Dokumen ini berisi ringkasan tentang penggunaan Cloud Key Management Service (Cloud KMS) untuk kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK). Menggunakan Cloud KMS CMEK memberi Anda kepemilikan dan kontrol atas kunci yang melindungi data dalam penyimpanan Google Cloud.
Perbandingan CMEK dengan kunci milik Google dan yang dikelola Google
Kunci Cloud KMS yang Anda buat adalah kunci yang dikelola pelanggan. Kebijakan Privasi layanan yang menggunakan kunci Anda dikatakan memiliki integrasi CMEK. Anda dapat mengelola CMEK tersebut secara langsung, atau melalui Kunci Otomatis Cloud KMS (Pratinjau). Faktor berikut membedakan enkripsi dalam penyimpanan default Google dengan kunci yang dikelola pelanggan:
| Jenis kunci | Dikelola pelanggan dengan Kunci Otomatis (Pratinjau) | Dikelola pelanggan (manual) | Milik Google dan dikelola Google (default Google) |
|---|---|---|---|
| Dapat melihat metadata kunci | Ya | Ya | Ya |
| Kepemilikan kunci1 | Pelanggan | Pelanggan | |
| Dapat mengelola dan mengontrol2 kunci3 | Pembuatan dan penetapan kunci diotomatiskan. Kontrol manual pelanggan adalah didukung sepenuhnya. | Pelanggan, hanya kontrol manual | |
| Mendukung persyaratan peraturan untuk kunci yang dikelola pelanggan | Ya | Ya | Tidak |
| Berbagi kunci | Unik untuk pelanggan | Unik untuk pelanggan | Data dari beberapa pelanggan biasanya menggunakan kunci enkripsi kunci (KEK) yang sama. |
| Kontrol rotasi kunci | Ya | Ya | Tidak |
| Kebijakan organisasi CMEK | Ya | Ya | Tidak |
| Mencatat akses data dan administratif ke kunci enkripsi | Ya | Ya | Tidak |
| Harga | Bervariasi - untuk mengetahui informasi lebih lanjut, lihat Harga. Tanpa biaya tambahan untuk Kunci otomatis (Pratinjau) | Bervariasi - untuk mengetahui informasi lebih lanjut, lihat Harga | Gratis |
1 Dalam istilah hukum, pemilik kunci menunjukkan siapa yang memegang hak ke kunci tersebut. Kunci yang dimiliki oleh pelanggan memiliki akses yang dibatasi secara ketat atau tidak ada akses oleh Google.
2Kontrol tombol berarti menyetel kontrol pada jenis tombol dan caranya kunci digunakan, mendeteksi varians, dan merencanakan tindakan korektif jika diperlukan. Anda dapat mengontrol kunci, tetapi mendelegasikan pengelolaan kunci kepada pihak ketiga.
3Pengelolaan kunci mencakup kemampuan berikut:
- Membuat kunci.
- Pilih tingkat perlindungan kunci.
- Tetapkan otoritas untuk pengelolaan kunci.
- Mengontrol akses ke kunci.
- Mengontrol penggunaan kunci.
- Menetapkan dan mengubah periode rotasi kunci, atau memicu rotasi kunci.
- Ubah status kunci.
- Menghancurkan versi kunci.
Enkripsi default dengan kunci milik Google dan kunci yang dikelola Google
Semua data yang disimpan di dalam Google Cloud dienkripsi dalam penyimpanan menggunakan sistem pengelolaan kunci yang telah melalui proses hardening yang digunakan Google untuk data terenkripsi milik kami. Sistem manajemen kunci ini menyediakan kontrol dan pengauditan akses kunci yang ketat, dan mengenkripsi data pengguna dalam penyimpanan menggunakan standar enkripsi AES-256. Google memiliki dan mengontrol kunci yang digunakan untuk mengenkripsi data Anda. Anda tidak dapat melihat atau mengelolanya {i>key <i}atau meninjau log penggunaan kunci. Data dari beberapa pelanggan mungkin menggunakan kunci enkripsi kunci (KEK). Tidak memerlukan penyiapan, konfigurasi, atau pengelolaan.
Untuk mengetahui informasi selengkapnya tentang enkripsi default di Google Cloud, lihat Enkripsi default di istirahat.
Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
Kunci enkripsi yang dikelola pelanggan adalah kunci enkripsi yang Anda miliki. Ini memungkinkan Anda memiliki kontrol yang lebih besar atas kunci yang digunakan untuk mengenkripsi data dalam penyimpanan dalam layanan Google Cloud yang didukung, dan batas kriptografi di sekitar data Anda. Anda dapat mengelola CMEK secara langsung di Cloud KMS, atau mengotomatiskan penyediaan dan penetapan menggunakan Kunci Otomatis Cloud KMS (Pratinjau).
