Buat kunci eksternal

Halaman ini menunjukkan cara membuat kunci Cloud External Key Manager (Cloud EKM) pada key ring yang ada di Cloud Key Management Service (Cloud KMS).

Sebelum memulai

Sebelum menyelesaikan tugas di halaman ini, Anda memerlukan hal-hal berikut:

Resource project Google Cloud untuk menampung resource Cloud KMS Anda. Sebaiknya gunakan project terpisah untuk resource Cloud KMS Anda yang tidak berisi resource Google Cloud lainnya.

Catat akun layanan Cloud EKM project Anda. Pada contoh berikut, ganti PROJECT_NUMBER dengan nomor project project Google Cloud Anda. Informasi ini juga terlihat setiap kali Anda menggunakan Google Cloud Console untuk membuat kunci Cloud EKM.
```
service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
```
Nama dan lokasi key ring tempat Anda ingin membuat kunci. Pilih key ring di lokasi yang dekat dengan resource Anda lainnya dan yang mendukung Cloud EKM. Untuk melihat lokasi yang tersedia dan tingkat perlindungan yang didukungnya, lihat Lokasi Cloud KMS. Untuk membuat key ring, lihat Membuat key ring.
Untuk membuat kunci eksternal yang dikelola secara manual, Anda harus membuat kunci di sistem partner pengelolaan kunci eksternal. Langkah-langkah yang tepat bervariasi untuk setiap partner pengelolaan kunci eksternal.
1. Jika perlu, minta akses dari partner pengelolaan kunci eksternal untuk berpartisipasi.
2. Buat kunci simetris atau asimetris di sistem partner pengelolaan kunci eksternal atau pilih kunci yang sudah ada.
  
  Buat kunci di region dekat region Google Cloud yang ingin Anda gunakan untuk kunci Cloud EKM. Hal ini membantu mengurangi latensi jaringan antara project Google Cloud Anda dan partner pengelolaan kunci eksternal. Jika tidak, Anda mungkin akan mengalami lebih banyak operasi gagal. Untuk mengetahui informasi selengkapnya, lihat Cloud EKM dan region.
3. Catat URI atau jalur kunci eksternal kunci. Anda memerlukan informasi ini untuk membuat kunci Cloud EKM.
Dalam sistem partner pengelolaan kunci eksternal, beri akun layanan Google Cloud akses untuk menggunakan kunci eksternal Anda. Perlakukan akun layanan sebagai alamat email. Partner EKM dapat menggunakan terminologi yang berbeda dari yang digunakan dalam topik ini.
Untuk membuat EKM melalui kunci VPC, Anda perlu membuat EKM melalui koneksi VPC.
Opsional: Untuk menggunakan gcloud CLI, siapkan lingkungan Anda.

gcloud CLI

Di konsol Google Cloud, aktifkan Cloud Shell.

Aktifkan Cloud Shell

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk membuat kunci, minta administrator untuk memberi Anda peran IAM Admin Cloud KMS (roles/cloudkms.admin) pada project atau resource induk. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Peran yang telah ditetapkan ini berisi izin yang diperlukan untuk membuat kunci. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk membuat kunci:

cloudkms.cryptoKeys.create
cloudkms.cryptoKeys.get
cloudkms.cryptoKeys.list
cloudkms.cryptoKeyVersions.create
cloudkms.cryptoKeyVersions.get
cloudkms.cryptoKeyVersions.list
cloudkms.keyRings.get
cloudkms.keyRings.list
cloudkms.locations.get
cloudkms.locations.list
resourcemanager.projects.get
Untuk mengambil kunci publik: cloudkms.cryptoKeyVersions.viewPublicKey

Anda mung juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaanlainnya.

Membuat kunci eksternal terkoordinasi

Konsol

Di konsol Google Cloud, buka halaman Key Management.

Buka Key Management
Klik nama key ring yang akan Anda buat kunci.
Klik Create key.
Untuk Nama kunci, masukkan nama kunci Anda.
Untuk Tingkat perlindungan, pilih Eksternal.
Untuk External key manager (EKM) connection type, pilih via VPC.
Untuk EKM melalui koneksi VPC, pilih koneksi.

Jika tidak memiliki izin EkmConnection.list, Anda harus memasukkan nama resource koneksi secara manual.
Klik Lanjutkan.
Di bagian Materi kunci, Anda akan melihat pesan tentang materi kunci baru yang diminta oleh Cloud KMS dan dihasilkan dalam EKM Anda. Jika Anda melihat kolom Key path, berarti EKM melalui koneksi VPC yang Anda pilih tidak dikonfigurasi untuk kunci eksternal terkoordinasi.
Konfigurasikan setelan kunci lainnya sesuai kebutuhan, lalu klik Create.

Cloud EKM mengirim permintaan ke EKM Anda untuk membuat kunci baru. Kunci akan ditampilkan sebagai Pembuatan tertunda hingga jalur kunci ditampilkan oleh EKM dan kunci Cloud EKM tersedia.

gcloud

Untuk menggunakan Cloud KMS di command line, Instal atau upgrade Google Cloud CLI ke versi terbaru terlebih dahulu.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Ganti kode berikut:

KEY_NAME: nama kunci.
KEY_RING: nama key ring yang berisi kunci.
LOCATION: lokasi Cloud KMS key ring.
PURPOSE: tujuan kunci.
ALGORITHM: algoritma yang akan digunakan untuk kunci, misalnya google-symmetric-encryption. Untuk daftar algoritma yang didukung, lihat Algoritma.
VPC_CONNECTION_RESOURCE_ID: ID resource koneksi EKM.

