Ringkasan kunci otomatis

Kunci Otomatis Cloud KMS menyederhanakan pembuatan dan penggunaan kunci enkripsi yang dikelola pelanggan (CMEK) dengan mengotomatiskan penyediaan dan penetapan. Dengan Autokey, key ring, kunci, dan akun layanan tidak perlu direncanakan dan disediakan sebelum diperlukan. Sebagai gantinya, Kunci otomatis membuat kunci sesuai permintaan saat resource dibuat, dengan mengandalkan izin yang didelegasikan, bukan administrator Cloud KMS.

Menggunakan kunci yang dihasilkan oleh Autokey dapat membantu Anda secara konsisten menyelaraskan standar industri dan praktik yang direkomendasikan untuk keamanan data, termasuk tingkat perlindungan HSM, pemisahan tugas, rotasi kunci, lokasi, dan kekhususan kunci. Kunci otomatis membuat kunci yang mengikuti panduan umum dan panduan khusus untuk jenis resource untuk layanan Google Cloud yang terintegrasi dengan Kunci Otomatis Cloud KMS. Setelah dibuat, kunci yang diminta menggunakan fungsi Kunci Otomatis akan identik dengan kunci Cloud HSM lainnya dengan setelan yang sama.

Kunci otomatis juga dapat menyederhanakan penggunaan Terraform untuk pengelolaan kunci, sehingga Anda tidak perlu menjalankan infrastruktur sebagai kode dengan hak istimewa pembuatan kunci yang ditingkatkan.

Untuk menggunakan Kunci otomatis, Anda harus memiliki resource organisasi yang berisi resource folder. Untuk mengetahui informasi selengkapnya tentang resource folder dan organisasi, lihat Hierarki resource.

Kunci Otomatis Cloud KMS tersedia di semua lokasi Google Cloud tempat Cloud HSM tersedia. Untuk mengetahui informasi lebih lanjut mengenai lokasi Cloud KMS, lihat lokasi Cloud KMS. Tidak ada biaya tambahan untuk menggunakan Kunci Otomatis Cloud KMS. Kunci yang dibuat menggunakan Autokey diberi harga sama dengan kunci Cloud HSM lainnya. Untuk mengetahui informasi selengkapnya tentang harga, lihat Harga Cloud Key Management Service.

Cara kerja Kunci otomatis

Bagian ini menjelaskan cara kerja Kunci Otomatis Cloud KMS. Peran pengguna berikut yang berpartisipasi dalam proses ini:

Administrator keamanan

Administrator keamanan adalah pengguna yang bertanggung jawab untuk mengelola keamanan di tingkat folder atau organisasi.

Developer kunci otomatis

Developer kunci otomatis adalah pengguna yang bertanggung jawab untuk membuat resource menggunakan Kunci Otomatis Cloud KMS.

Administrator Cloud KMS

Administrator Cloud KMS adalah pengguna yang bertanggung jawab untuk mengelola resource Cloud KMS. Peran ini memiliki tanggung jawab yang lebih sedikit saat menggunakan Kunci otomatis dibandingkan saat menggunakan kunci yang dibuat secara manual.

Agen layanan berikut juga berpartisipasi dalam proses ini:

Agen layanan Cloud KMS

Agen layanan untuk Cloud KMS dalam project kunci tertentu. Kunci otomatis bergantung pada agen layanan yang memiliki hak istimewa yang ditingkatkan untuk membuat kunci dan key ring Cloud KMS serta menetapkan kebijakan IAM pada kunci tersebut, sehingga memberikan izin enkripsi dan dekripsi untuk setiap agen layanan resource.

Agen layanan resource

Agen layanan untuk layanan tertentu dalam project resource tertentu. Agen layanan ini harus memiliki izin enkripsi dan dekripsi pada kunci Cloud KMS sebelum dapat menggunakan kunci tersebut untuk perlindungan CMEK pada resource. Kunci otomatis membuat agen layanan resource jika diperlukan dan akan memberikan izin yang diperlukan untuk menggunakan kunci Cloud KMS.

