Dokumen ini berisi ringkasan tentang penggunaan Cloud Key Management Service (Cloud KMS) untuk kunci enkripsi yang dikelola pelanggan (CMEK). Dengan CMEK Cloud KMS, Anda mendapatkan kepemilikan dan kontrol atas kunci yang melindungi data dalam penyimpanan di Google Cloud.
Perbandingan CMEK dengan kunci milik Google dan yang dikelola Google
Kunci Cloud KMS yang Anda buat adalah kunci yang dikelola pelanggan. Layanan Google yang menggunakan kunci Anda dikatakan memiliki integrasi CMEK. Anda dapat mengelola CMEK ini secara langsung atau melalui Kunci Otomatis Cloud KMS (Pratinjau). Faktor berikut membedakan enkripsi dalam penyimpanan default Google dengan kunci yang dikelola pelanggan:
| Jenis kunci | Dikelola pelanggan dengan Kunci Otomatis (Pratinjau) | Dikelola pelanggan (manual) | Milik Google dan dikelola Google (default Google) |
|---|---|---|---|
| Dapat melihat metadata kunci | Ya | Ya | Ya |
| Kepemilikan kunci1 | Pelanggan | Pelanggan | |
| Dapat mengelola dan mengontrol2 kunci3 | Pembuatan dan penetapan kunci diotomatiskan. Kontrol manual pelanggan didukung sepenuhnya. | Pelanggan, hanya kontrol manual | |
| Mendukung persyaratan peraturan untuk kunci yang dikelola pelanggan | Ya | Ya | Tidak |
| Berbagi kunci | Unik untuk pelanggan | Unik untuk pelanggan | Data dari beberapa pelanggan biasanya menggunakan kunci enkripsi kunci (KEK) yang sama. |
| Kontrol rotasi kunci | Ya | Ya | Tidak |
| Kebijakan organisasi CMEK | Ya | Ya | Tidak |
| Harga | Bervariasi - untuk mengetahui informasi lebih lanjut, lihat Harga. Tanpa biaya tambahan untuk Kunci Otomatis (Pratinjau) | Bervariasi - untuk mengetahui informasi lebih lanjut, lihat Harga | Gratis |
1 Dalam istilah hukum, pemilik kunci menunjukkan siapa yang memegang hak atas kunci tersebut. Kunci yang dimiliki pelanggan memiliki akses yang dibatasi secara ketat atau tidak ada akses oleh Google.
2Kontrol kunci berarti menetapkan kontrol pada jenis kunci dan cara kunci tersebut digunakan, mendeteksi varians, dan merencanakan tindakan korektif jika diperlukan. Anda dapat mengontrol kunci, tetapi mendelegasikan pengelolaan kunci kepada pihak ketiga.
3Pengelolaan kunci mencakup kemampuan berikut:
- Membuat kunci.
- Pilih tingkat perlindungan kunci.
- Tetapkan otoritas untuk pengelolaan kunci.
- Mengontrol akses ke kunci.
- Mengontrol penggunaan kunci.
- Menetapkan dan mengubah periode rotasi kunci, atau memicu rotasi kunci.
- Ubah status kunci.
- Menghancurkan versi kunci.
Enkripsi default dengan kunci milik Google dan kunci yang dikelola Google
Semua data yang disimpan dalam Google Cloud dienkripsi dalam penyimpanan menggunakan sistem pengelolaan kunci yang di-hardening sama seperti yang digunakan Google untuk data terenkripsi milik kami. Sistem pengelolaan kunci ini menyediakan kontrol dan pengauditan akses kunci yang ketat, serta mengenkripsi data pengguna dalam penyimpanan menggunakan standar enkripsi AES-256. Google memiliki dan mengontrol kunci yang digunakan untuk mengenkripsi data Anda. Anda tidak dapat melihat atau mengelola kunci ini atau meninjau log penggunaan utama. Data dari beberapa pelanggan mungkin menggunakan kunci enkripsi kunci (KEK) yang sama. Tidak memerlukan penyiapan, konfigurasi, atau pengelolaan.
Untuk mengetahui informasi selengkapnya tentang enkripsi default di Google Cloud, lihat Enkripsi default dalam penyimpanan.
Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
Kunci enkripsi yang dikelola pelanggan adalah kunci enkripsi yang Anda miliki. Kemampuan ini memungkinkan Anda memiliki kontrol yang lebih besar atas kunci yang digunakan untuk mengenkripsi data dalam penyimpanan dalam layanan Google Cloud yang didukung, dan memberikan batas kriptografi di sekitar data Anda. Anda dapat mengelola CMEK langsung di Cloud KMS, atau mengotomatiskan penyediaan dan penetapan menggunakan Kunci Otomatis Cloud KMS (Pratinjau).
Layanan yang mendukung CMEK memiliki integrasi CMEK. Integrasi CMEK adalah teknologi enkripsi sisi server yang dapat Anda gunakan sebagai pengganti enkripsi default Google. Setelah CMEK disiapkan, operasi untuk mengenkripsi dan mendekripsi resource ditangani oleh agen layanan resource. Karena layanan yang terintegrasi dengan CMEK menangani akses ke resource terenkripsi, enkripsi dan dekripsi dapat dilakukan secara transparan, tanpa upaya pengguna akhir. Pengalaman untuk mengakses resource mirip dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang integrasi CMEK, lihat Yang disediakan oleh layanan terintegrasi CMEK.
Anda dapat menggunakan versi kunci tidak terbatas untuk setiap kunci.
Untuk mempelajari apakah layanan mendukung kunci CMEK, lihat daftar layanan yang didukung.
Penggunaan Cloud KMS akan menimbulkan biaya terkait jumlah versi kunci dan operasi kriptografis dengan versi kunci tersebut. Untuk mengetahui informasi selengkapnya tentang harga, lihat Harga Cloud Key Management Service. Tidak diperlukan pembelian atau komitmen minimum.
Kunci enkripsi yang dikelola pelanggan (CMEK) dengan Kunci Otomatis Cloud KMS
Kunci Otomatis Cloud KMS menyederhanakan pembuatan dan pengelolaan kunci CMEK dengan mengotomatiskan penyediaan dan penetapan. Dengan Autokey, keyring dan kunci dibuat secara on demand sebagai bagian dari pembuatan resource, dan agen layanan yang menggunakan kunci tersebut untuk operasi enkripsi dan dekripsi otomatis diberi peran Identity and Access Management (IAM) yang diperlukan.
Menggunakan kunci yang dihasilkan oleh Autokey dapat membantu Anda secara konsisten menyelaraskan standar industri dan praktik yang direkomendasikan untuk keamanan data, termasuk penyelarasan lokasi kunci-data, kekhususan kunci, tingkat perlindungan modul keamanan hardware (HSM), jadwal rotasi kunci, dan pemisahan tugas. Kunci otomatis membuat kunci yang mengikuti panduan umum dan panduan khusus jenis resource untuk layanan Google Cloud yang berintegrasi dengan Autokey. Kunci yang dibuat menggunakan fungsi Kunci otomatis sama persis dengan kunci Cloud HSM (Cloud HSM) lain dengan setelan yang sama, termasuk dukungan untuk persyaratan peraturan untuk kunci yang dikelola pelanggan. Untuk mengetahui informasi selengkapnya tentang Kunci otomatis, lihat Ringkasan tombol otomatis.
Kapan harus menggunakan kunci yang dikelola pelanggan
Anda dapat menggunakan kunci CMEK yang dibuat secara manual yang dibuat oleh Autokey dalam layanan yang kompatibel untuk membantu Anda memenuhi sasaran berikut:
Memiliki kunci enkripsi Anda.
Mengontrol dan mengelola kunci enkripsi Anda, termasuk pilihan lokasi, tingkat perlindungan, pembuatan, kontrol akses, rotasi, penggunaan, dan penghancuran.
Membuat atau mengelola materi kunci Anda di luar Google Cloud.
Tetapkan kebijakan terkait lokasi penggunaan kunci Anda.
Menghapus data yang dilindungi oleh kunci secara selektif jika terjadi penghentian atau untuk memulihkan peristiwa keamanan (crypto-shredding).
Gunakan kunci yang unik bagi pelanggan, yang menetapkan batas kriptografi di sekitar data Anda.
Buat kunci yang unik bagi pelanggan untuk membuat batas kriptografis di sekitar data Anda.
Log administratif dan akses data ke kunci enkripsi.
Memenuhi peraturan saat ini atau pada masa mendatang yang mewajibkan salah satu sasaran tersebut.
Solusi yang disediakan oleh layanan yang terintegrasi dengan CMEK
Seperti enkripsi default Google, CMEK adalah enkripsi sisi server yang simetris untuk data pelanggan. Perbedaan dengan enkripsi default Google adalah perlindungan CMEK menggunakan kunci yang dikontrol pelanggan. Kunci CMEK yang dibuat secara manual atau otomatis menggunakan Kunci otomatis beroperasi dengan cara yang sama selama integrasi layanan.
