Halaman ini memberikan ringkasan Cloud External Key Manager (Cloud EKM).
Terminologi
Pengelola kunci enkripsi eksternal (EKM)
Pengelola kunci yang digunakan di luar Google Cloud untuk mengelola kunci Anda.
Cloud External Key Manager (Cloud EKM)
Layanan Google Cloud untuk menggunakan kunci eksternal Anda yang dikelola dalam EKM yang didukung.
Cloud EKM melalui internet
Versi Cloud EKM tempat Google Cloud berkomunikasi dengan pengelola kunci enkripsi eksternal Anda melalui internet.
Cloud EKM melalui VPC
Versi Cloud EKM tempat Google Cloud berkomunikasi dengan pengelola kunci enkripsi eksternal Anda melalui Virtual Private Cloud (VPC). Untuk informasi selengkapnya, lihat Ringkasan jaringan VPC.
Pengelolaan kunci EKM dari Cloud KMS
Saat menggunakan Cloud EKM melalui VPC dengan partner pengelolaan kunci eksternal yang mendukung platform kontrol Cloud EKM, Anda dapat menggunakan mode pengelolaan EKM Cloud KMS untuk menyederhanakan proses pengelolaan kunci eksternal di partner pengelolaan kunci eksternal dan di Cloud EKM. Untuk informasi selengkapnya, lihat Kunci eksternal terkoordinasi dan Pengelolaan kunci EKM dari Cloud KMS di halaman ini.
Ruang kripto
Penampung untuk resource Anda dalam partner pengelolaan kunci eksternal Anda. Ruang kripto Anda diidentifikasi oleh jalur ruang kripto yang unik. Format jalur ruang kripto bervariasi menurut partner pengelolaan kunci enkripsi eksternal—misalnya,
v0/cryptospaces/YOUR_UNIQUE_PATH
.EKM yang dikelola partner
Pengaturan saat EKM Anda dikelola untuk Anda oleh partner tepercaya. Untuk mengetahui informasi selengkapnya, lihat EKM yang dikelola partner di halaman ini.
Key Access Justifications
Saat Anda menggunakan Cloud EKM dengan Key Access Justifications, setiap permintaan ke partner pengelolaan kunci eksternal Anda akan menyertakan kolom yang mengidentifikasi alasan setiap permintaan. Anda dapat mengonfigurasi partner pengelolaan kunci enkripsi eksternal untuk mengizinkan atau menolak permintaan berdasarkan kode Key Access Justifications yang diberikan. Untuk informasi selengkapnya tentang Key Access Justifications, lihat ringkasan Key Access Justifications.
Ringkasan
Dengan Cloud EKM, Anda dapat menggunakan kunci yang Anda kelola dalam partner pengelolaan kunci eksternal yang didukung untuk melindungi data dalam Google Cloud. Anda dapat melindungi data dalam penyimpanan di layanan integrasi CMEK yang didukung, atau dengan memanggil langsung Cloud Key Management Service API.
Cloud EKM memberikan beberapa manfaat:
Asal kunci: Anda mengontrol lokasi dan distribusi kunci yang dikelola secara eksternal. Kunci yang dikelola secara eksternal tidak pernah di-cache atau disimpan dalam Google Cloud. Sebagai gantinya, Cloud EKM berkomunikasi langsung dengan partner pengelolaan kunci enkripsi eksternal untuk setiap permintaan.
Kontrol akses: Anda mengelola akses ke kunci yang dikelola secara eksternal di pengelola kunci eksternal. Anda tidak dapat menggunakan kunci yang dikelola secara eksternal di Google Cloud tanpa terlebih dahulu memberikan akses project Google Cloud ke kunci di pengelola kunci eksternal Anda. Anda dapat mencabut akses ini kapan saja.
Pengelolaan kunci terpusat: Anda dapat mengelola kunci dan kebijakan akses dari satu antarmuka pengguna, baik data yang dilindungi berada di cloud maupun di lokasi Anda.
Dalam semua kasus, kunci berada di sistem eksternal, dan tidak pernah dikirim ke Google.