Layanan yang mendukung CMEK memiliki integrasi CMEK. Integrasi CMEK adalah teknologi enkripsi sisi server yang dapat Anda gunakan sebagai pengganti teknologi enkripsi. Setelah CMEK disiapkan, operasi untuk mengenkripsi dan mendekripsi informasi resource ditangani oleh agen layanan resource. Karena terintegrasi dengan CMEK layanan menangani akses ke resource, enkripsi, dan dekripsi yang terenkripsi dapat dilakukan secara transparan, tanpa upaya pengguna akhir. Pengalaman dari mengakses resource mirip dengan menggunakan enkripsi default milik Google. Untuk informasi selengkapnya tentang integrasi CMEK, lihat Yang disediakan oleh layanan terintegrasi CMEK.
Anda dapat menggunakan versi kunci tidak terbatas untuk setiap kunci.
Untuk mengetahui apakah layanan mendukung kunci CMEK, lihat referensi daftar layanan yang didukung.
Penggunaan Cloud KMS akan menimbulkan biaya terkait jumlah versi kunci dan operasi kriptografi dengan versi kunci tersebut. Untuk mengetahui informasi selengkapnya tentang harga, lihat harga Cloud Key Management Service. Tidak ada pembelian minimum atau dan komitmen diperlukan.
Kunci enkripsi yang dikelola pelanggan (CMEK) dengan Kunci Otomatis Cloud KMS
Kunci Otomatis Cloud KMS menyederhanakan pembuatan dan pengelolaan kunci CMEK dengan mengotomatiskan penyediaan dan penugasan. Dengan {i>Autokey<i}, {i> keyring<i} dan {i>key<i} dibuat secara on-demand sebagai bagian dari pembuatan resource, dan agen layanan yang menggunakan kunci untuk operasi enkripsi dan dekripsi secara otomatis diberikan peran Identity and Access Management (IAM) yang diperlukan.
Menggunakan tombol yang dihasilkan oleh Kunci otomatis dapat membantu Anda secara konsisten melakukan standar industri dan praktik yang direkomendasikan untuk keamanan data, termasuk penyelarasan lokasi kunci-data, kekhususan kunci, modul keamanan hardware (HSM) tingkat perlindungan, jadwal rotasi kunci, dan pemisahan tugas. {i>Autokey<i} membuat kunci yang mengikuti panduan umum dan panduan khusus terkait jenis resource untuk layanan Google Cloud yang diintegrasikan dengan Autokey. Kunci yang dibuat menggunakan fungsi Autokey kunci Cloud HSM (Cloud HSM) lain dengan setelan yang sama, termasuk dukungan persyaratan peraturan untuk kunci yang dikelola pelanggan. Sebagai informasi selengkapnya tentang Autokey, lihat Ringkasan tombol otomatis.
Kapan harus menggunakan kunci yang dikelola pelanggan
Anda dapat menggunakan kunci CMEK yang dibuat secara manual yang dibuat oleh {i>Autokey<i} di layanan yang kompatibel untuk membantu Anda memenuhi sasaran berikut:
Memiliki kunci enkripsi Anda.
Kontrol dan kelola kunci enkripsi Anda, termasuk pilihan lokasi, tingkat perlindungan, pembuatan, kontrol akses, rotasi, penggunaan, dan penghancuran.
Membuat atau mengelola materi kunci Anda di luar Google Cloud.
Tetapkan kebijakan terkait lokasi penggunaan kunci Anda.
Menghapus data yang dilindungi oleh kunci Anda secara selektif saat terjadi penghentian atau untuk memulihkan peristiwa keamanan (penurunan kripto).
Buat dan gunakan kunci yang unik bagi pelanggan, yang menetapkan batas kriptografi di sekitar data Anda.
Akses administratif dan data log ke enkripsi tombol.
Memenuhi peraturan saat ini atau pada masa mendatang yang mewajibkan salah satu sasaran tersebut.
Solusi yang disediakan oleh layanan yang terintegrasi dengan CMEK
Seperti enkripsi {i>default<i} Google, CMEK adalah sisi server, simetris, {i>envelope<i} enkripsi data pelanggan. Perbedaan dengan enkripsi default milik Google adalah perlindungan CMEK menggunakan kunci yang dikontrol oleh pelanggan. Kunci CMEK dibuat menggunakan {i>Autokey<i} secara manual atau dengan cara yang sama selama integrasi layanan.