Layanan cloud yang memiliki integrasi CMEK menggunakan kunci yang Anda buat di Cloud KMS untuk melindungi resource Anda.
Layanan yang terintegrasi dengan Cloud KMS menggunakan enkripsi simetris.
Tingkat perlindungan kunci berada dalam kontrol Anda.
Semua kunci menggunakan AES-GCM 256 bit.
Materi kunci tidak pernah meninggalkan batas sistem Cloud KMS.
Kunci simetris Anda digunakan untuk mengenkripsi dan mendekripsi data dalam model enkripsi envelope.
Layanan yang terintegrasi dengan CMEK melacak kunci dan resource
Resource yang dilindungi CMEK memiliki kolom metadata yang memiliki nama kunci yang mengenkripsinya. Umumnya, ini akan terlihat oleh pelanggan di metadata resource.
Pelacakan kunci memberi tahu Anda resource apa yang dilindungi kunci, untuk layanan yang mendukung pelacakan kunci.
Kunci dapat dicantumkan berdasarkan project.
Layanan terintegrasi CMEK menangani akses resource
Akun utama yang membuat atau menampilkan resource dalam layanan yang terintegrasi dengan CMEK tidak memerlukan Encrypter/Decrypter Cloud KMS CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) untuk CMEK yang digunakan untuk melindungi resource.
Setiap resource project memiliki akun layanan khusus yang disebut agen layanan yang melakukan enkripsi dan dekripsi dengan kunci yang dikelola pelanggan. Setelah Anda memberikan akses kepada agen layanan ke CMEK, agen layanan tersebut akan menggunakan kunci tersebut untuk melindungi resource pilihan Anda.
Saat pemohon ingin mengakses resource yang dienkripsi dengan kunci yang dikelola pelanggan, agen layanan akan otomatis mencoba mendekripsi resource yang diminta. Jika agen layanan memiliki izin untuk mendekripsi menggunakan kunci tersebut, dan Anda belum menonaktifkan atau menghancurkan kunci, agen layanan menyediakan enkripsi dan dekripsi penggunaan kunci tersebut. Jika tidak, permintaan akan gagal.
Tidak ada akses pemohon tambahan yang diperlukan, dan karena agen layanan menangani enkripsi dan dekripsi di latar belakang, pengalaman pengguna untuk mengakses resource mirip dengan menggunakan enkripsi default Google.
Menggunakan Autokey untuk CMEK
Ada proses penyiapan satu kali untuk setiap folder tempat Anda ingin menggunakan Autokey. Anda akan dapat memilih folder yang akan digunakan dengan dukungan Autokey, dan project kunci terkait tempat Autokey menyimpan kunci untuk folder tersebut. Untuk mengetahui informasi selengkapnya tentang cara mengaktifkan Kunci Otomatis, lihat Mengaktifkan Kunci Otomatis Cloud KMS.
Dibandingkan dengan pembuatan kunci CMEK secara manual, Kunci Otomatis tidak memerlukan langkah-langkah penyiapan berikut:
Administrator kunci tidak perlu membuat key ring atau kunci secara manual, atau menetapkan hak istimewa kepada agen layanan yang mengenkripsi dan mendekripsi data. Agen layanan Cloud KMS melakukan tindakan ini untuknya.
Developer tidak perlu merencanakan terlebih dahulu untuk meminta kunci sebelum pembuatan resource. Mereka dapat meminta kunci sendiri dari Autokey sesuai kebutuhan, sekaligus tetap mempertahankan pemisahan tugas.
Saat menggunakan Kunci otomatis, hanya ada satu langkah: developer meminta kunci sebagai bagian dari pembuatan resource. Kunci yang ditampilkan konsisten untuk jenis resource yang dimaksud.
Kunci CMEK yang dibuat dengan Autokey berperilaku sama seperti kunci yang dibuat secara manual untuk fitur berikut:
Layanan yang terintegrasi dengan CMEK berperilaku dengan cara yang sama.
Administrator kunci dapat terus memantau semua kunci yang dibuat dan digunakan melalui dasbor Cloud KMS dan pelacakan penggunaan kunci.
Kebijakan organisasi berfungsi dengan cara yang sama dengan Autokey, seperti halnya dengan kunci CMEK yang dibuat secara manual.
