Topik ini memberikan ringkasan tentang Cloud External Key Manager (Cloud EKM).
Terminologi
Pengelola kunci eksternal (EKM)
Pengelola kunci yang digunakan di luar Google Cloud untuk mengelola kunci Anda.
Cloud External Key Manager (Cloud EKM)
Layanan Google Cloud untuk menggunakan kunci eksternal yang dikelola dalam EKM yang didukung.
Cloud EKM melalui internet
Versi Cloud EKM tempat Google Cloud berkomunikasi dengan pengelola kunci eksternal Anda melalui internet.
Cloud EKM melalui VPC
Versi Cloud EKM tempat Google Cloud berkomunikasi dengan pengelola kunci eksternal Anda melalui Virtual Private Cloud (VPC). Untuk mengetahui informasi selengkapnya, lihat Ringkasan jaringan VPC.
Pengelolaan kunci EKM dari Cloud KMS
Saat menggunakan Cloud EKM melalui VPC dengan partner pengelolaan kunci eksternal yang mendukung bidang kontrol Cloud EKM, Anda dapat menggunakan mode pengelolaan EKM Cloud KMS untuk menyederhanakan proses pengelolaan kunci eksternal di partner pengelolaan kunci eksternal Anda dan di Cloud EKM. Untuk informasi selengkapnya, lihat Kunci eksternal terkoordinasi dan Pengelolaan kunci EKM dari Cloud KMS di halaman ini.
Ruang kripto
Container untuk resource Anda dalam partner pengelolaan kunci eksternal. Ruang kripto Anda diidentifikasi oleh jalur ruang kripto unik. Format jalur ruang kripto bervariasi menurut partner pengelolaan kunci eksternal—misalnya,
v0/cryptospaces/YOUR_UNIQUE_PATH
.EKM yang dikelola partner
Pengaturan tempat EKM dikelola untuk Anda oleh partner tepercaya. Untuk informasi selengkapnya, lihat EKM yang dikelola partner di halaman ini.
Key Access Justifications
Saat Anda menggunakan Cloud EKM dengan Key Access Justifications, setiap permintaan ke partner pengelolaan kunci eksternal Anda menyertakan kolom yang mengidentifikasi alasan setiap permintaan. Anda dapat mengonfigurasi partner pengelolaan kunci eksternal untuk mengizinkan atau menolak permintaan berdasarkan kode Key Access Justifications yang diberikan. Untuk mengetahui informasi selengkapnya tentang Key Access Justifications, lihat ringkasan Key Access Justifications.
Ringkasan
Dengan Cloud EKM, Anda dapat menggunakan kunci yang Anda kelola dalam partner pengelolaan kunci eksternal yang didukung untuk melindungi data dalam Google Cloud. Anda dapat melindungi data dalam penyimpanan di layanan integrasi CMEK yang didukung, atau dengan memanggil langsung Cloud Key Management Service API.
Cloud EKM memberikan beberapa manfaat:
Asal kunci: Anda mengontrol lokasi dan distribusi kunci yang dikelola secara eksternal. Kunci yang dikelola secara eksternal tidak pernah di-cache atau disimpan dalam Google Cloud. Sebagai gantinya, Cloud EKM berkomunikasi langsung dengan partner pengelolaan kunci eksternal untuk setiap permintaan.
Kontrol akses: Anda dapat mengelola akses ke kunci yang dikelola secara eksternal di pengelola kunci eksternal. Anda tidak dapat menggunakan kunci yang dikelola secara eksternal di Google Cloud tanpa terlebih dahulu memberi project Google Cloud akses ke kunci tersebut di pengelola kunci eksternal Anda. Anda dapat mencabut akses ini kapan saja.
Pengelolaan kunci terpusat: Anda dapat mengelola kunci dan kebijakan akses dari satu antarmuka pengguna, baik data yang dilindunginya berada di cloud atau di infrastruktur lokal Anda.
Dalam semua kasus, kunci berada di sistem eksternal, dan tidak pernah dikirim ke Google.
Anda dapat berkomunikasi dengan pengelola kunci eksternal melalui internet atau melalui Virtual Private Cloud (VPC).
Cara kerja Cloud EKM
Versi kunci Cloud EKM terdiri dari bagian-bagian berikut:
- Materi kunci eksternal: Materi kunci eksternal kunci Cloud EKM adalah materi kriptografi yang dibuat dan disimpan di EKM Anda. Materi ini tidak dikirim ke luar EKM Anda dan tidak akan pernah dibagikan kepada Google.
- Referensi kunci: Setiap versi kunci Cloud EKM berisi URI kunci atau jalur kunci. Ini adalah ID unik untuk materi kunci eksternal yang digunakan Cloud EKM saat meminta operasi kriptografi menggunakan kunci tersebut.
- Materi kunci internal: Saat kunci EKM Cloud simetris dibuat, Cloud KMS akan membuat materi kunci tambahan di Cloud KMS, yang tidak akan pernah keluar dari Cloud KMS. Materi kunci ini digunakan sebagai lapisan enkripsi tambahan saat berkomunikasi dengan EKM. Materi kunci internal ini tidak berlaku untuk kunci penandatanganan asimetris.
