Dokumen ini memberikan ringkasan tentang penggunaan Cloud Key Management Service (Cloud KMS) untuk kunci enkripsi yang dikelola pelanggan (CMEK). Menggunakan CMEK Cloud KMS memberi Anda kepemilikan dan kontrol atas kunci yang melindungi data dalam penyimpanan di Google Cloud.
Perbandingan CMEK dan kunci milik Google serta kunci yang dikelola Google
Kunci Cloud KMS yang Anda buat adalah kunci yang dikelola pelanggan. Layanan Google yang menggunakan kunci Anda dikatakan memiliki integrasi CMEK. Anda dapat mengelola CMEK ini secara langsung, atau melalui Cloud KMS Autokey. Faktor berikut membedakan enkripsi default dalam penyimpanan Google dari kunci yang dikelola pelanggan:
| Jenis kunci | Dikelola pelanggan dengan Autokey | Dikelola pelanggan (manual) | Dimiliki dan dikelola Google (default Google) |
|---|---|---|---|
| Dapat melihat metadata kunci | Ya | Ya | Ya |
| Kepemilikan kunci1 | Pelanggan | Pelanggan | |
| Dapat mengelola dan mengontrol2 kunci3 | Pembuatan dan penetapan kunci dilakukan secara otomatis. Kontrol manual pelanggan didukung sepenuhnya. | Pelanggan, hanya kontrol manual | |
| Mendukung persyaratan peraturan untuk kunci yang dikelola pelanggan | Ya | Ya | Tidak |
| Berbagi kunci | Unik untuk pelanggan | Unik untuk pelanggan | Data dari beberapa pelanggan biasanya menggunakan kunci enkripsi kunci (KEK) yang sama. |
| Kontrol rotasi kunci | Ya | Ya | Tidak |
| Kebijakan organisasi CMEK | Ya | Ya | Tidak |
| Mencatat akses administratif dan data ke kunci enkripsi ke dalam log | Ya | Ya | Tidak |
| Harga | Bervariasi - untuk mengetahui informasi selengkapnya, lihat Harga. Tidak ada biaya tambahan untuk Autokey | Bervariasi - untuk mengetahui informasi selengkapnya, lihat Harga | Gratis |
1 Dalam istilah hukum, pemilik kunci menunjukkan siapa yang memegang hak kunci tersebut. Kunci yang dimiliki oleh pelanggan memiliki akses yang sangat dibatasi atau tidak ada akses oleh Google.
2Kontrol kunci berarti menetapkan kontrol pada jenis kunci dan cara kunci digunakan, mendeteksi varian, dan merencanakan tindakan korektif jika diperlukan. Anda dapat mengontrol kunci, tetapi mendelegasikan pengelolaan kunci kepada pihak ketiga.
3Pengelolaan kunci mencakup kemampuan berikut:
- Membuat kunci.
- Pilih tingkat perlindungan kunci.
- Tetapkan otoritas untuk pengelolaan kunci.
- Mengontrol akses ke kunci.
- Mengontrol penggunaan kunci.
- Menetapkan dan mengubah periode rotasi kunci, atau memicu rotasi kunci.
- Mengubah status kunci.
- Menghancurkan versi kunci.
Enkripsi default dengan kunci milik dan dikelola Google
Semua data yang disimpan dalam Google Cloud dienkripsi dalam penyimpanan menggunakan sistem pengelolaan kunci hasil hardening yang sama dengan yang digunakan Google untuk data terenkripsi kami sendiri. Sistem pengelolaan kunci ini menyediakan pengauditan dan kontrol akses kunci yang ketat, serta mengenkripsi data pengguna dalam penyimpanan menggunakan standar enkripsi AES-256. Google memiliki dan mengontrol kunci yang digunakan untuk mengenkripsi data Anda. Anda tidak dapat melihat atau mengelola kunci ini atau meninjau log penggunaan kunci. Data dari beberapa pelanggan mungkin menggunakan kunci enkripsi kunci (KEK) yang sama. Tidak diperlukan penyiapan, konfigurasi, atau pengelolaan.
Untuk mengetahui informasi selengkapnya tentang enkripsi default di Google Cloud, lihat Enkripsi default dalam penyimpanan.
Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
Kunci enkripsi yang dikelola pelanggan adalah kunci enkripsi yang Anda miliki. Kemampuan ini memungkinkan Anda memiliki kontrol yang lebih besar atas kunci yang digunakan untuk mengenkripsi data dalam penyimpanan dalam layanan Google Cloud yang didukung, dan memberikan batas kriptografis di sekitar data Anda. Anda dapat mengelola CMEK secara langsung di Cloud KMS, atau mengotomatiskan penyediaan dan penetapan menggunakan Cloud KMS Autokey.
Layanan yang mendukung CMEK memiliki integrasi CMEK. Integrasi CMEK adalah teknologi enkripsi sisi server yang dapat Anda gunakan sebagai pengganti enkripsi default Google. Setelah CMEK disiapkan, operasi untuk mengenkripsi dan mendekripsi resource ditangani oleh agen layanan resource. Karena layanan terintegrasi CMEK menangani akses ke resource terenkripsi, enkripsi dan dekripsi dapat dilakukan secara transparan, tanpa upaya pengguna akhir. Pengalaman mengakses resource mirip dengan menggunakan enkripsi default Google. Untuk informasi selengkapnya tentang integrasi CMEK, lihat Fitur yang disediakan layanan yang terintegrasi dengan CMEK.
Anda dapat menggunakan versi kunci yang tidak terbatas untuk setiap kunci.
Untuk mempelajari apakah layanan mendukung CMEK, lihat daftar layanan yang didukung.
Penggunaan Cloud KMS akan menimbulkan biaya yang terkait dengan jumlah versi kunci dan operasi kriptografis dengan versi kunci tersebut. Untuk mengetahui informasi selengkapnya tentang harga, lihat Harga Cloud Key Management Service. Tidak ada pembelian atau komitmen minimum yang diperlukan.
Kunci enkripsi yang dikelola pelanggan (CMEK) dengan Autokey Cloud KMS
Cloud KMS Autokey menyederhanakan pembuatan dan pengelolaan CMEK dengan mengotomatiskan penyediaan dan penetapan. Dengan Autokey, ring kunci dan kunci dibuat sesuai permintaan sebagai bagian dari pembuatan resource, dan agen layanan yang menggunakan kunci untuk operasi enkripsi dan dekripsi secara otomatis diberi peran Identity and Access Management (IAM) yang diperlukan.
Menggunakan kunci yang dihasilkan oleh Autokey dapat membantu Anda secara konsisten menyesuaikan dengan standar industri dan praktik yang direkomendasikan untuk keamanan data, termasuk penyesuaian lokasi data kunci, kekhususan kunci, tingkat perlindungan modul keamanan hardware (HSM), jadwal rotasi kunci, dan pemisahan tugas. Autokey membuat kunci yang mengikuti panduan umum dan panduan khusus untuk jenis resource untuk layanan Google Cloud yang terintegrasi dengan Autokey. Kunci yang dibuat menggunakan Autokey berfungsi secara identik dengan kunci Cloud HSM lainnya dengan setelan yang sama, termasuk dukungan untuk persyaratan peraturan bagi kunci yang dikelola pelanggan. Untuk mengetahui informasi selengkapnya tentang Kunci Otomatis, lihat Ringkasan Kunci Otomatis.
Kapan harus menggunakan kunci enkripsi yang dikelola pelanggan
Anda dapat menggunakan CMEK yang dibuat secara manual atau kunci yang dibuat oleh Autokey di layanan yang kompatibel untuk membantu Anda mencapai sasaran berikut:
Memiliki kunci enkripsi Anda sendiri.
Mengontrol dan mengelola kunci enkripsi Anda, termasuk pilihan lokasi, tingkat perlindungan, pembuatan, kontrol akses, rotasi, penggunaan, dan pemusnahan.
Buat materi kunci di Cloud KMS atau impor materi kunci yang dikelola di luar Google Cloud.
Tetapkan kebijakan terkait tempat kunci Anda harus digunakan.
Menghapus data yang dilindungi oleh kunci Anda secara selektif jika terjadi penghentian layanan atau untuk memperbaiki peristiwa keamanan (crypto-shredding).
Buat dan gunakan kunci yang unik untuk pelanggan, yang menetapkan batas kriptografis di sekitar data Anda.
Mencatat log akses data dan administratif ke kunci enkripsi.
Memenuhi peraturan saat ini atau mendatang yang mewajibkan salah satu sasaran ini.
