripsi menggunakan kunci CMEK memengaruhi kuota Cloud KMS hanya jika Anda menggunakan kunci hardware (Cloud HSM) atau kunci eksternal (Cloud EKM).
Untuk mengetahui informasi selengkapnya, lihat kuota Cloud KMS.
Langkah selanjutnya
- Untuk mengetahui informasi selengkapnya tentang CMEK secara umum, termasuk waktu dan alasan mengaktifkannya, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).