Layanan cloud yang memiliki integrasi CMEK menggunakan kunci yang dibuat di Cloud KMS untuk melindungi resource Anda.
Layanan yang terintegrasi dengan Cloud KMS menggunakan layanan simetris enkripsi.
Tingkat perlindungan kunci berada dalam kendali Anda.
Semua kunci menggunakan AES-GCM 256 bit.
Materi kunci tidak pernah meninggalkan batas sistem Cloud KMS.
Kunci simetris Anda digunakan untuk mengenkripsi dan mendekripsi data di dalam amplop enkripsi.
Layanan yang terintegrasi dengan CMEK melacak kunci dan resource
Sumber daya yang dilindungi CMEK memiliki isian {i>metadata <i}yang memiliki yang mengenkripsinya. Umumnya, ini akan terlihat oleh pelanggan di metadata resource.
Pelacakan kunci menunjukkan resource mana yang merupakan kunci melindungi, untuk layanan yang mendukung pelacakan kunci.
Kunci dapat dicantumkan berdasarkan project.
Layanan terintegrasi CMEK menangani akses resource
Prinsip yang membuat atau menampilkan resource dalam layanan yang terintegrasi dengan CMEK
tidak memerlukan
Pengenkripsi/Pendekripsi Cloud KMS CryptoKey
(roles/cloudkms.cryptoKeyEncrypterDecrypter) untuk CMEK yang digunakan untuk melindungi
resource Anda
Setiap sumber daya proyek memiliki akun layanan khusus yang disebut agen layanan yang melakukan enkripsi dan dekripsi dengan kunci yang dikelola pelanggan. Setelah Anda memberi agen layanan akses ke CMEK, agen layanan tersebut akan menggunakan kunci itu untuk melindungi resource pilihan.
Saat pemohon ingin mengakses resource yang dienkripsi dengan resource agen layanan, agen layanan secara otomatis mencoba membongkar enkripsi sumber daya yang diminta. Jika agen layanan memiliki izin untuk mendekripsi menggunakan kunci tersebut, dan Anda belum menonaktifkan atau menghancurkan kunci, agen layanan menyediakan enkripsi dan dekripsi penggunaan kunci tersebut. Jika tidak, permintaan akan gagal.
Tidak ada akses pemohon tambahan yang diperlukan, dan karena agen layanan menangani enkripsi dan dekripsi di latar belakang, pengalaman pengguna untuk mengakses resource mirip dengan menggunakan enkripsi default milik Google.
Menggunakan Autokey untuk CMEK
Untuk setiap folder tempat Anda ingin menggunakan {i>Autokey<i}, ada satu kali proses penyiapan. Anda dapat berharap untuk memilih folder yang akan dikerjakan dengan Dukungan kunci otomatis dan project kunci terkait yang menggunakan Kunci otomatis menyimpan kunci untuk folder tersebut. Untuk informasi selengkapnya tentang cara mengaktifkan Kunci otomatis, lihat Mengaktifkan Kunci Otomatis Cloud KMS.
Dibandingkan dengan membuat kunci CMEK secara manual, {i>Autokey<i} tidak memerlukan langkah-langkah penyiapan berikut:
Administrator kunci tidak perlu membuat key ring atau kunci secara manual, atau menetapkan hak istimewa kepada agen layanan yang mengenkripsi dan membongkar enkripsi data. Tujuan Agen layanan Cloud KMS melakukan tindakan ini atas nama mereka.
Developer tidak perlu merencanakan terlebih dahulu untuk meminta kunci sebelum resource pembuatan konten. Mereka dapat meminta kunci sendiri dari {i>Autokey<i} sesuai kebutuhan, sambil tetap mempertahankan pemisahan tugas.
Saat menggunakan {i>Autokey<i}, hanya ada satu langkah: pengembang meminta membuat project sebagai bagian dari pembuatan resource. Kunci yang ditampilkan bersifat konsisten untuk jenis resource yang diinginkan.
Kunci CMEK yang dibuat dengan Autokey berperilaku dengan cara yang sama seperti kunci yang dibuat secara manual untuk fitur berikut:
Layanan yang terintegrasi dengan CMEK berperilaku dengan cara yang sama.
Administrator kunci dapat terus memantau semua kunci yang dibuat dan digunakan melalui dasbor Cloud KMS dan pelacakan penggunaan kunci.
Kebijakan organisasi berfungsi dengan cara yang sama seperti Kunci otomatis, seperti halnya kebijakan organisasi dengan kunci CMEK yang dibuat secara manual.
