Ringkasan kunci otomatis

Kunci Otomatis Cloud KMS menyederhanakan pembuatan dan penggunaan enkripsi yang dikelola pelanggan kunci (CMEK) dengan mengotomatiskan penyediaan dan penetapan. Dengan Kunci otomatis, key ring, dan tombol dibuat secara on demand. Akun layanan yang menggunakan kunci untuk mengenkripsi dan mendekripsi resource yang dibuat dan diberikan Peran Identity and Access Management (IAM) saat diperlukan. Administrator Cloud KMS mempertahankan kontrol dan visibilitas penuh terhadap kunci yang dibuat oleh Autokey, tanpa perlu merencanakan sebelumnya dan membuat setiap sumber daya.

Menggunakan kunci yang dihasilkan oleh Autokey dapat membantu Anda secara konsisten menyesuaikan dengan standar industri dan praktik yang direkomendasikan untuk keamanan data, termasuk tingkat perlindungan HSM, pemisahan tugas, rotasi kunci, lokasi, dan spesifikasi kunci. Kunci otomatis membuat kunci yang mengikuti kedua panduan umum dan panduan khusus terkait jenis resource untuk layanan Google Cloud yang terintegrasi dengan Autokey Cloud KMS. Setelah dibuat, kunci yang diminta menggunakan fungsi Kunci Otomatis akan identik dengan kunci Cloud HSM lainnya dengan setelan yang sama.

Kunci otomatis juga dapat menyederhanakan penggunaan Terraform untuk pengelolaan kunci, meniadakan kebutuhan untuk menjalankan infrastruktur sebagai kode dengan pembuatan kunci tingkat lanjut hak istimewa pengguna.

Untuk menggunakan Kunci otomatis, Anda harus memiliki resource organisasi yang berisi sumber daya folder. Untuk informasi selengkapnya tentang organisasi dan sumber daya folder, lihat Hierarki resource.

Kunci Otomatis Cloud KMS tersedia di semua lokasi Google Cloud tempat Cloud HSM tersedia. Untuk mengetahui informasi selengkapnya tentang Cloud KMS lokasi, lihat lokasi Cloud KMS. Tidak ada biaya tambahan untuk penggunaan Kunci Otomatis Cloud KMS. Kunci yang dibuat menggunakan Autokey memiliki harga yang sama dengan kunci Cloud HSM lainnya. Sebagai Informasi selengkapnya tentang harga, lihat harga Cloud Key Management Service.

Cara kerja Kunci otomatis

Bagian ini menjelaskan cara kerja Kunci Otomatis Cloud KMS. Peran pengguna berikut berpartisipasi dalam proses ini:

Administrator keamanan
Administrator keamanan adalah pengguna yang bertanggung jawab untuk mengelola keamanan di tingkat folder atau organisasi.
Developer kunci otomatis
Developer kunci otomatis adalah pengguna yang bertanggung jawab untuk membuat resource menggunakan Kunci Otomatis Cloud KMS.
Administrator Cloud KMS
Administrator Cloud KMS adalah pengguna yang bertanggung jawab untuk mengelola resource Cloud KMS. Peran ini memiliki tanggung jawab yang lebih sedikit ketika menggunakan {i>Autokey<i} dibandingkan ketika menggunakan kunci yang dibuat secara manual.

Agen layanan berikut juga berpartisipasi dalam proses ini:

Agen layanan Cloud KMS
Agen layanan untuk Cloud KMS dalam proyek kunci tertentu. Kunci otomatis bergantung pada agen layanan yang memiliki hak istimewa yang ditingkatkan untuk membuat kunci dan key ring Cloud KMS serta menetapkan kebijakan IAM pada kunci, sehingga memberikan enkripsi dan dekripsi izin untuk setiap agen layanan resource.
Agen layanan resource
Agen layanan untuk layanan tertentu dalam project resource. Agen layanan ini harus memiliki enkripsi dan dekripsi izin pada kunci Cloud KMS sebelum dapat menggunakan kunci tersebut untuk Perlindungan CMEK pada resource. Kunci otomatis membuat layanan resource agen saat diperlukan, berikan izin yang diperlukan untuk menggunakan dari Kunci Cloud KMS.

