Halaman ini diterjemahkan oleh Cloud Translation API.

Mengaktifkan kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK) untuk set data Cloud Healthcare API

Secara default, Google Cloud otomatis mengenkripsi data saat dalam penyimpanan menggunakan kunci enkripsi yang dikelola oleh Google. Jika Anda memiliki persyaratan kepatuhan atau peraturan khusus terkait kunci yang melindungi data, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk set data Cloud Healthcare API. Set data Cloud Healthcare API dienkripsi menggunakan kunci yang Anda kontrol dan kelola di Cloud Key Management Service (Cloud KMS), bukan memiliki dan mengelola kunci enkripsi yang melindungi data Anda.

Untuk mengetahui informasi selengkapnya tentang CMEK secara umum, termasuk waktu dan alasan mengaktifkannya, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Sebelum memulai

Tentukan apakah set data Cloud Healthcare API dan Cloud KMS akan berada di project Google Cloud yang sama atau yang berbeda. Untuk panduan, lihat Pemisahan tugas.

Untuk tujuan dokumentasi, konvensi berikut digunakan:

PROJECT_ID: project ID Cloud Healthcare API
KMS_PROJECT_ID: project ID tempat Cloud KMS berjalan, yang mungkin sama dengan PROJECT_ID

Untuk informasi tentang project ID dan nomor project Google Cloud, lihat Mengidentifikasi project.

Batasan

Anda hanya dapat menggunakan kunci Cloud KMS saat membuat set data Cloud Healthcare API. Anda tidak dapat mengaktifkan, mengubah, atau menonaktifkan kunci Cloud KMS pada set data Cloud Healthcare API yang ada.
Hanya penyimpanan FHIR, DICOM, dan HL7v2 yang didukung dalam set data yang dienkripsi CMEK. Perlindungan CMEK berlaku untuk penyimpanan DICOM, FHIR, dan HL7v2 dalam set data dan resource-nya.
Anda tidak dapat melakukan de-identifikasi resource yang dienkripsi CMEK.

Operasi CMEK

Kunci Cloud KMS digunakan saat resource yang dienkripsi CMEK dibuat, dibaca, diperbarui, atau dihapus, dan untuk tugas operasional seperti penagihan atau memastikan kunci tersedia.

Pertimbangan utama eksternal

Untuk informasi tentang penggunaan kunci yang Anda kelola dalam sistem partner pengelolaan kunci eksternal yang didukung untuk melindungi data dalam Google Cloud, lihat Cloud External Key Manager.

Jika Anda kehilangan kunci yang dikelola di luar Google Cloud, Google tidak dapat memulihkan data Anda.

Ketidaktersediaan kunci dan kehilangan data

Jika set data dienkripsi dengan kunci, dan kunci tersebut menjadi tidak tersedia serta tetap tidak tersedia, Cloud Healthcare API akan menonaktifkan dan pada akhirnya menghapus set data. Terkadang, kunci menjadi tidak tersedia jika dinonaktifkan atau dihancurkan, atau jika tidak dapat diakses karena izin dicabut, tetapi perilaku ini terjadi jika kunci tersebut tidak tersedia karena alasan apa pun. Tingkat perlindungan kunci atau apakah merupakan kunci eksternal tidak memengaruhi perilaku ini. Kunci eksternal juga bisa menjadi tidak tersedia tanpa dapat diprediksi. Misalnya, masalah konektivitas mungkin muncul antara resource Google Cloud dan EKM Anda.

Proses berikut menjelaskan cara pemeriksaan ketersediaan kunci, serta cara menonaktifkan dan menghapus set data:

Setelah set data Cloud Healthcare API yang dienkripsi CMEK dibuat, Cloud Healthcare API akan memeriksa status kunci setiap lima menit untuk memastikan kunci tersebut tersedia. Jika kunci tidak tersedia, Cloud Healthcare API akan terus mendukung permintaan ke set data hingga satu jam.
Setelah satu jam, jika Cloud Healthcare API masih tidak dapat terhubung dengan Cloud KMS, set data Cloud Healthcare API dinonaktifkan sebagai tindakan perlindungan. Untuk mengaktifkan kembali set data Cloud Healthcare API, hubungi perwakilan dukungan Anda.

Jika dinonaktifkan, Anda hanya dapat mengirim permintaan datasets.get dan datasets.delete ke set data Cloud Healthcare API. Permintaan lainnya gagal dengan error 400 FAILED_PRECONDITION.
Jika set data Cloud Healthcare API tetap tidak tersedia selama lebih dari 30 hari, set data tersebut akan dihapus secara permanen. Semua DICOM, FHIR, dan HL7v2 yang disimpan dalam set data dan data terkait juga akan dihapus. Jika dihapus, data ini tidak dapat dipulihkan.