Yang disediakan layanan terintegrasi CMEK
Seperti enkripsi default Google, CMEK adalah enkripsi amplop sisi server yang simetris untuk data pelanggan. Perbedaannya dengan enkripsi default Google adalah perlindungan CMEK menggunakan kunci yang dikontrol pelanggan. CMEK yang dibuat secara manual atau otomatis menggunakan Autokey beroperasi dengan cara yang sama selama integrasi layanan.
Layanan cloud yang memiliki integrasi CMEK menggunakan kunci yang Anda buat di Cloud KMS untuk melindungi resource Anda.
Layanan yang terintegrasi dengan Cloud KMS menggunakan enkripsi simetris.
Anda memilih tingkat perlindungan kunci.
Semua kunci adalah AES-GCM 256-bit.
Materi kunci tidak pernah keluar dari batas sistem Cloud KMS.
Kunci simetris Anda digunakan untuk mengenkripsi dan mendekripsi dalam model enkripsi envelop.
Layanan terintegrasi CMEK melacak kunci dan resource
Resource yang dilindungi CMEK memiliki kolom metadata yang menyimpan nama kunci yang mengenkripsinya. Umumnya, hal ini akan terlihat oleh pelanggan di metadata resource.
Pelacakan kunci memberi tahu Anda resource yang dilindungi kunci, untuk layanan yang mendukung pelacakan kunci.
Kunci dapat dicantumkan berdasarkan project.
Layanan terintegrasi CMEK menangani akses resource
Akun utama yang membuat atau melihat resource dalam layanan terintegrasi CMEK
tidak memerlukan
Pengenkripsi/Pendekripsi CryptoKey Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter) untuk CMEK yang digunakan untuk melindungi
resource.
Setiap resource project memiliki akun layanan khusus yang disebut agen layanan yang melakukan enkripsi dan dekripsi dengan kunci yang dikelola pelanggan. Setelah Anda memberikan akses kepada agen layanan ke CMEK, agen layanan tersebut akan menggunakan kunci tersebut untuk melindungi resource pilihan Anda.
Saat pemohon ingin mengakses resource yang dienkripsi dengan kunci yang dikelola pelanggan, agen layanan akan otomatis mencoba mendekripsi resource yang diminta. Jika agen layanan memiliki izin untuk mendekripsi menggunakan kunci, dan Anda belum menonaktifkan atau menghancurkan kunci, agen layanan akan menyediakan penggunaan enkripsi dan dekripsi kunci. Jika tidak, permintaan akan gagal.
Tidak diperlukan akses pemohon tambahan, dan karena agen layanan menangani enkripsi dan dekripsi di latar belakang, pengalaman pengguna untuk mengakses resource mirip dengan menggunakan enkripsi default Google.
Menggunakan Autokey untuk CMEK
Untuk setiap folder tempat Anda ingin menggunakan Autokey, ada proses penyiapan satu kali. Anda dapat memilih folder untuk digunakan dengan dukungan Autokey, dan project kunci terkait tempat Autokey menyimpan kunci untuk folder tersebut. Untuk informasi selengkapnya tentang cara mengaktifkan Autokey, lihat Mengaktifkan Autokey Cloud KMS.
Dibandingkan dengan membuat CMEK secara manual, Autokey tidak memerlukan langkah-langkah penyiapan berikut:
Administrator kunci tidak perlu membuat key ring atau kunci secara manual, atau menetapkan hak istimewa ke agen layanan yang mengenkripsi dan mendekripsi data. Agen layanan Cloud KMS melakukan tindakan ini atas nama mereka.
Developer tidak perlu merencanakan terlebih dahulu untuk meminta kunci sebelum pembuatan resource. Mereka dapat meminta kunci sendiri dari Autokey sesuai kebutuhan, sekaligus tetap mempertahankan pemisahan tugas.
Saat menggunakan Autokey, hanya ada satu langkah: developer meminta kunci sebagai bagian dari pembuatan resource. Kunci yang ditampilkan konsisten untuk jenis resource yang diinginkan.
CMEK yang dibuat dengan Autokey berperilaku sama seperti kunci yang dibuat secara manual untuk fitur berikut:
Layanan yang terintegrasi dengan CMEK berperilaku sama.
Administrator kunci dapat terus memantau semua kunci yang dibuat dan digunakan melalui dasbor Cloud KMS dan pelacakan penggunaan kunci.