Untuk mengetahui informasi tentang semua flag dan nilai yang memungkinkan, jalankan perintah dengan flag --help.

Membuat Cloud EKM yang dikelola secara manual melalui kunci VPC

Konsol

Di konsol Google Cloud, buka halaman Key Management.

Buka Key Management
Klik nama key ring yang akan Anda buat kunci.
Klik Create key.
Untuk Nama kunci, masukkan nama kunci Anda.
Untuk Tingkat perlindungan, pilih Eksternal.
Untuk External key manager (EKM) connection type, pilih via VPC.
Untuk EKM melalui koneksi VPC, pilih koneksi.

Catatan, jika tidak memiliki izin EkmConnection.list, Anda harus memasukkan nama resource koneksi secara manual.
Klik Lanjutkan.
Di kolom Key path, masukkan jalur ke kunci eksternal Anda.
Konfigurasikan setelan kunci lainnya sesuai kebutuhan, lalu klik Create.

gcloud

Untuk menggunakan Cloud KMS di command line, Instal atau upgrade Google Cloud CLI ke versi terbaru terlebih dahulu.

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --skip-initial-version-creation \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

Ganti kode berikut:

KEY_NAME: nama kunci.
KEY_RING
LOCATION: lokasi Cloud KMS key ring.
PURPOSE: tujuan kunci.
ALGORITHM: algoritma yang akan digunakan untuk kunci, misalnya google-symmetric-encryption. Untuk daftar algoritma yang didukung, lihat Algoritma.
VPC_CONNECTION_RESOURCE_ID: ID resource koneksi EKM.

Untuk mengetahui informasi tentang semua flag dan nilai yang memungkinkan, jalankan perintah dengan flag --help.

Membuat Cloud EKM yang dikelola secara manual melalui kunci internet

Konsol

Di konsol Google Cloud, buka halaman Key Management.

Buka Key Management
Klik nama key ring yang akan Anda buat kunci.
Klik Create key.
Untuk Nama kunci, masukkan nama kunci Anda.
Untuk Tingkat perlindungan, pilih Eksternal.
Untuk External key manager (EKM) connection type, pilih via internet.
Klik Lanjutkan.
Di kolom Key URI, masukkan jalur ke kunci eksternal Anda.
Konfigurasikan setelan kunci lainnya sesuai kebutuhan, lalu klik Create.

Catatan: Jika Anda salah memasukkan URI, atau kunci tidak ditemukan di URI tersebut, kunci akan dibuat tetapi tidak memiliki versi. Jika ini terjadi, klik Rotate Key untuk membuat versi baru, lalu masukkan URI yang benar. Anda dapat menemukan detail error selengkapnya tentang error tersebut di tab Aktivitas di Tampilkan panel info, atau di [Log audit Aktivitas Admin][audit_logging] (diaktifkan secara default).

gcloud

Untuk menggunakan Cloud KMS di command line, Instal atau upgrade Google Cloud CLI ke versi terbaru terlebih dahulu.

Buat kunci eksternal kosong:
```
gcloud kms keys create KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --purpose PURPOSE \
  --protection-level external \
  --skip-initial-version-creation \
  --default-algorithm ALGORITHM
```
Ganti kode berikut:
- KEY_NAME: nama kunci.
- KEY_RING: nama key ring yang berisi kunci.
- LOCATION: lokasi Cloud KMS key ring.
- PURPOSE: tujuan kunci.
- ALGORITHM: algoritma yang akan digunakan untuk kunci, misalnya google-symmetric-encryption. Untuk daftar algoritma yang didukung, lihat Algoritma.
Untuk mengetahui informasi tentang semua flag dan nilai yang memungkinkan, jalankan perintah dengan flag --help.
Buat versi kunci baru untuk kunci yang baru saja dibuat:
```
gcloud kms keys versions create \
  --key KEY_NAME \
  --keyring KEY_RING \
  --location LOCATION \
  --external-key-uri EXTERNAL_KEY_URI
```
Ganti EXTERNAL_KEY_URI dengan URI kunci eksternal.

Untuk versi kunci simetris, tambahkan flag --primary untuk menetapkan versi kunci baru sebagai versi utama.

Catatan: Versi tidak akan dibuat jika URI kunci tidak valid atau tidak dapat dijangkau, atau jika akun layanan Google Cloud tidak memiliki izin untuk menggunakan kunci partner pengelolaan kunci eksternal. Jika terjadi error, perbaiki masalah dan jalankan perintah lagi.

Buat kunci eksternal

Sebelum memulai

gcloud CLI

Peran yang diperlukan

Izin yang diperlukan

Membuat kunci eksternal terkoordinasi

Konsol

gcloud

Membuat Cloud EKM yang dikelola secara manual melalui kunci VPC

Konsol

gcloud

Membuat Cloud EKM yang dikelola secara manual melalui kunci internet

Konsol

gcloud

Langkah selanjutnya