Administrator keamanan mengaktifkan Kunci Otomatis Cloud KMS

Sebelum Anda dapat menggunakan Kunci otomatis, administrator keamanan harus menyelesaikannya tugas penyiapan satu kali berikut:

  1. Aktifkan Kunci Otomatis Cloud KMS di folder resource dan identifikasi Project Cloud KMS yang akan berisi resource Kunci otomatis untuk folder tersebut.

  2. Membuat agen layanan Cloud KMS, lalu memberikan pembuatan kunci dan hak istimewa ke agen layanan.

  3. Berikan peran pengguna Kunci otomatis kepada pengguna developer Kunci otomatis.

Setelah konfigurasi ini selesai, developer Kunci otomatis sekarang dapat memicu Pembuatan kunci Cloud HSM sesuai permintaan. Untuk melihat petunjuk penyiapan lengkap, Kunci Otomatis Cloud KMS, lihat Mengaktifkan Kunci Otomatis Cloud KMS.

Developer kunci otomatis menggunakan Kunci Otomatis Cloud KMS

Setelah berhasil disiapkan, Autokey diotorisasi developer sekarang dapat membuat resource yang dilindungi menggunakan kunci yang dibuat untuk mereka sesuai permintaan. Detail proses pembuatan resource bergantung pada resource yang Anda buat, tetapi prosesnya mengikuti alur ini:

  1. Developer Autokey mulai membuat resource di layanan Google Cloud tertentu. Selama pembuatan resource, developer meminta kunci baru dari agen layanan Autokey.

  2. Agen layanan Autokey menerima permintaan developer dan menyelesaikan langkah-langkah berikut:

    1. Buat key ring di project kunci di lokasi yang dipilih, kecuali jika key ring tersebut sudah ada.
    2. Buat kunci di key ring dengan perincian yang sesuai untuk jenis resource, kecuali jika kunci tersebut sudah ada.
    3. Buat akun layanan per project, per layanan, kecuali jika akun layanan tersebut sudah ada.
    4. Memberikan akun layanan per project dan per layanan mengenkripsi dan mendekripsi informasi izin akses pada kunci tersebut.
    5. Berikan detail penting kepada developer sehingga mereka dapat menyelesaikan pembuatan resource Anda
  3. Dengan detail kunci yang berhasil ditampilkan oleh agen layanan Autokey, developer dapat segera menyelesaikan pembuatan resource yang dilindungi.

Kunci Otomatis Cloud KMS membuat kunci yang memiliki atribut yang dijelaskan dalam bagian berikutnya. Alur pembuatan kunci ini mempertahankan pemisahan tugas. Cloud KMS administrator tetap memiliki visibilitas dan kontrol penuh atas kunci yang dibuat oleh Kunci otomatis.

Untuk mulai menggunakan Autokey setelah mengaktifkannya di folder, lihat Membuat resource yang dilindungi menggunakan Autokey Cloud KMS.

Tentang kunci yang dibuat dengan Kunci otomatis

Kunci yang dibuat oleh Autokey Cloud KMS memiliki atribut berikut:

  • Tingkat perlindungan: HSM
  • Algoritma: AES-256 GCM
  • Periode rotasi: satu tahun

    Setelah kunci dibuat oleh Kunci Otomatis, Cloud KMS administrator dapat mengedit periode rotasi dari {i>default<i}.

  • Pemisahan tugas:

    • Akun layanan untuk layanan otomatis diberi enkripsi dan membongkar enkripsi izin akses pada kunci tersebut.
    • Izin administrator Cloud KMS berlaku seperti biasa untuk kunci yang dibuat oleh Autokey. Administrator Cloud KMS dapat melihat, memperbarui, mengaktifkan, atau menonaktifkan, dan menghancurkan kunci yang dibuat oleh Kunci otomatis. Administrator Cloud KMS tidak diberikan mengenkripsi dan mendekripsi izin akses.
    • Pengembang {i>autokey<i} hanya dapat meminta pembuatan kunci dan penugasan Anda. Mereka tidak dapat melihat atau mengelola kunci.
  • Kekhususan kunci atau Perincian: Kunci yang dibuat oleh Autokey memiliki tingkat perincian yang bervariasi menurut jenis resource. Untuk detail spesifik per layanan tentang perincian kunci, lihat Layanan yang kompatibel di kami.

