Autokey Cloud KMS menyederhanakan pembuatan dan penggunaan kunci enkripsi yang dikelola pelanggan (CMEK) dengan mengotomatiskan penyediaan dan penetapan. Dengan Autokey, key ring dan kunci dibuat sesuai permintaan. Akun layanan yang menggunakan kunci untuk mengenkripsi dan mendekripsi resource dibuat dan diberi peran Identity and Access Management (IAM) jika diperlukan. Administrator Cloud KMS mempertahankan kontrol dan visibilitas penuh ke kunci yang dibuat oleh Autokey, tanpa perlu merencanakan dan membuat setiap resource terlebih dahulu.
Menggunakan kunci yang dihasilkan oleh Autokey dapat membantu Anda secara konsisten menyesuaikan dengan standar industri dan praktik yang direkomendasikan untuk keamanan data, termasuk tingkat perlindungan HSM, pemisahan tugas, rotasi kunci, lokasi, dan spesifikasi kunci. Autokey membuat kunci yang mengikuti panduan umum dan panduan khusus untuk jenis resource untuk layanan Google Cloud yang terintegrasi dengan Autokey Cloud KMS. Setelah dibuat, kunci yang diminta menggunakan fungsi Kunci Otomatis akan identik dengan kunci Cloud HSM lainnya dengan setelan yang sama.
Autokey juga dapat menyederhanakan penggunaan Terraform untuk pengelolaan kunci, sehingga Anda tidak perlu menjalankan infrastruktur sebagai kode dengan hak istimewa pembuatan kunci yang ditingkatkan.
Untuk menggunakan Autokey, Anda harus memiliki resource organisasi yang berisi resource folder. Untuk informasi selengkapnya tentang resource organisasi dan folder, lihat Hierarki resource.
Cloud KMS Autokey tersedia di semua lokasi Google Cloud tempat Cloud HSM tersedia. Untuk mengetahui informasi selengkapnya tentang lokasi Cloud KMS, lihat lokasi Cloud KMS. Tidak ada biaya tambahan untuk menggunakan Kunci Otomatis Cloud KMS. Kunci yang dibuat menggunakan Autokey memiliki harga yang sama dengan kunci Cloud HSM lainnya. Untuk mengetahui informasi selengkapnya tentang harga, lihat Harga Cloud Key Management Service.
Cara kerja Autokey
Bagian ini menjelaskan cara kerja Kunci Otomatis Cloud KMS. Peran pengguna berikut berpartisipasi dalam proses ini:
- Administrator keamanan
- Administrator keamanan adalah pengguna yang bertanggung jawab mengelola keamanan di tingkat folder atau organisasi.
- Developer Autokey
- Developer Autokey adalah pengguna yang bertanggung jawab untuk membuat resource menggunakan Autokey Cloud KMS.
- Administrator Cloud KMS
- Administrator Cloud KMS adalah pengguna yang bertanggung jawab untuk mengelola resource Cloud KMS. Peran ini memiliki lebih sedikit tanggung jawab saat menggunakan Autokey daripada saat menggunakan kunci yang dibuat secara manual.
Agen layanan berikut juga berpartisipasi dalam proses ini:
- Agen layanan Cloud KMS
- Agen layanan untuk Cloud KMS dalam project kunci tertentu. Autokey bergantung pada agen layanan ini yang memiliki hak istimewa yang ditingkatkan untuk membuat kunci dan ring kunci Cloud KMS serta untuk menetapkan kebijakan IAM pada kunci, yang memberikan izin enkripsi dan dekripsi untuk setiap agen layanan resource.
- Agen layanan resource
- Agen layanan untuk layanan tertentu dalam project resource tertentu. Agen layanan ini harus memiliki izin enkripsi dan dekripsi di kunci Cloud KMS sebelum dapat menggunakan kunci tersebut untuk perlindungan CMEK pada resource. Autokey membuat agen layanan resource saat diperlukan dan memberinya izin yang diperlukan untuk menggunakan kunci Cloud KMS.