Untuk ringkasan tentang Kunci otomatis, lihat Ringkasan tombol otomatis. Untuk mengetahui informasi selengkapnya tentang cara membuat resource yang dilindungi CMEK dengan Kunci Otomatis, baca Membuat resource yang dilindungi menggunakan Kunci Otomatis Cloud KMS.
Membuat kunci CMEK secara manual
Saat membuat kunci CMEK secara manual, key ring, kunci, dan lokasi resource harus direncanakan dan dibuat sebelum pembuatan resource. Anda dapat menggunakan kunci Anda untuk melindungi resource.
Untuk mengetahui langkah-langkah yang tepat untuk mengaktifkan CMEK, lihat dokumentasi untuk layanan Google Cloud yang relevan. Beberapa layanan, seperti GKE, memiliki beberapa integrasi CMEK untuk melindungi berbagai jenis data yang terkait dengan layanan. Anda akan mengikuti langkah-langkah yang serupa dengan berikut ini:
Buat key ring Cloud KMS atau pilih key ring yang sudah ada. Saat membuat key ring, pilih lokasi yang secara geografis dekat dengan resource yang Anda lindungi. Key ring dapat berada dalam project yang sama dengan resource yang Anda lindungi atau dalam project yang berbeda. Menggunakan berbagai project akan memberi Anda kontrol yang lebih besar atas peran IAM dan membantu mendukung pemisahan tugas.
Anda membuat atau mengimpor kunci Cloud KMS di key ring yang dipilih. Kunci ini adalah kunci CMEK.
Anda memberikan peran IAM CryptoKey Encrypter/Decrypter (
roles/cloudkms.cryptoKeyEncrypterDecrypter) pada kunci CMEK ke akun layanan untuk layanan tersebut.Saat membuat resource, konfigurasi resource agar menggunakan kunci CMEK. Misalnya, Anda dapat mengonfigurasi cluster GKE untuk menggunakan CMEK guna melindungi data dalam penyimpanan pada boot disk node.
Agar pemohon dapat memperoleh akses ke data, ia tidak memerlukan akses langsung ke kunci CMEK.
Selama agen layanan memiliki peran CryptoKey Encrypter/Decrypter, layanan dapat mengenkripsi dan mendekripsi datanya. Jika Anda mencabut peran ini, atau menonaktifkan atau menghancurkan kunci CMEK, data tersebut tidak dapat diakses.
Kepatuhan CMEK
Beberapa layanan memiliki integrasi CMEK, dan memungkinkan Anda mengelola kunci sendiri. Beberapa layanan menawarkan kepatuhan CMEK, yang berarti data sementara dan kunci efemeral tidak pernah ditulis ke disk. Untuk mengetahui daftar lengkap layanan yang terintegrasi dan mematuhi kebijakan, lihat Layanan yang kompatibel dengan CMEK.
Pelacakan penggunaan kunci
Pelacakan penggunaan kunci menunjukkan resource Google Cloud dalam organisasi yang dilindungi oleh kunci CMEK Anda. Dengan pelacakan penggunaan kunci, Anda dapat melihat resource yang dilindungi, project, dan produk Google Cloud unik yang menggunakan kunci tertentu, dan apakah kunci sedang digunakan. Untuk informasi selengkapnya tentang pelacakan penggunaan kunci, lihat Melihat penggunaan kunci
Kebijakan organisasi CMEK
Google Cloud menawarkan batasan kebijakan organisasi untuk membantu memastikan penggunaan CMEK yang konsisten di seluruh resource organisasi. Batasan ini memberikan kontrol kepada Administrator Organisasi untuk mewajibkan penggunaan CMEK dan menentukan batasan serta kontrol pada kunci Cloud KMS yang digunakan untuk perlindungan CMEK, termasuk:
Batasan pada kunci Cloud KMS yang digunakan untuk perlindungan CMEK
Batasan terkait tingkat perlindungan kunci yang diizinkan
Batasan pada lokasi kunci CMEK
Kontrol untuk pemusnahan versi kunci
Untuk mengetahui informasi selengkapnya tentang kebijakan organisasi CMEK, lihat kebijakan organisasi CMEK.
Langkah selanjutnya
- Lihat daftar layanan dengan integrasi CMEK.
- Lihat daftar layanan yang mematuhi CMEK.
- Lihat daftar jenis resource yang dapat memiliki pelacakan penggunaan kunci.
- Lihat daftar layanan yang didukung oleh Autokey.