Pembuatan kunci

Bagian berikut menjelaskan cara membuat key ring dan kunci Cloud KMS. Hanya kunci enkripsi simetris Cloud KMS yang didukung.

Lokasi yang didukung

Kunci Cloud KMS tersedia di lokasi Cloud Healthcare API. Buat key ring di lokasi yang cocok dengan region atau multi-region dalam set data Cloud Healthcare API Anda.

Setiap set data Cloud Healthcare API multi-regional harus menggunakan key ring multi-regional dari lokasi yang cocok. Misalnya, set data Cloud Healthcare API di region us harus dilindungi dengan key ring dari region us, dan set data Cloud Healthcare API di region eu harus dilindungi dengan key ring dari region europe.
Set data Cloud Healthcare API regional harus menggunakan kunci regional yang cocok. Misalnya, set data Cloud Healthcare API di region asia-northeast1 harus dilindungi dengan key ring dari region asia-northeast1.
Anda tidak dapat menggunakan region global saat mengonfigurasi CMEK untuk set data Cloud Healthcare API.

Untuk informasi selengkapnya, lihat lokasi Cloud Healthcare API dan lokasi Cloud KMS.

Membuat key ring dan kunci

Selesaikan langkah-langkah berikut di project Google Cloud yang menjalankan Cloud KMS:

Memberikan izin enkripsi dan dekripsi

Untuk melindungi data Cloud Healthcare API Anda dengan kunci Cloud KMS, berikan peran CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) pada kunci tersebut kepada akun layanan Cloud Healthcare Service Agent. Untuk mengetahui petunjuknya, lihat Izin set data CMEK.

Setelah memberikan peran kepada akun layanan, Cloud Healthcare API dapat mengenkripsi dan mendekripsi resource yang dienkripsi CMEK. Aplikasi Anda tidak perlu menentukan kunci saat membaca atau menulis data. Cloud Healthcare API menangani enkripsi.

Saat pemohon membaca atau menulis objek yang dienkripsi dengan kunci Cloud KMS, ia akan mengakses objek seperti biasa. Selama permintaan, agen layanan akan otomatis mengenkripsi atau mendekripsi objek yang diminta, asalkan kedua kondisi berikut terpenuhi:

Agen layanan masih memiliki izin yang diperlukan.
Kunci tersedia dan diaktifkan.

Membuat set data Cloud Healthcare API yang dienkripsi CMEK

Contoh berikut menunjukkan cara membuat set data yang dienkripsi CMEK.

Anda harus menentukan ID resource kunci Cloud KMS saat membuat set data. Kunci ini peka huruf besar/kecil dan dalam format berikut:

projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME

Untuk melihat ID resource kunci Cloud KMS, baca bagian Mendapatkan ID resource Cloud KMS.

Izin yang diperlukan untuk langkah ini

Untuk melakukan tugas ini, Anda harus telah diberi izin berikut atau peran Identity and Access Management (IAM) berikut:

Izin

healthcare.datasets.create

Peran

Administrator Set Data Healthcare (roles/healthcare.datasetAdmin)

Konsol

Di konsol Google Cloud, buka halaman Browser.

Buka Browser
Klik Create dataset. Halaman Create dataset akan ditampilkan.
Di kolom Name, masukkan ID untuk set data sesuai dengan persyaratan ukuran dan karakter yang diizinkan untuk set data.
Pilih salah satu jenis lokasi berikut:
- Region. Set data secara permanen berada dalam satu region Google Cloud. Setelah memilih opsi ini, ketik atau pilih lokasi di kolom Region.
- Multi-region. Set data secara permanen berada di dalam lokasi yang mencakup beberapa region Google Cloud. Setelah memilih opsi ini, ketik atau pilih lokasi multi-region di kolom Multi-region.
Di bagian Enkripsi, pilih salah satu jenis enkripsi berikut:
- Kunci enkripsi yang dikelola Google: Metode enkripsi default. Gunakan metode ini jika Anda ingin Google mengelola kunci enkripsi yang melindungi data Anda dalam set data Cloud Healthcare API ini.
- Kunci Cloud KMS: Gunakan kunci enkripsi yang dikelola pelanggan (CMEK).
Catatan: Pengaktifan enkripsi CMEK untuk set data Cloud Healthcare API tidak dapat dibatalkan, dan Anda tidak dapat mengubah metode enkripsi untuk set data setelah mengaktifkan enkripsi CMEK.
Klik Create. Halaman Browser akan ditampilkan. {i>Dataset<i} yang baru ditampilkan dalam daftar {i>dataset<i}.