Anda dapat berkomunikasi dengan pengelola kunci enkripsi eksternal melalui internet atau melalui Virtual Private Cloud (VPC).
Cara kerja Cloud EKM
Versi kunci Cloud EKM terdiri dari bagian-bagian berikut:
- Materi kunci eksternal: Materi kunci eksternal kunci Cloud EKM adalah materi kriptografis yang dibuat dan disimpan di EKM Anda. Materi ini tidak akan keluar dari EKM Anda dan tidak pernah dibagikan kepada Google.
- Referensi kunci: Setiap versi kunci Cloud EKM berisi URI kunci atau jalur kunci. Ini adalah ID unik untuk materi kunci eksternal yang digunakan Cloud EKM saat meminta operasi kriptografis menggunakan kunci tersebut.
- Materi kunci internal: Saat kunci Cloud EKM simetris dibuat, Cloud KMS akan membuat materi kunci tambahan di Cloud KMS, yang tidak pernah keluar dari Cloud KMS. Materi kunci ini digunakan sebagai lapisan enkripsi tambahan saat berkomunikasi dengan EKM Anda. Materi kunci internal ini tidak berlaku untuk kunci penandatanganan asimetris.
Untuk menggunakan kunci Cloud EKM, Cloud EKM akan mengirimkan permintaan untuk operasi kriptografis ke EKM Anda. Misalnya, untuk mengenkripsi data dengan kunci enkripsi simetris, Cloud EKM terlebih dahulu mengenkripsi data menggunakan materi kunci internal. Data terenkripsi disertakan dalam permintaan ke EKM. EKM menggabungkan data terenkripsi dalam lapisan enkripsi lain menggunakan materi kunci eksternal, lalu menampilkan ciphertext yang dihasilkan. Data yang dienkripsi menggunakan kunci Cloud EKM tidak dapat didekripsi tanpa materi kunci eksternal dan materi kunci internal.
Jika organisasi Anda telah mengaktifkan Key Access Justifications, partner pengelolaan kunci enkripsi eksternal Anda akan mencatat justifikasi akses yang diberikan dan menyelesaikan permintaan hanya untuk kode alasan justifikasi yang diizinkan oleh kebijakan Key Access Justifications Anda di partner pengelolaan kunci enkripsi eksternal.
Membuat dan mengelola kunci Cloud EKM memerlukan perubahan yang sesuai di Cloud KMS dan EKM. Perubahan yang sesuai ini ditangani secara berbeda untuk kunci eksternal yang dikelola secara manual dan untuk kunci eksternal yang terkoordinasi. Semua kunci eksternal yang diakses melalui internet dikelola secara manual. Kunci eksternal yang diakses melalui jaringan VPC dapat dikelola atau dikoordinasikan secara manual, bergantung pada mode pengelolaan EKM dari EKM melalui koneksi VPC. Mode pengelolaan EKM Manual digunakan untuk kunci yang dikelola secara manual. Mode pengelolaan EKM Cloud KMS digunakan untuk kunci eksternal terkoordinasi. Untuk informasi selengkapnya tentang mode pengelolaan EKM, lihat Kunci eksternal yang dikelola secara manual dan Kunci eksternal terkoordinasi di halaman ini.
Diagram berikut menunjukkan kesesuaian Cloud KMS dengan model pengelolaan kunci. Diagram ini menggunakan Compute Engine dan BigQuery sebagai dua contoh; Anda juga dapat melihat daftar lengkap layanan yang mendukung kunci Cloud EKM.
Anda dapat mempelajari pertimbangan dan batasan saat menggunakan Cloud EKM.
Kunci eksternal yang dikelola secara manual
Bagian ini memberikan ringkasan luas tentang cara kerja Cloud EKM dengan kunci eksternal yang dikelola secara manual.
- Anda membuat atau menggunakan kunci yang ada di sistem partner pengelolaan kunci eksternal yang didukung. Kunci ini memiliki URI atau jalur kunci yang unik.
- Anda memberikan akses project Google Cloud untuk menggunakan kunci, dalam sistem partner pengelolaan kunci eksternal.