Administrator keamanan mengaktifkan Kunci Otomatis Cloud KMS
Sebelum Anda dapat menggunakan Autokey, administrator keamanan harus menyelesaikan tugas penyiapan satu kali berikut:
Aktifkan Kunci Otomatis Cloud KMS di folder resource dan identifikasi project Cloud KMS yang akan berisi resource Kunci Otomatis untuk folder tersebut.
Buat agen layanan Cloud KMS, lalu berikan hak istimewa pembuatan dan penetapan kunci ke agen layanan.
Berikan peran pengguna Autokey kepada pengguna developer Autokey.
Setelah konfigurasi ini selesai, developer Autokey kini dapat memicu pembuatan kunci Cloud HSM sesuai permintaan. Untuk melihat petunjuk penyiapan lengkap untuk Cloud KMS Autokey, lihat Mengaktifkan Cloud KMS Autokey.
Developer Autokey menggunakan Autokey Cloud KMS
Setelah Autokey berhasil disiapkan, developer Autokey yang diotorisasi kini dapat membuat resource yang dilindungi menggunakan kunci yang dibuat untuk mereka sesuai permintaan. Detail proses pembuatan resource bergantung pada resource yang Anda buat, tetapi prosesnya mengikuti alur ini:
Developer Autokey mulai membuat resource di layanan Google Cloud yang kompatibel. Selama pembuatan resource, developer meminta kunci baru dari agen layanan Autokey.
Agen layanan Autokey menerima permintaan developer dan menyelesaikan langkah-langkah berikut:
- Buat key ring di project kunci di lokasi yang dipilih, kecuali jika key ring tersebut sudah ada.
- Buat kunci di key ring dengan tingkat perincian yang sesuai untuk jenis resource, kecuali jika kunci tersebut sudah ada.
- Buat akun layanan per project, per layanan, kecuali jika akun layanan tersebut sudah ada.
- Berikan izin enkripsi dan dekripsi akun layanan per project, per layanan pada kunci.
- Berikan detail utama kepada developer agar mereka dapat menyelesaikan pembuatan resource.
Dengan detail kunci yang berhasil ditampilkan oleh agen layanan Autokey, developer dapat segera menyelesaikan pembuatan resource yang dilindungi.
Kunci Otomatis Cloud KMS membuat kunci yang memiliki atribut yang dijelaskan di bagian berikutnya. Alur pembuatan kunci ini mempertahankan pemisahan tugas. Administrator Cloud KMS terus memiliki visibilitas dan kontrol penuh atas kunci yang dibuat oleh Autokey.
Untuk mulai menggunakan Kunci Otomatis setelah mengaktifkannya di folder, lihat Membuat resource yang dilindungi menggunakan Kunci Otomatis Cloud KMS.
Tentang kunci yang dibuat oleh Autokey
Kunci yang dibuat oleh Kunci Otomatis Cloud KMS memiliki atribut berikut:
- Tingkat perlindungan: HSM.
- Algoritma: AES-256 GCM.
Periode rotasi: Satu tahun.
Setelah kunci dibuat oleh Autokey, administrator Cloud KMS dapat mengedit periode rotasi dari default.
- Pemisahan tugas:
- Akun layanan untuk layanan tersebut akan otomatis diberi izin enkripsi dan dekripsi pada kunci.
- Izin administrator Cloud KMS berlaku seperti biasa untuk kunci yang dibuat oleh Autokey. Administrator Cloud KMS dapat melihat, memperbarui, mengaktifkan atau menonaktifkan, dan menghancurkan kunci yang dibuat oleh Autokey. Administrator Cloud KMS tidak diberi izin enkripsi dan dekripsi.
- Developer kunci otomatis hanya dapat meminta pembuatan dan penetapan kunci. Mereka tidak dapat melihat atau mengelola kunci.
- Kekhususan kunci atau tingkat perincian: Kunci yang dibuat oleh Autokey memiliki tingkat perincian yang bervariasi menurut jenis resource. Untuk mengetahui detail khusus layanan tentang perincian kunci, lihat Layanan yang kompatibel di halaman ini.