Kebijakan organisasi berfungsi dengan cara yang sama dengan Kunci Otomatis seperti halnya dengan CMEK yang dibuat secara manual.
Untuk ringkasan Autokey, lihat Ringkasan Autokey. Untuk informasi selengkapnya tentang cara membuat resource yang dilindungi CMEK dengan Autokey, lihat Membuat resource yang dilindungi menggunakan Autokey Cloud KMS.
Membuat CMEK secara manual
Saat membuat CMEK secara manual, Anda harus merencanakan dan membuat key ring, kunci, dan lokasi resource sebelum dapat membuat resource yang dilindungi. Kemudian, Anda dapat menggunakan kunci untuk melindungi resource.
Untuk mengetahui langkah-langkah yang tepat guna mengaktifkan CMEK, lihat dokumentasi untuk layanan Google Cloud yang relevan. Beberapa layanan, seperti GKE, memiliki beberapa integrasi CMEK untuk melindungi berbagai jenis data yang terkait dengan layanan. Anda dapat mengikuti langkah-langkah yang mirip dengan berikut ini:
Buat key ring Cloud KMS atau pilih key ring yang ada. Saat membuat key ring, pilih lokasi yang secara geografis dekat dengan resource yang Anda lindungi. Key ring dapat berada dalam project yang sama dengan resource yang Anda lindungi atau dalam project yang berbeda. Menggunakan project yang berbeda akan memberi Anda kontrol yang lebih besar atas peran IAM dan membantu mendukung pemisahan tugas.
Anda membuat atau mengimpor kunci Cloud KMS di key ring yang dipilih. Kunci ini adalah CMEK.
Anda memberikan [peran IAM Pengenkripsi/Pendekripsi CryptoKeyencrypter-decrypter-role di CMEK ke akun layanan untuk layanan tersebut.
Saat membuat resource, konfigurasikan resource untuk menggunakan CMEK. Misalnya, Anda dapat mengonfigurasi cluster GKE untuk menggunakan CMEK guna melindungi data dalam penyimpanan di disk booting node.
Agar dapat memperoleh akses ke data, pemohon tidak memerlukan akses langsung ke CMEK.
Selama agen layanan memiliki peran CryptoKey Encrypter/Decrypter, layanan dapat mengenkripsi dan mendekripsi datanya. Jika Anda mencabut peran ini, atau jika Anda menonaktifkan atau menghancurkan CMEK, data tersebut tidak dapat diakses.
Kepatuhan CMEK
Beberapa layanan memiliki integrasi CMEK, dan memungkinkan Anda mengelola kunci sendiri. Beberapa layanan menawarkan kepatuhan CMEK, yang berarti data sementara dan kunci sementara tidak pernah ditulis ke disk. Untuk mengetahui daftar lengkap layanan terintegrasi dan yang mematuhi CMEK, lihat layanan yang kompatibel dengan CMEK.
Pelacakan penggunaan kunci
Pelacakan penggunaan kunci menampilkan resource Google Cloud dalam organisasi Anda yang dilindungi oleh CMEK. Dengan pelacakan penggunaan kunci, Anda dapat melihat resource, project, dan produk Google Cloud unik yang dilindungi yang menggunakan kunci tertentu, dan apakah kunci sedang digunakan. Untuk informasi selengkapnya tentang pelacakan penggunaan kunci, lihat Melihat penggunaan kunci
Kebijakan organisasi CMEK
Google Cloud menawarkan batasan kebijakan organisasi untuk membantu memastikan penggunaan CMEK yang konsisten di seluruh resource organisasi. Batasan ini memberikan kontrol kepada Pengelola Organisasi untuk mewajibkan penggunaan CMEK dan menentukan batasan serta kontrol pada kunci Cloud KMS yang digunakan untuk perlindungan CMEK, termasuk:
Batasan pada kunci Cloud KMS yang digunakan untuk perlindungan CMEK
Batasan pada tingkat perlindungan kunci yang diizinkan
Batasan pada lokasi CMEK
Kontrol untuk pemusnahan versi kunci
Langkah selanjutnya
- Lihat daftar layanan dengan integrasi CMEK.
- Lihat daftar layanan yang mematuhi CMEK.
- Lihat daftar jenis resource yang dapat memiliki pelacakan penggunaan kunci.
- Lihat daftar layanan yang didukung oleh Autokey.