Untuk menggunakan kunci Cloud EKM, Cloud EKM mengirimkan permintaan operasi kriptografi ke EKM Anda. Misalnya, untuk mengenkripsi data dengan kunci enkripsi simetris, Cloud EKM terlebih dahulu mengenkripsi data menggunakan materi kunci internal. Data terenkripsi disertakan dalam permintaan ke EKM. EKM menggabungkan data terenkripsi ke dalam lapisan enkripsi lain menggunakan materi kunci eksternal, lalu menampilkan ciphertext yang dihasilkan. Data yang dienkripsi menggunakan kunci Cloud EKM tidak dapat didekripsi tanpa materi kunci eksternal dan materi kunci internal.
Jika organisasi Anda telah mengaktifkan Key Access Justifications, partner pengelolaan kunci eksternal akan mencatat justifikasi akses yang diberikan dan menyelesaikan permintaan hanya untuk kode alasan justifikasi yang diizinkan oleh kebijakan Key Access Justifications Anda di partner pengelolaan kunci eksternal.
Pembuatan dan pengelolaan kunci Cloud EKM memerlukan perubahan yang sesuai di Cloud KMS dan EKM. Perubahan terkait ini ditangani secara berbeda untuk kunci eksternal yang dikelola secara manual dan untuk kunci eksternal yang dikoordinasikan. Semua kunci eksternal yang diakses melalui internet dikelola secara manual. Kunci eksternal yang diakses melalui jaringan VPC dapat dikelola atau dikoordinasikan secara manual, bergantung pada mode pengelolaan EKM dari EKM melalui koneksi VPC. Mode pengelolaan KM Manual digunakan untuk kunci yang dikelola secara manual. Mode pengelolaan EKM Cloud KMS digunakan untuk kunci eksternal terkoordinasi. Untuk informasi selengkapnya tentang mode pengelolaan EKM, lihat Kunci eksternal yang dikelola secara manual dan Kunci eksternal terkoordinasi di halaman ini.
Diagram berikut menunjukkan kesesuaian Cloud KMS dengan model pengelolaan kunci. Diagram ini menggunakan Compute Engine dan BigQuery sebagai dua contoh. Anda juga dapat melihat daftar lengkap layanan yang mendukung kunci Cloud EKM.
Anda dapat mempelajari pertimbangan dan batasan saat menggunakan Cloud EKM.
Kunci eksternal yang dikelola secara manual
Bagian ini memberikan ringkasan luas tentang cara kerja Cloud EKM dengan kunci eksternal yang dikelola secara manual.
- Anda membuat atau menggunakan kunci yang sudah ada dalam sistem partner pengelolaan kunci eksternal yang didukung. Kunci ini memiliki URI atau jalur kunci yang unik.
- Anda memberi project Google Cloud akses untuk menggunakan kunci tersebut, di sistem partner pengelolaan kunci eksternal.
- Di project Google Cloud, Anda membuat versi kunci Cloud EKM, menggunakan URI atau jalur kunci untuk kunci yang dikelola secara eksternal.
- Operasi pemeliharaan seperti rotasi kunci harus dikelola secara manual antara EKM dan Cloud EKM. Misalnya, operasi rotasi versi kunci atau penghancuran versi kunci harus diselesaikan secara langsung di EKM dan di Cloud KMS.
Dalam Google Cloud, kunci tersebut muncul bersama kunci Cloud KMS dan Cloud HSM Anda yang lain, dengan level perlindungan EXTERNAL
atau EXTERNAL_VPC
. Kunci Cloud EKM dan kunci partner pengelolaan kunci eksternal bekerja sama untuk melindungi data Anda. Materi kunci eksternal
tidak pernah diekspos ke Google.
Kunci eksternal terkoordinasi
Bagian ini memberikan ringkasan tentang cara kerja Cloud EKM dengan kunci eksternal yang terkoordinasi.
Anda menyiapkan EKM melalui koneksi VPC, dan menetapkan mode pengelolaan EKM ke Cloud KMS. Selama penyiapan, Anda harus mengizinkan EKM untuk mengakses jaringan VPC dan mengizinkan akun layanan project Google Cloud untuk mengakses ruang kripto di EKM. Koneksi EKM Anda menggunakan nama host EKM dan jalur ruang kripto yang mengidentifikasi resource dalam EKM Anda.
Anda membuat kunci eksternal di Cloud KMS. Saat Anda membuat kunci Cloud EKM menggunakan EKM melalui koneksi VPC dengan mode pengelolaan EKM Cloud KMS yang diaktifkan, langkah-langkah berikut akan terjadi secara otomatis:
- Cloud EKM mengirimkan permintaan pembuatan kunci ke EKM Anda.
- EKM Anda akan membuat materi kunci yang diminta. Materi kunci eksternal ini tetap berada dalam EKM dan tidak pernah dikirim ke Google.