Lokasi: Autokey membuat kunci di lokasi yang sama dengan resource yang akan dilindungi.
Jika Anda perlu membuat resource yang dilindungi CMEK di lokasi tempat Cloud HSM tidak tersedia, Anda harus membuat CMEK secara manual.
- Status versi kunci: Kunci yang baru dibuat dan diminta menggunakan Autokey dibuat sebagai versi kunci utama dalam status diaktifkan.
- Penamaan key ring: Semua kunci yang dibuat oleh Autokey dibuat di key ring yang disebut
autokeydalam project Autokey di lokasi yang dipilih. Key ring di project Autokey Anda dibuat saat developer Autokey meminta kunci pertama di lokasi tertentu. - Penamaan kunci: Kunci yang dibuat oleh Autokey mengikuti konvensi
penamaan ini:
PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX - Ekspor kunci: Seperti semua kunci Cloud KMS, kunci yang dibuat oleh Autokey tidak dapat diekspor.
- Pelacakan kunci: Seperti semua kunci Cloud KMS yang digunakan di layanan terintegrasi CMEK yang kompatibel dengan pelacakan kunci, kunci yang dibuat oleh Autokey dilacak di dasbor Cloud KMS.
Menerapkan Kunci Otomatis
Jika ingin menerapkan penggunaan Autokey dalam folder, Anda dapat melakukannya dengan menggabungkan kontrol akses IAM dengan kebijakan organisasi CMEK. Hal ini dilakukan dengan menghapus izin pembuatan kunci dari akun utama selain agen layanan Autokey, lalu mewajibkan semua resource dilindungi oleh CMEK menggunakan project kunci Autokey. Untuk petunjuk mendetail tentang cara menerapkan penggunaan Kunci Otomatis, lihat Menerapkan penggunaan Kunci Otomatis.
Layanan yang kompatibel
Tabel berikut mencantumkan layanan yang kompatibel dengan Cloud KMS Autokey:
| Layanan | Resource yang dilindungi | Perincian kunci |
|---|---|---|
| Cloud Storage |
Objek dalam
bucket penyimpanan menggunakan kunci default bucket. Autokey tidak membuat
kunci untuk resource |
Satu kunci per bucket |
| Compute Engine |
Snapshot menggunakan kunci untuk disk yang snapshot-nya Anda buat.
Autokey tidak membuat kunci untuk resource |
Satu kunci per resource |
| BigQuery |
Autokey membuat kunci default untuk set data. Tabel, model, kueri, dan tabel sementara dalam set data menggunakan kunci default set data. Kunci otomatis tidak membuat kunci untuk resource BigQuery selain set data. Untuk melindungi resource yang bukan bagian dari set data, Anda harus membuat kunci default Anda sendiri di tingkat project atau organisasi. |
Satu kunci per resource |
| Secret Manager |
Secret Manager hanya kompatibel dengan Autokey Cloud KMS saat membuat resource menggunakan Terraform atau REST API. |
Satu kunci per lokasi dalam project |
| Cloud SQL |
Autokey tidak membuat kunci untuk resource Cloud SQL hanya kompatibel dengan Autokey Cloud KMS saat membuat resource menggunakan Terraform atau REST API. |
Satu kunci per resource |
| Spanner |
Spanner hanya kompatibel dengan Autokey Cloud KMS saat membuat resource menggunakan Terraform atau REST API. |
Satu kunci per resource |
Batasan
- gcloud CLI tidak tersedia untuk resource Autokey.
- Nama sebutan kunci tidak ada di Inventaris Aset Cloud.
Langkah selanjutnya
- Untuk mulai menggunakan Cloud KMS Autokey, administrator keamanan harus mengaktifkan Cloud KMS Autokey.
- Untuk menggunakan Autokey Cloud KMS setelah diaktifkan, developer dapat membuat resource yang dilindungi CMEK menggunakan Autokey.
- Pelajari praktik terbaik CMEK.