- Di project Google Cloud, Anda membuat versi kunci Cloud EKM, menggunakan URI atau jalur kunci untuk kunci yang dikelola secara eksternal.
- Operasi pemeliharaan seperti rotasi kunci harus dikelola secara manual antara EKM dan Cloud EKM Anda. Misalnya, operasi rotasi versi kunci atau penghancuran versi kunci harus diselesaikan secara langsung di EKM dan di Cloud KMS.
Di Google Cloud, kunci akan muncul bersama kunci Cloud KMS dan Cloud HSM Anda yang lain, dengan level perlindungan EXTERNAL
atau EXTERNAL_VPC
. Kunci Cloud EKM dan kunci partner pengelolaan kunci eksternal bekerja sama untuk melindungi data Anda. Materi kunci
eksternal tidak pernah diekspos ke Google.
Kunci eksternal terkoordinasi
Bagian ini memberikan ringkasan tentang cara kerja Cloud EKM dengan kunci eksternal terkoordinasi.
Anda menyiapkan EKM melalui koneksi VPC, dengan menetapkan mode pengelolaan EKM ke Cloud KMS. Selama penyiapan, Anda harus memberikan otorisasi ke EKM untuk mengakses jaringan VPC dan memberikan otorisasi ke akun layanan project Google Cloud untuk mengakses ruang kripto di EKM. Koneksi EKM Anda menggunakan nama host EKM dan jalur ruang kripto yang mengidentifikasi resource Anda dalam EKM.
Anda membuat kunci eksternal di Cloud KMS. Saat Anda membuat kunci Cloud EKM menggunakan EKM melalui koneksi VPC dengan mode pengelolaan EKM Cloud KMS diaktifkan, langkah-langkah berikut akan dilakukan secara otomatis:
- Cloud EKM mengirimkan permintaan pembuatan kunci ke EKM Anda.
- EKM Anda akan membuat materi kunci yang diminta. Materi kunci enkripsi eksternal ini tetap berada di EKM dan tidak pernah dikirim ke Google.
- EKM Anda menampilkan jalur kunci ke Cloud EKM.
- Cloud EKM membuat versi kunci Cloud EKM menggunakan jalur kunci yang disediakan oleh EKM Anda.
Operasi pemeliharaan pada kunci eksternal terkoordinasi dapat dimulai dari Cloud KMS. Misalnya, kunci eksternal terkoordinasi yang digunakan untuk enkripsi simetris dapat dirotasi secara otomatis sesuai jadwal yang ditetapkan. Pembuatan versi kunci baru dikoordinasikan di EKM Anda oleh Cloud EKM. Anda juga dapat memicu pembuatan atau penghapusan versi kunci di EKM dari Cloud KMS menggunakan konsol Google Cloud, gcloud CLI, Cloud KMS API, atau library klien Cloud KMS.
Di Google Cloud, kunci akan muncul bersama kunci Cloud KMS dan Cloud HSM Anda yang lain, dengan tingkat perlindungan EXTERNAL_VPC
. Kunci Cloud EKM dan kunci partner pengelolaan kunci eksternal bekerja
bersama untuk melindungi data Anda. Materi kunci eksternal tidak pernah diekspos ke
Google.
Pengelolaan kunci EKM dari Cloud KMS
Kunci eksternal terkoordinasi dimungkinkan oleh EKM melalui koneksi VPC yang menggunakan pengelolaan kunci EKM dari Cloud KMS. Jika EKM Anda mendukung platform kontrol Cloud EKM, Anda dapat mengaktifkan pengelolaan kunci EKM dari Cloud KMS untuk EKM melalui koneksi VPC guna membuat kunci eksternal yang terkoordinasi. Dengan pengelolaan kunci EKM dari Cloud KMS yang diaktifkan, Cloud EKM dapat meminta perubahan berikut di EKM Anda:
Membuat kunci: Saat Anda membuat kunci yang dikelola secara eksternal di Cloud KMS menggunakan EKM yang kompatibel melalui koneksi VPC, Cloud EKM akan mengirimkan permintaan pembuatan kunci ke EKM Anda. Jika berhasil, EKM akan membuat kunci dan materi kunci baru serta menampilkan jalur kunci yang akan digunakan Cloud EKM untuk mengakses kunci.
