Halaman ini diterjemahkan oleh Cloud Translation API.

Kunci enkripsi yang dikelola pelanggan

Secara default, Konektor Integrasi mengenkripsi konten pelanggan dalam penyimpanan. Konektor Integrasi menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan terintegrasi CMEK, termasuk Konektor Integrasi. Menggunakan kunci Cloud KMS memberi Anda kontrol atas tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batas kriptografisnya. Dengan menggunakan Cloud KMS, Anda juga dapat melihat log audit dan mengontrol siklus proses kunci. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Integration Connector mirip dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi Anda, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Sebelum memulai

Pastikan tugas berikut telah selesai sebelum menggunakan CMEK untuk Konektor Integrasi:

Aktifkan Cloud KMS API untuk project yang akan menyimpan kunci enkripsi Anda.
Mengaktifkan Cloud KMS API
Tips: Anda dapat menjalankan Konektor Integrasi dan Cloud KMS di project Google Cloud yang sama, atau di project yang berbeda.
Tetapkan peran IAM Cloud KMS Admin atau berikan izin IAM berikut untuk project yang akan menyimpan kunci enkripsi Anda:
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
Untuk informasi tentang cara memberikan peran atau izin tambahan, lihat Memberikan, mengubah, dan mencabut akses.

Perhatian: Peran Admin Cloud KMS berisi izin untuk pemeliharaan kunci dan pemusnahan versi kunci. Untuk melindungi resource Cloud KMS Anda, peran ini hanya boleh ditetapkan kepada individu yang bertanggung jawab atas administrasi kunci.
Buat key ring dan kunci.
Catatan: Key ring harus dibuat di region yang sama dengan tempat Anda menyiapkan Konektor Integrasi.

Menambahkan akun layanan ke kunci CMEK

Untuk menggunakan kunci CMEK di Konektor Integrasi, Anda harus memastikan bahwa akun layanan default (yang memiliki format service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com) ditambahkan dan ditetapkan dengan peran IAM CryptoKey Encrypter/Decrypter untuk kunci CMEK tersebut.

Catatan: Akun layanan default mungkin tidak ada jika Anda menyediakan region pertama. Untuk membuat akun layanan, jalankan perintah gcloud beta services identity create --service=connectors.googleapis.com --project=PROJECT_ID.

Di konsol Google Cloud, buka halaman Inventaris Kunci.
Buka halaman Inventaris Kunci
Centang kotak untuk kunci CMEK yang diinginkan.
Tab Permissions di panel jendela kanan akan tersedia.
Klik Add principal, lalu masukkan alamat email akun layanan default.
Klik Select a role, lalu pilih peran Cloud KMS CryptoKey Encrypter/Decrypter dari daftar dropdown yang tersedia.
Klik Simpan.

Mengaktifkan enkripsi CMEK untuk region Konektor Integrasi yang ada

Anda dapat menggunakan CMEK untuk mengenkripsi dan mendekripsi data yang didukung yang disimpan di region (juga disebut sebagai lokasi). Untuk mengaktifkan enkripsi CMEK untuk region Konektor Integrasi yang ada, lakukan langkah-langkah berikut:

Di konsol Google Cloud, buka halaman Konektor Integrasi > Koneksi.
Buka halaman Buka semua koneksi.
Filter koneksi untuk Lokasi yang diperlukan.
Anda akan mendapatkan daftar semua koneksi untuk lokasi (region) yang ditentukan.
Menangguhkan semua koneksi di region.
Buka halaman Integration Connectors > Regions. Halaman ini mencantumkan semua region tempat Konektor Integrasi tersedia.
Untuk region tempat Anda ingin mengaktifkan CMEK, klik Edit enkripsi di menu Tindakan. Tindakan ini akan menampilkan panel Edit enkripsi.
Pilih Kunci enkripsi yang dikelola pelanggan (CMEK), lalu pilih kunci yang diperlukan dari menu drop-down Kunci yang dikelola pelanggan.
Tindakan ini mungkin meminta Anda untuk memberikan peran cloudkms.cryptoKeyEncrypterDecrypter ke akun layanan. Klik Berikan.
Klik Done.

Mengaktifkan enkripsi CMEK untuk region Konektor Integrasi baru

Di konsol Google Cloud, buka halaman Integration Connectors > Regions.
Buka halaman Wilayah.
Klik Sediakan wilayah baru. Tindakan ini akan menampilkan halaman buat region.
Pilih region yang diperlukan dari menu drop-down Region.
Di bagian Advanced settings, pilih Customer-managed encryption key (CMEK), lalu pilih kunci yang diperlukan dari Customer-managed key drop-down list
Tindakan ini mungkin meminta Anda untuk memberikan peran cloudkms.cryptoKeyEncrypterDecrypter ke akun layanan. Klik Berikan.
Klik Done.

Kuota Cloud KMS dan Integration Connectors

Saat Anda menggunakan CMEK di Konektor Integrasi, project Anda dapat memakai kuota permintaan kriptografi Cloud KMS. Misalnya, kunci CMEK dapat memakai kuota ini untuk setiap panggilan enkripsi dan dekripsi.

Operasi enkripsi dan dekripsi yang menggunakan kunci CMEK memengaruhi kuota Cloud KMS dengan cara berikut:

Untuk kunci software CMEK yang dihasilkan di Cloud KMS, tidak ada kuota Cloud KMS yang digunakan.
Untuk kunci hardware CMEK—terkadang disebut kunci Cloud HSM —operasi enkripsi dan dekripsi akan mengurangi kuota Cloud HSM dalam project yang berisi kunci tersebut.
Untuk kunci eksternal CMEK—terkadang disebut kunci Cloud EKM —operasi enkripsi dan dekripsi akan mengurangi kuota Cloud EKM dalam project yang berisi kunci tersebut.

Untuk informasi selengkapnya, lihat kuota Cloud KMS.