REST

Buat set data menggunakan metode datasets.create.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
- PROJECT_ID: ID project Google Cloud Anda
- LOCATION: lokasi yang didukung untuk set data
- DATASET_ID: ID yang tunduk pada persyaratan ukuran dan karakter yang diizinkan untuk set data
- KEY_RESOURCE_ID: ID resource untuk kunci Cloud KMS, dalam format projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
Meminta isi JSON:
```
{
  "encryptionSpec": {
    "kmsKeyName": "KEY_RESOURCE_ID"
  }
}
```
Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:
curl

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke CLI gcloud dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login , atau dengan menggunakan Cloud Shell, yang otomatis melakukan login Anda ke gcloud CLI . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json. Jalankan perintah berikut di terminal untuk membuat atau menimpa file ini di direktori saat ini:
```
cat > request.json << 'EOF'
{
  "encryptionSpec": {
    "kmsKeyName": "KEY_RESOURCE_ID"
  }
}
EOF
```
Kemudian, jalankan perintah berikut untuk mengirim permintaan REST Anda:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets?datasetId=DATASET_ID"
```
PowerShell

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke CLI gcloud dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Simpan isi permintaan dalam file bernama request.json. Jalankan perintah berikut di terminal untuk membuat atau menimpa file ini di direktori saat ini:
```
@'
{
  "encryptionSpec": {
    "kmsKeyName": "KEY_RESOURCE_ID"
  }
}
'@  | Out-File -FilePath request.json -Encoding utf8
```
Kemudian jalankan perintah berikut untuk mengirim permintaan REST Anda:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets?datasetId=DATASET_ID" | Select-Object -Expand Content
```
APIs Explorer

Salin isi permintaan, lalu buka halaman referensi metode. Panel APIs Explorer akan terbuka di sisi kanan halaman. Anda bisa berinteraksi dengan alat ini untuk mengirim permintaan. Tempelkan isi permintaan di alat ini, lengkapi kolom wajib lainnya, lalu klik Jalankan.
Output-nya adalah sebagai berikut. Respons berisi ID untuk operasi yang berjalan lama (LRO). Operasi yang berjalan lama akan ditampilkan saat panggilan metode mungkin memerlukan waktu tambahan untuk diselesaikan. Perhatikan nilai OPERATION_ID. Anda memerlukan nilai ini pada langkah berikutnya.
Respons
```
{
  "name": "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID"
}
```

Dapatkan status operasi yang berjalan lama menggunakan metode projects.locations.datasets.operations.get.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

PROJECT_ID: ID project Google Cloud Anda
LOCATION: lokasi set data
DATASET_ID: ID set data
OPERATION_ID: ID yang ditampilkan dari operasi yang berjalan lama

Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:

curl

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke CLI gcloud dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login , atau dengan menggunakan Cloud Shell, yang otomatis melakukan login Anda ke gcloud CLI . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID"

PowerShell

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke CLI gcloud dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID" | Select-Object -Expand Content

APIs Explorer

Buka halaman referensi metode. Panel APIs Explorer akan terbuka di sisi kanan halaman. Anda bisa berinteraksi dengan alat ini untuk mengirim permintaan. Lengkapi kolom yang wajib diisi, lalu klik Jalankan.

Output-nya adalah sebagai berikut. Jika respons berisi "done": true, operasi yang berjalan lama telah selesai.

Respons

{
  "name": "projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/operations/OPERATION_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.healthcare.v1.OperationMetadata",
    "apiMethodName": "google.cloud.healthcare.v1.dataset.DatasetService.CreateDataset",
    "createTime": "YYYY-MM-DDTHH:MM:SS+ZZ:ZZ",
    "endTime": "YYYY-MM-DDTHH:MM:SS+ZZ:ZZ",
    "logsUrl": "https://console.cloud.google.com/CLOUD_LOGGING_URL"
    "counter": {
      "success": "SUCCESS_COUNT",
      // If there were any failures, they display in the `failure` field.
      "failure": "FAILURE_COUNT"
    }
  },
  "done": true,
  // The `response` field only displays if there were no errors.
  "response": {
    "@type": "type.googleapis.com/google.cloud.healthcare.v1.dataset.Dataset",
    "name": "PROJECT_ID/locations/LOCATION/datasets/DATASET_ID",
  },
  // If there were any errors, an `error` field displays instead of a `response` field.
  // See Troubleshooting long-running operations for a list of response codes.
  "error": {
    "code": ERROR_CODE,
    "message": "DESCRIPTION",
    "details": [
      {
        "@type": "...",
        FIELD1: ...,
        ...
      }
    ]
  }
}

Menentukan apakah set data dilindungi oleh Cloud KMS

Untuk setiap kunci yang telah dibuat atau yang melindungi set data Cloud Healthcare API, Anda dapat melihat resource apa yang dilindungi oleh kunci tersebut dengan pelacakan penggunaan kunci. Untuk mengetahui informasi selengkapnya, lihat Melihat penggunaan kunci.