Administrator keamanan mengaktifkan Kunci Otomatis Cloud KMS

Sebelum Anda dapat menggunakan Kunci otomatis, administrator keamanan harus menyelesaikan tugas penyiapan satu kali berikut:

1. Aktifkan Kunci Otomatis Cloud KMS di folder resource dan identifikasi project Cloud KMS yang akan berisi resource Kunci otomatis untuk folder tersebut.

2. Buat agen layanan Cloud KMS, lalu berikan hak istimewa pembuatan dan penetapan kunci ke agen layanan.

3. Berikan peran pengguna Kunci otomatis kepada pengguna developer Kunci otomatis.

Setelah konfigurasi ini selesai, developer Kunci otomatis kini dapat memicu pembuatan kunci Cloud HSM secara on-demand. Untuk melihat petunjuk penyiapan lengkap untuk Kunci Otomatis Cloud KMS, lihat Mengaktifkan Kunci Otomatis Cloud KMS.

Developer kunci otomatis menggunakan Kunci Otomatis Cloud KMS

Setelah berhasil disiapkan, developer Kunci Otomatis yang diotorisasi kini dapat membuat resource yang dilindungi menggunakan kunci yang dibuat untuk mereka sesuai permintaan. Detail proses pembuatan resource bergantung pada resource yang Anda buat, tetapi prosesnya mengikuti alur ini:

1. Developer Autokey mulai membuat resource di layanan Google Cloud yang kompatibel. Selama pembuatan resource, developer akan meminta kunci baru dari agen layanan Autokey.

2. Agen layanan Autokey menerima permintaan developer dan menyelesaikan langkah-langkah berikut:

   1. Buat key ring dalam project utama di lokasi yang dipilih, kecuali jika key ring tersebut sudah ada.
   2. Buat kunci di key ring dengan perincian yang sesuai untuk jenis resource, kecuali jika kunci seperti itu sudah ada.
   3. Buat akun layanan per project dan per layanan, kecuali jika akun layanan tersebut sudah ada.
   4. Berikan izin enkripsi dan dekripsi pada kunci per project dan per layanan.
   5. Berikan detail kunci kepada developer sehingga mereka dapat menyelesaikan pembuatan resource.

3. Dengan detail kunci yang berhasil ditampilkan oleh agen layanan Autokey, developer dapat segera menyelesaikan pembuatan resource yang dilindungi.

Kunci Otomatis Cloud KMS membuat kunci yang memiliki atribut yang dijelaskan di bagian berikutnya. Alur pembuatan utama ini mempertahankan pemisahan tugas. Administrator Cloud KMS terus memiliki visibilitas dan kontrol penuh atas kunci yang dibuat oleh Autokey.

Untuk mulai menggunakan Kunci otomatis setelah mengaktifkannya pada folder, baca artikel Membuat resource yang dilindungi menggunakan Kunci Otomatis Cloud KMS.

Tentang kunci yang dibuat dengan Kunci otomatis

Kunci yang dibuat oleh Autokey Cloud KMS memiliki atribut berikut:

• Tingkat perlindungan: HSM
• Algoritma: AES-256 GCM

• Periode rotasi: satu tahun

  Setelah kunci dibuat dengan Kunci otomatis, administrator Cloud KMS dapat mengedit periode rotasi dari default.

• Pemisahan tugas:

  • Akun layanan untuk layanan tersebut otomatis diberi izin enkripsi dan dekripsi pada kunci tersebut.
  • Izin administrator Cloud KMS berlaku seperti biasa untuk kunci yang dibuat dengan Kunci otomatis. Administrator Cloud KMS dapat melihat, mengupdate, mengaktifkan, atau menonaktifkan, dan menghancurkan kunci yang dibuat oleh Kunci Otomatis. Administrator Cloud KMS tidak diberi izin enkripsi dan dekripsi.
  • Developer kunci otomatis hanya dapat meminta pembuatan dan penetapan kunci. Mereka tidak dapat melihat atau mengelola kunci.

• Kekhususan kunci atau Perincian: Kunci yang dibuat oleh Autokey memiliki perincian yang bervariasi menurut jenis resource. Untuk mengetahui detail khusus layanan tentang perincian kunci, lihat Layanan yang kompatibel di halaman ini.