Untuk ringkasan tentang Kunci otomatis, lihat Ringkasan tombol otomatis. Untuk informasi lebih lanjut cara membuat resource yang dilindungi CMEK dengan Autokey. Lihat Membuat resource yang dilindungi menggunakan Kunci Otomatis Cloud KMS.
Membuat kunci CMEK secara manual
Saat Anda membuat kunci CMEK, key ring, kunci, dan lokasi resource CMEK secara manual harus direncanakan dan dibuat sebelum pembuatan sumber daya. Anda kemudian dapat menggunakan kunci Anda untuk melindungi resource.
Untuk mengetahui langkah persisnya mengaktifkan CMEK, lihat dokumentasi terkait layanan Google Cloud tertentu. Beberapa layanan, seperti GKE, memiliki beberapa integrasi CMEK untuk melindungi berbagai jenis data yang terkait ke layanan. Anda akan mengikuti langkah-langkah yang serupa dengan berikut ini:
Buat key ring Cloud KMS atau pilih key ring yang sudah ada. Kapan membuat key ring, pilih lokasi yang secara geografis dekat dengan resource yang Anda lindungi. Key ring bisa berada dalam proyek yang sama dengan resource yang Anda lindungi atau dalam project yang berbeda. Menggunakan project memberi Anda kontrol yang lebih besar atas peran IAM dan membantu mendukung pemisahan tugas.
Anda membuat atau mengimpor kunci Cloud KMS di key ring yang dipilih. Ini tombolnya adalah CMEK.
Anda memberikan IAM CryptoKey Encrypter/Decrypter peran (
roles/cloudkms.cryptoKeyEncrypterDecrypter) pada kunci CMEK ke akun layanan untuk layanan tersebut.Saat membuat resource, konfigurasi resource agar menggunakan kunci CMEK. Sebagai misalnya, Anda dapat mengonfigurasi cluster GKE untuk menggunakan CMEK melindungi data dalam penyimpanan pada disk booting node.
Agar pemohon dapat memperoleh akses ke data, ia tidak memerlukan akses langsung ke Tombol CMEK.
Selama agen layanan memiliki CryptoKey Encrypter/Decrypter peran ini, layanan dapat mengenkripsi dan membongkar enkripsi datanya. Jika Anda mencabut peran ini, atau jika Anda menonaktifkan atau menghancurkan kunci CMEK, data tersebut tidak dapat diakses.
Kepatuhan CMEK
Beberapa layanan memiliki integrasi CMEK, dan memungkinkan Anda mengelola kunci sendiri. Beberapa layanan menawarkan kepatuhan CMEK, artinya data sementara dan {i>ephemeral key<i} tidak pernah ditulis ke dalam {i>disk<i}. Untuk daftar lengkap integrasi layanan yang sesuai, lihat Layanan yang kompatibel dengan CMEK.
Pelacakan penggunaan kunci
Pelacakan penggunaan kunci menunjukkan resource Google Cloud dalam organisasi yang dilindungi oleh kunci CMEK Anda. Dengan menggunakan pelacakan penggunaan kunci, Anda dapat melihat resource yang dilindungi, project, dan produk unik Google Cloud yang menggunakan kunci tertentu, dan apakah kunci sedang digunakan. Untuk mengetahui informasi selengkapnya tentang pelacakan penggunaan kunci, lihat Melihat penggunaan kunci
Kebijakan organisasi CMEK
Google Cloud menawarkan batasan kebijakan organisasi untuk membantu memastikan penggunaan CMEK yang konsisten di seluruh resource organisasi. Batasan ini menyediakan kontrol kepada Administrator Organisasi untuk memerlukan penggunaan CMEK dan menentukan batasan dan kontrol pada kunci Cloud KMS yang digunakan untuk CMEK perlindungan data, termasuk:
Batasan pada kunci Cloud KMS yang digunakan untuk perlindungan CMEK
Batasan terkait tingkat perlindungan kunci yang diizinkan
Batasan pada lokasi kunci CMEK
Kontrol untuk pemusnahan versi kunci
Untuk informasi selengkapnya tentang kebijakan organisasi untuk CMEK, lihat Kebijakan organisasi CMEK.
Langkah selanjutnya
- Lihat daftar layanan dengan CMEK integrasi.
- Lihat daftar yang mematuhi CMEK layanan Google.
- Lihat daftar jenis resource yang dapat memiliki pelacakan penggunaan kunci.
- Lihat daftar layanan yang didukung oleh Kunci otomatis.