Rotasi kunci

Cloud KMS mendukung rotasi kunci otomatis dan manual ke versi baru.

Merotasi hasil utama akan menghasilkan hal berikut:

Set data Cloud Healthcare API yang dibuat setelah rotasi menggunakan versi kunci baru untuk enkripsi dan semua operasi.
Resource di set data yang ada dan dienkripsi dengan kunci tidak otomatis dienkripsi ulang dengan versi kunci utama yang baru.

Agar enkripsi dapat berfungsi, semua versi kunci harus tersedia. Jika tidak, set data Cloud Healthcare API akan dinonaktifkan dan semua permintaan ke set data akan gagal. Untuk informasi selengkapnya, lihat Pertimbangan kunci eksternal dan Set data yang dinonaktifkan dan penghapusan set data permanen.

Menghapus akses Cloud Healthcare API ke kunci Cloud KMS

Anda memiliki kontrol atas kunci dan dapat menonaktifkan, menghancurkan, atau mencabut izin pada kunci tersebut, sehingga Cloud Healthcare API tidak dapat mengakses data terenkripsi CMEK. Setelah Anda menghancurkan kunci atau versi kunci yang terkait dengan set data Cloud Healthcare API, semua data yang dienkripsi dengan kunci atau versi kunci tersebut akan hilang secara permanen.

Ada jeda antara saat Anda menonaktifkan kunci atau versi kunci dan saat kunci atau versi kunci tersebut tidak dapat digunakan lagi. Terdapat juga penundaan antara saat Anda mencabut izin akun layanan agen layanan Cloud Healthcare pada kunci dan saat tidak dapat diakses lagi. Untuk mengetahui informasi selengkapnya, lihat konsistensi resource Cloud KMS.

Mengekspor dan mengimpor data ke instance yang mendukung CMEK

Agar data tetap dienkripsi dengan kunci yang dikelola pelanggan selama operasi ekspor, Anda harus menetapkan CMEK di tujuan penyimpanan sebelum memulai ekspor. Tidak ada persyaratan atau batasan khusus untuk mengimpor data ke set data yang dienkripsi CMEK saat mengimpor dari penyimpanan yang tidak dienkripsi dengan CMEK atau CMEK.

Pembatasan

Key Access Justifications dengan Cloud External Key Manager tidak didukung.
Ada batas 10 set data CMEK per project dalam periode 30 hari. Kuota ini diberlakukan oleh metrik kuota cmek_datasets.
Kontrol Layanan VPC dengan CMEK tidak didukung.
Kebijakan organisasi CMEK tidak didukung.

Harga

Set data ditagih dengan cara yang sama terlepas dari apakah set data tersebut dienkripsi CMEK atau tidak. Untuk mengetahui informasi selengkapnya, lihat harga Cloud Healthcare API.

Anda akan ditagih oleh Cloud KMS untuk biaya kunci dan operasi kriptografi apa pun pada kunci tersebut. Operasi ini terjadi saat Cloud Healthcare API menggunakan kunci tersebut untuk enkripsi atau dekripsi. Biaya ini dapat diperkirakan akan minimal, berdasarkan jumlah operasi kriptografi yang diharapkan yang dihasilkan oleh Cloud Healthcare API. Untuk mengetahui informasi lebih lanjut, lihat harga Cloud KMS.

Kuota Cloud KMS dan Cloud Healthcare API

Saat Anda menggunakan CMEK di Cloud Healthcare API, project Anda dapat menggunakan kuota permintaan kriptografis Cloud KMS. Set data Cloud Healthcare API yang dienkripsi CMEK serta penyimpanan DICOM, FHIR, dan HL7v2-nya menggunakan kuota ini untuk semua operasi, kecuali datasets.get. Operasi enkripsi dan dekripsi menggunakan kunci CMEK memengaruhi kuota Cloud KMS hanya jika Anda menggunakan kunci hardware (Cloud HSM) atau kunci eksternal (Cloud EKM). Untuk mengetahui informasi selengkapnya, lihat kuota Cloud KMS.

Langkah selanjutnya

Untuk mengetahui informasi selengkapnya tentang CMEK secara umum, termasuk waktu dan alasan mengaktifkannya, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).