• Lokasi: Kunci otomatis membuat kunci di lokasi yang sama dengan resource yang akan dilindungi.

  Jika perlu membuat resource yang dilindungi CMEK di lokasi tempat Cloud HSM tidak tersedia, Anda harus membuat CMEK secara manual.

• Status versi kunci: kunci yang baru dibuat yang diminta menggunakan Kunci otomatis dibuat sebagai versi kunci utama dalam status diaktifkan.

• Penamaan key ring: semua kunci yang dibuat oleh Autokey dibuat dalam key ring yang disebut autokey dalam project Autokey di lokasi yang dipilih. Key ring di project Autokey dibuat saat developer Autokey meminta kunci pertama di lokasi tertentu.

• Penamaan kunci: kunci yang dibuat oleh Kunci otomatis mengikuti konvensi penamaan ini:

  PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX
  

• Seperti semua kunci Cloud KMS, kunci yang dibuat oleh Kunci otomatis tidak dapat diekspor.

• Seperti semua kunci Cloud KMS yang digunakan dalam layanan terintegrasi CMEK yang kompatibel dengan pelacakan kunci, kunci yang dibuat oleh Kunci otomatis akan dilacak di dasbor Cloud KMS.

Menerapkan Kunci Otomatis

Jika ingin menerapkan penggunaan Autokey dalam folder, Anda dapat melakukannya dengan menggabungkan kontrol akses IAM dengan kebijakan organisasi CMEK. Cara ini dapat dilakukan dengan menghapus izin pembuatan kunci dari akun utama selain agen layanan Autokey, lalu mewajibkan semua resource dilindungi oleh CMEK menggunakan project kunci Autokey. Untuk petunjuk mendetail tentang cara menerapkan penggunaan Kunci Otomatis, lihat Menerapkan penggunaan Kunci Otomatis.

Layanan yang kompatibel

Tabel berikut mencantumkan layanan yang kompatibel dengan Kunci Otomatis Cloud KMS:

Layanan	Resource yang dilindungi	Perincian kunci
Cloud Storage	storage.googleapis.com/Bucket Objek dalam bucket penyimpanan menggunakan kunci default bucket. Kunci otomatis tidak membuat kunci untuk resource storage.object.	Satu kunci per bucket
Compute Engine	compute.googleapis.com/Disk compute.googleapis.com/Image compute.googleapis.com/Instance compute.googleapis.com/MachineImage Snapshot menggunakan kunci untuk disk tempat Anda membuat snapshot. Kunci otomatis tidak membuat kunci untuk resource compute.snapshot.	Satu kunci per resource
BigQuery	bigquery.googleapis.com/Dataset Kunci otomatis membuat kunci default untuk set data. Tabel, model, kueri, dan tabel sementara dalam set data menggunakan kunci default set data. Kunci otomatis tidak membuat kunci untuk resource BigQuery selain set data. Untuk melindungi resource yang bukan bagian dari set data, Anda harus membuat kunci default sendiri pada level project atau organisasi.	Satu kunci per resource
Secret Manager	secretmanager.googleapis.com/Secret Secret Manager hanya kompatibel dengan Autokey Cloud KMS saat membuat resource menggunakan Terraform atau REST API.	Satu kunci per lokasi dalam project

Batasan

• Anda tidak dapat menghapus resource AutokeyConfig. Anda dapat menonaktifkan Kunci otomatis pada folder dengan mengupdate AutokeyConfig untuk menetapkan enabled=false, tetapi project kunci yang dikonfigurasi akan tetap berada di AutokeyConfig. Anda dapat mengubah project kunci yang dikonfigurasi dengan memperbarui AutokeyConfig.
• gcloud CLI tidak tersedia untuk resource Autokey.
• Tuas kunci tidak ada di Inventaris Aset Cloud.

Langkah selanjutnya

• Untuk memulai dengan Kunci Otomatis Cloud KMS, administrator keamanan harus mengaktifkan Kunci Otomatis Cloud KMS.
• Untuk menggunakan Kunci Otomatis Cloud KMS setelah diaktifkan, developer dapat membuat resource yang dilindungi CMEK menggunakan Kunci otomatis.