Halaman ini diterjemahkan oleh Cloud Translation API.

Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)

Topik ini memberikan ringkasan tentang kunci enkripsi yang dikelola pelanggan (CMEK). CMEK memberi Anda kontrol atas kunci yang melindungi data dalam penyimpanan di Google Cloud.

Enkripsi default

Semua data yang disimpan dalam Google Cloud dienkripsi saat dalam penyimpanan menggunakan sistem pengelolaan kunci yang telah di-hardening, yang sama dengan yang digunakan Google untuk data terenkripsi milik kami sendiri. Sistem pengelolaan kunci ini memberikan kontrol dan pengauditan akses kunci yang ketat, serta mengenkripsi data dalam penyimpanan pengguna menggunakan standar enkripsi AES-256. Tidak diperlukan penyiapan, konfigurasi, atau pengelolaan. Enkripsi default adalah pilihan terbaik jika organisasi Anda tidak memiliki persyaratan khusus terkait kepatuhan atau lokalitas materi kriptografi.

Untuk mengetahui informasi selengkapnya tentang enkripsi default di Google Cloud, lihat Enkripsi default di penyimpanan.

Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)

Kunci enkripsi yang dikelola pelanggan adalah kunci enkripsi yang Anda kelola menggunakan Cloud KMS. Dengan fungsi ini, Anda dapat memiliki kontrol yang lebih besar atas kunci yang digunakan untuk mengenkripsi data dalam penyimpanan dalam layanan Google Cloud yang didukung. Untuk mengetahui apakah layanan mendukung kunci CMEK, lihat daftar layanan yang didukung. Saat Anda melindungi data di layanan Google Cloud dengan CMEK, kunci CMEK berada dalam kendali Anda.

Menggunakan CMEK tidak selalu memberikan keamanan yang lebih baik daripada mekanisme enkripsi default. Selain itu, penggunaan CMEK akan menimbulkan biaya tambahan yang terkait dengan Cloud KMS. Dengan menggunakan CMEK, Anda dapat mengontrol lebih banyak aspek siklus proses dan pengelolaan kunci, termasuk kemampuan berikut:

Anda dapat mencegah Google agar tidak dapat mendekripsi data dalam penyimpanan dengan menonaktifkan kunci yang digunakan untuk melindungi data tersebut.
Anda dapat melindungi data menggunakan kunci yang memenuhi persyaratan lokalitas atau residensi tertentu.
Anda dapat merotasi kunci yang digunakan untuk melindungi data secara otomatis atau manual.
Anda dapat melindungi data menggunakan berbagai jenis kunci:
- Kunci software yang dihasilkan
- Kunci Cloud HSM (dicadangkan di hardware)
- Kunci Cloud External Key Manager (yang dikelola secara eksternal)
- Kunci yang ada yang Anda impor ke Cloud KMS.
Anda dapat menggunakan versi kunci tanpa batas untuk setiap kunci. Sebagian besar layanan tidak mendukung versi kunci tak terbatas saat menggunakan enkripsi default.

Integrasi CMEK

Jika suatu layanan mendukung CMEK, layanan tersebut dikatakan memiliki integrasi CMEK. Beberapa layanan, seperti GKE, memiliki beberapa integrasi CMEK untuk melindungi berbagai jenis data yang terkait dengan layanan tersebut.

Guna mengetahui langkah-langkah yang tepat untuk mengaktifkan CMEK, lihat dokumentasi untuk layanan Google Cloud yang relevan. Anda dapat mengikuti langkah-langkah yang serupa dengan berikut:

Anda membuat key ring Cloud KMS atau memilih key ring yang sudah ada. Saat membuat key ring, pilih lokasi yang secara geografis dekat dengan resource yang Anda lindungi. Key ring dapat berada dalam project yang sama dengan resource yang Anda lindungi atau project yang berbeda. Menggunakan project yang berbeda memberi Anda kontrol yang lebih besar atas izin Identity and Access Management (IAM).
Anda dapat membuat atau mengimpor kunci Cloud KMS di key ring yang dipilih. Kunci ini adalah kunci CMEK.
Anda memberikan peran IAM CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) pada kunci CMEK ke akun layanan untuk layanan.
Anda akan mengonfigurasi layanan untuk menggunakan kunci CMEK guna melindungi datanya. Misalnya, Anda dapat mengonfigurasi cluster GKE untuk menggunakan CMEK guna melindungi data dalam penyimpanan di boot disk node.

Selama akun layanan memiliki peran CyptoKey Encrypter/Decrypter, layanan dapat mengenkripsi dan mendekripsi datanya. Jika Anda mencabut peran ini, atau menonaktifkan atau menghancurkan kunci CMEK, data tersebut tidak dapat diakses.

Kepatuhan CMEK

Sebagian layanan tidak secara langsung menyimpan data, atau menyimpan data hanya untuk waktu singkat, sebagai langkah perantara dalam operasi yang berjalan lama. Untuk jenis beban kerja ini, tidak praktis untuk mengenkripsi setiap penulisan secara terpisah. Layanan ini tidak menawarkan integrasi CMEK, tetapi dapat menawarkan kepatuhan CMEK, sering kali tanpa perlu melakukan konfigurasi.

Layanan yang sesuai dengan CMEK mengenkripsi data sementara menggunakan kunci efemeral yang hanya ada di memori dan tidak pernah ditulis ke disk. Saat data sementara tidak lagi diperlukan, kunci efemeral akan dihapus dari memori. Tanpa kunci efemeral, data terenkripsi tidak dapat diakses, meskipun resource penyimpanan masih ada.

Layanan yang sesuai dengan CMEK mungkin menawarkan kemampuan untuk mengirim output ke layanan dengan integrasi CMEK, seperti Cloud Storage.

Kebijakan organisasi CMEK

Google Cloud menawarkan dua batasan kebijakan organisasi untuk membantu memastikan penggunaan CMEK di seluruh resource organisasi. Batasan ini memberikan kontrol kepada Administrator Organisasi untuk mewajibkan penggunaan CMEK dan membatasi kunci Cloud KMS yang digunakan untuk perlindungan CMEK. Untuk mempelajari lebih lanjut, lihat kebijakan organisasi CMEK.

Langkah selanjutnya

Lihat daftar layanan dengan integrasi CMEK.
Lihat daftar layanan yang mematuhi CMEK.