Memutar kunci: Saat Anda memutar kunci yang dikelola secara eksternal di Cloud KMS menggunakan EKM yang kompatibel melalui koneksi VPC, Cloud EKM akan mengirimkan permintaan rotasi ke EKM Anda. Jika berhasil, EKM Anda akan membuat materi kunci baru dan menampilkan jalur kunci untuk Cloud EKM yang akan digunakan untuk mengakses versi kunci baru.
Menghancurkan kunci: Saat Anda menghancurkan versi kunci untuk kunci yang dikelola secara eksternal di Cloud KMS menggunakan EKM yang kompatibel melalui koneksi VPC, Cloud KMS akan menjadwalkan versi kunci untuk dihancurkan di Cloud KMS. Jika versi kunci tidak dipulihkan sebelum periode dijadwalkan untuk dihancurkan berakhir, Cloud EKM akan menghancurkan bagian dari materi kriptografis kunci dan mengirimkan permintaan pemusnahan ke EKM Anda.
Data yang dienkripsi dengan versi kunci ini tidak dapat didekripsi setelah versi kunci dihancurkan di Cloud KMS, meskipun EKM belum menghancurkan versi kunci. Anda dapat melihat apakah EKM telah berhasil menghancurkan versi kunci dengan melihat detail kunci di Cloud KMS.
Saat kunci di EKM Anda dikelola dari Cloud KMS, materi kunci masih berada di EKM Anda. Google tidak dapat membuat permintaan pengelolaan kunci apa pun ke EKM Anda tanpa izin eksplisit. Google tidak dapat mengubah izin atau kebijakan Justifikasi Akses Kunci di sistem partner pengelolaan kunci eksternal Anda. Jika Anda mencabut izin Google di EKM, operasi pengelolaan kunci yang dicoba di Cloud KMS akan gagal.
Kompatibilitas
Pengelola kunci yang didukung
Anda dapat menyimpan kunci eksternal di sistem partner pengelolaan kunci eksternal berikut:
Layanan yang mendukung CMEK dengan Cloud EKM
Layanan berikut mendukung integrasi dengan Cloud KMS untuk kunci eksternal (Cloud EKM):
- Agent Assist
- AlloyDB untuk PostgreSQL
- Hub Apigee API
- Artifact Registry
- Pencadangan untuk GKE
- BigQuery
- Bigtable
- Cloud Composer
- Cloud Data Fusion
- Cloud Healthcare API
- Cloud Logging: Data di Log Router dan Data di penyimpanan Logging
- Cloud Run
- Cloud Run Functions
- Cloud SQL
- Cloud Storage
- Cloud Tasks
- Cloud Workstations
- Compute Engine: Persistent disk , Snapshot , Image kustom , dan Image mesin
- Insight Berbasis Percakapan
- Database Migration Service: Migrasi MySQL - data yang ditulis ke database , Migrasi PostgreSQL - Data yang ditulis ke database , Migrasi PostgreSQL ke AlloyDB - Data yang ditulis ke database , dan data Oracle ke PostgreSQL dalam penyimpanan
- Dataflow
- Dataform
- Dataproc: Data cluster Dataproc di disk VM dan Data serverless Dataproc di disk VM
- Dataproc Metastore
- Dialogflow CX
- Document AI
- Eventarc Standard
- Filestore
- Firestore
- Google Cloud Managed Service for Apache Kafka
- Google Distributed Cloud
- Google Kubernetes Engine: Data di disk VM dan Secret lapisan aplikasi
- Looker (Google Cloud core)
- Memorystore for Redis
- Migrate to Virtual Machines: Data yang dimigrasikan dari sumber VM VMware, AWS, dan Azure dan Data yang dimigrasikan dari sumber disk dan image mesin
- Pub/Sub
- Secret Manager
- Secure Source Manager
- Spanner
- ID Pembicara (GA yang Dibatasi)
- Speech-to-Text
- Vertex AI
- Instance Vertex AI Workbench
- Workflows
Pertimbangan
Saat Anda menggunakan kunci Cloud EKM, Google tidak memiliki kontrol atas ketersediaan kunci yang dikelola secara eksternal di sistem partner pengelolaan kunci eksternal. Jika Anda kehilangan kunci yang dikelola di luar Google Cloud, Google tidak dapat memulihkan data Anda.