  • Lokasi: Autokey membuat kunci di lokasi yang sama dengan resource yang akan dilindungi.

    Jika Anda perlu membuat resource yang dilindungi CMEK di lokasi tempat Cloud HSM tidak tersedia, Anda harus membuat CMEK secara manual.

  • Status versi kunci: kunci yang baru dibuat diminta menggunakan Kunci otomatis dibuat sebagai versi kunci utama dalam status diaktifkan.

  • Penamaan key ring: semua kunci yang dibuat oleh Kunci otomatis dibuat dalam key ring yang bernama autokey di project Autokey di bagian yang dipilih lokasi HTTP/HTTPS. Key ring dalam project Autokey dibuat saat Developer kunci otomatis meminta kunci pertama di lokasi tertentu.

  • Penamaan kunci: kunci yang dibuat oleh Kunci otomatis mengikuti konvensi penamaan ini:

    PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
    
  • Seperti semua kunci Cloud KMS, kunci yang dibuat oleh Kunci otomatis tidak dapat diekspor.

  • Seperti semua kunci Cloud KMS yang digunakan di layanan terintegrasi CMEK yang kompatibel dengan pelacakan kunci, kunci yang dibuat oleh Autokey dilacak di dasbor Cloud KMS.

Menerapkan Kunci Otomatis

Jika Anda ingin menerapkan penggunaan {i>Autokey<i} di dalam folder, Anda dapat melakukannya dengan menggabungkan kontrol akses IAM dengan kebijakan organisasi CMEK. Cara ini dapat dilakukan dengan menghapus izin pembuatan kunci dari akun utama selain Agen layanan kunci otomatis, lalu mengharuskan semua resource dilindungi oleh CMEK menggunakan proyek kunci Autokey. Untuk detail untuk menerapkan penggunaan Kunci otomatis, lihat Menerapkan Penggunaan kunci otomatis.

Layanan yang kompatibel

Tabel berikut mencantumkan layanan yang kompatibel dengan Kunci Otomatis Cloud KMS:

Layanan Resource yang dilindungi Perincian kunci
Cloud Storage
  • storage.googleapis.com/Bucket

Objek di dalam bucket penyimpanan menggunakan kunci default bucket. Kunci otomatis tidak membuat untuk resource storage.object.

Satu kunci per bucket
Compute Engine
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Instance
  • compute.googleapis.com/MachineImage

Snapshot menggunakan kunci untuk disk tempat Anda membuat snapshot. Kunci otomatis tidak membuat kunci untuk compute.snapshot Google Cloud Platform.

Satu kunci per resource
BigQuery
  • bigquery.googleapis.com/Dataset

Kunci otomatis membuat kunci default untuk set data. Tabel, model, kueri, dan tabel sementara dalam set data menggunakan kunci default set data.

Kunci otomatis tidak membuat kunci untuk resource BigQuery selain {i>dataset.<i} Untuk melindungi resource yang bukan bagian dari Anda harus membuat kunci default Anda sendiri pada project tersebut atau tingkat organisasi.

Satu kunci per resource
Secret Manager
  • secretmanager.googleapis.com/Secret

Secret Manager hanya kompatibel dengan Kunci Otomatis Cloud KMS saat membuat resource menggunakan Terraform atau REST API.

Satu kunci per lokasi dalam project

Batasan

  • Anda tidak dapat menghapus resource AutokeyConfig. Anda dapat menonaktifkan Kunci otomatis pada folder dengan memperbarui AutokeyConfig untuk menyetel enabled=false, tetapi project utama yang dikonfigurasi tetap berada di AutokeyConfig. Anda dapat mengubah project kunci yang dikonfigurasi dengan memperbarui AutokeyConfig.
  • gcloud CLI tidak tersedia untuk resource Autokey.
  • Tuas kunci tidak ada di Inventaris Aset Cloud.

Langkah selanjutnya