Tinjau panduan tentang partner dan region pengelolaan kunci enkripsi eksternal saat memilih lokasi untuk kunci Cloud EKM Anda.
Berkomunikasi dengan layanan eksternal melalui internet dapat menyebabkan masalah keandalan, ketersediaan, dan latensi. Untuk aplikasi dengan toleransi rendah terhadap jenis risiko ini, pertimbangkan untuk menggunakan Cloud HSM atau Cloud KMS untuk menyimpan materi kunci Anda.
Jika kunci eksternal tidak tersedia, Cloud KMS akan menampilkan error
FAILED_PRECONDITION
dan memberikan detail dalam detail errorPreconditionFailure
.Aktifkan logging audit data untuk menyimpan catatan semua error yang terkait dengan Cloud EKM. Pesan error berisi informasi mendetail untuk membantu menentukan sumber error. Contoh error umum adalah saat partner pengelolaan kunci enkripsi eksternal tidak merespons permintaan dalam jangka waktu yang wajar.
Anda memerlukan kontrak dukungan dengan partner pengelolaan kunci eksternal. Dukungan Google Cloud hanya dapat membantu masalah dalam layanan Google Cloud dan tidak dapat langsung membantu masalah pada sistem eksternal. Terkadang, Anda harus bekerja sama dengan dukungan di kedua sisi untuk memecahkan masalah interoperabilitas.
Cloud EKM dapat digunakan dengan Bare Metal Rack HSM untuk membuat solusi HSM satu tenant yang terintegrasi dengan Cloud KMS. Untuk mempelajari lebih lanjut, pilih partner Cloud EKM yang mendukung HSM satu tenant dan tinjau persyaratan untuk Bare Metal Rack HSM.
Aktifkan logging audit di pengelola kunci eksternal Anda untuk mencatat akses dan penggunaan kunci EKM Anda.
Pembatasan
- Rotasi otomatis tidak didukung.
- Saat Anda membuat kunci Cloud EKM menggunakan API atau Google Cloud CLI, kunci tersebut tidak boleh memiliki versi kunci awal. Hal ini tidak berlaku untuk kunci Cloud EKM yang dibuat menggunakan Konsol Google Cloud.
- Operasi Cloud EKM tunduk pada kuota tertentu selain kuota pada operasi Cloud KMS.
Kunci enkripsi simetris
- Kunci enkripsi simetris hanya didukung untuk hal berikut:
- Kunci enkripsi yang dikelola pelanggan (CMEK) di layanan integrasi yang didukung.
- Enkripsi dan dekripsi simetris menggunakan Cloud KMS secara langsung.
- Data yang dienkripsi oleh Cloud EKM menggunakan kunci yang dikelola secara eksternal tidak dapat didekripsi tanpa menggunakan Cloud EKM.
Kunci penandatanganan asimetris
- Kunci penandatanganan asimetris dibatasi untuk sebagian algoritma Cloud KMS.
- Kunci penandatanganan asimetris hanya didukung untuk kasus penggunaan berikut:
- Setelah ditetapkan pada kunci Cloud EKM, algoritma penandatanganan asimetris tidak dapat diubah.
- Penandatanganan harus dilakukan di kolom
data
.
Pengelola kunci dan region eksternal
Cloud EKM harus dapat menjangkau kunci Anda dengan cepat untuk menghindari error. Saat membuat kunci Cloud EKM, pilih lokasi Google Cloud yang secara geografis dekat dengan lokasi kunci partner pengelolaan kunci eksternal. Lihat dokumentasi partner pengelolaan kunci enkripsi eksternal Anda untuk menentukan lokasi mana yang didukungnya.
- Cloud EKM melalui internet: tersedia di sebagian besar lokasi Google Cloud tempat Cloud KMS tersedia, termasuk lokasi regional dan multi-regional.
- Cloud EKM melalui VPC: tersedia di sebagian besar lokasi regional tempat Cloud KMS tersedia. Cloud EKM melalui VPC tidak tersedia di lokasi multi-regional.
Beberapa lokasi, termasuk global
dan nam-eur-asia1
, tidak tersedia untuk
EKM Cloud. Untuk mempelajari lokasi yang mendukung Cloud EKM, lihat lokasi Cloud KMS.
Penggunaan multi-region
Saat Anda menggunakan kunci yang dikelola secara eksternal dengan multi-region, metadata kunci tersedia di beberapa pusat data dalam multi-region. Metadata ini menyertakan informasi yang diperlukan untuk berkomunikasi dengan partner pengelolaan kunci enkripsi eksternal. Jika aplikasi Anda gagal ditransfer dari satu pusat data ke pusat data lain dalam multi-region, pusat data baru akan memulai permintaan kunci. Pusat data baru mungkin memiliki karakteristik jaringan yang berbeda dari pusat data sebelumnya, termasuk jarak dari partner pengelolaan kunci enkripsi eksternal dan kemungkinan waktu tunggu habis. Sebaiknya hanya gunakan multi-region dengan Cloud EKM jika pengelola kunci enkripsi eksternal yang Anda pilih memberikan latensi rendah ke semua area multi-region tersebut.
EKM yang dikelola partner
EKM yang dikelola partner memungkinkan Anda menggunakan Cloud EKM melalui partner kedaulatan tepercaya yang mengelola sistem EKM untuk Anda. Dengan EKM yang dikelola partner, partner Anda membuat dan mengelola kunci yang Anda gunakan di Cloud EKM. Partner memastikan bahwa EKM Anda mematuhi persyaratan kedaulatan.
Saat Anda melakukan aktivasi dengan partner sovereign, partner tersebut akan menyediakan resource di Google Cloud dan EKM Anda. Resource ini mencakup project Cloud KMS untuk mengelola kunci Cloud EKM dan EKM melalui koneksi VPC yang dikonfigurasi untuk pengelolaan kunci EKM dari Cloud KMS. Partner Anda membuat resource di lokasi Google Cloud sesuai dengan persyaratan residensi data Anda.
Setiap kunci Cloud EKM menyertakan metadata Cloud KMS, yang memungkinkan Cloud EKM mengirim permintaan ke EKM Anda untuk melakukan operasi kriptografis menggunakan materi kunci eksternal yang tidak pernah keluar dari EKM Anda. Kunci Cloud EKM simetris juga mencakup materi kunci internal Cloud KMS yang tidak pernah keluar dari Google Cloud. Untuk informasi selengkapnya tentang sisi internal dan eksternal kunci Cloud EKM, lihat Cara kerja Cloud EKM di halaman ini.
Untuk informasi selengkapnya tentang EKM yang dikelola partner, lihat Mengonfigurasi Cloud KMS yang dikelola partner.
Memantau penggunaan Cloud EKM
Anda dapat menggunakan Cloud Monitoring untuk memantau koneksi EKM. Metrik berikut dapat membantu Anda memahami penggunaan EKM:
cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count
Untuk informasi selengkapnya tentang metrik ini, lihat metrik cloudkms. Anda dapat membuat dasbor untuk melacak metrik ini. Untuk mempelajari cara menyiapkan dasbor guna memantau koneksi EKM, lihat Memantau penggunaan EKM.
Mendapatkan dukungan
Jika Anda mengalami masalah dengan Cloud EKM, hubungi Dukungan.
Langkah selanjutnya
Buat koneksi EKM untuk menggunakan EKM melalui VPC.
Mulai menggunakan API.
Baca Referensi Cloud KMS API.
Pelajari Logging di Cloud KMS. Logging didasarkan pada operasi, dan berlaku untuk kunci dengan tingkat perlindungan software dan HSM.
Lihat Arsitektur referensi untuk deployment layanan Cloud EKM yang andal guna mendapatkan rekomendasi tentang cara mengonfigurasi deployment layanan External Key Manager (EKM) yang terintegrasi dengan Cloud EKM.