- EKM Anda akan menampilkan jalur kunci ke Cloud EKM.
- Cloud EKM membuat versi kunci Cloud EKM menggunakan jalur kunci yang disediakan oleh EKM Anda.
Operasi pemeliharaan pada kunci eksternal yang terkoordinasi dapat dimulai dari Cloud KMS. Misalnya, kunci eksternal terkoordinasi yang digunakan untuk enkripsi simetris dapat otomatis dirotasi sesuai jadwal yang ditetapkan. Pembuatan versi kunci baru dikoordinasikan dalam EKM oleh Cloud EKM. Anda juga dapat memicu pembuatan atau penghancuran versi kunci di EKM dari Cloud KMS menggunakan konsol Google Cloud, gcloud CLI, Cloud KMS API, atau library klien Cloud KMS.
Dalam Google Cloud, kunci tersebut muncul bersama kunci Cloud KMS dan Cloud HSM Anda yang lain, dengan level perlindungan EXTERNAL_VPC
. Kunci Cloud EKM dan kunci partner pengelolaan kunci eksternal bekerja sama untuk melindungi data Anda. Materi kunci eksternal tidak pernah ditampilkan ke
Google.
Pengelolaan kunci EKM dari Cloud KMS
Kunci eksternal terkoordinasi dapat dilakukan oleh EKM melalui koneksi VPC yang menggunakan pengelolaan kunci EKM dari Cloud KMS. Jika EKM mendukung bidang kontrol Cloud EKM, Anda dapat mengaktifkan pengelolaan kunci EKM dari Cloud KMS untuk EKM melalui koneksi VPC guna membuat kunci eksternal yang terkoordinasi. Dengan mengaktifkan pengelolaan kunci EKM dari Cloud KMS, Cloud EKM dapat meminta perubahan berikut pada EKM Anda:
Buat kunci: Saat Anda membuat kunci yang dikelola secara eksternal di Cloud KMS menggunakan EKM yang kompatibel melalui koneksi VPC, Cloud EKM akan mengirimkan permintaan pembuatan kunci ke EKM Anda. Jika berhasil, EKM Anda akan membuat kunci dan materi kunci baru, lalu menampilkan jalur kunci yang akan digunakan Cloud EKM untuk mengakses kunci tersebut.
Merotasi kunci: Saat Anda merotasi kunci yang dikelola secara eksternal di Cloud KMS menggunakan EKM yang kompatibel melalui koneksi VPC, Cloud EKM akan mengirimkan permintaan rotasi ke EKM Anda. Setelah berhasil, EKM Anda akan membuat materi kunci baru dan menampilkan jalur kunci untuk Cloud EKM yang akan digunakan untuk mengakses versi kunci baru.
Menghancurkan kunci: Saat Anda menghancurkan versi kunci untuk kunci yang dikelola secara eksternal di Cloud KMS menggunakan EKM yang kompatibel melalui koneksi VPC, Cloud KMS menjadwalkan versi kunci untuk dihancurkan di Cloud KMS. Jika versi kunci tidak dipulihkan sebelum periode dijadwalkan untuk pemusnahan berakhir, Cloud EKM akan menghancurkan bagiannya dari materi kriptografi kunci dan mengirimkan permintaan pemusnahan ke EKM Anda.
Data yang dienkripsi dengan versi kunci ini tidak dapat didekripsi setelah versi kunci dihancurkan di Cloud KMS, meskipun EKM belum menghancurkan versi kunci tersebut. Anda dapat mengetahui apakah EKM berhasil menghancurkan versi kunci dengan melihat detail kunci tersebut di Cloud KMS.
Jika kunci dalam EKM dikelola dari Cloud KMS, materi kunci tersebut masih berada di EKM Anda. Google tidak dapat membuat permintaan pengelolaan kunci ke EKM tanpa izin eksplisit. Google tidak dapat mengubah izin atau kebijakan Key Access Justifications di sistem partner pengelolaan kunci eksternal Anda. Jika Anda mencabut izin Google pada EKM Anda, operasi pengelolaan kunci yang dicoba di Cloud KMS akan gagal.
Kompatibilitas
Pengelola kunci yang didukung
Anda dapat menyimpan kunci eksternal dalam sistem partner pengelolaan kunci eksternal berikut:
Layanan yang mendukung CMEK dengan Cloud EKM
Layanan berikut mendukung integrasi dengan Cloud KMS untuk kunci eksternal (Cloud EKM):
- AlloyDB untuk PostgreSQL
- Artifact Registry
- Pencadangan untuk GKE
- BigQuery
- Bigtable
- Cloud Composer
- Cloud Data Fusion
- Cloud Functions
- Cloud Logging: Data di Router Log dan Data di penyimpanan Logging
- Cloud Run
- Cloud SQL
- Cloud Storage
- Cloud Tasks
- Cloud Workstations
- Compute Engine: Persistent disk , Snapshot , Image kustom , dan Image mesin
- Insight Contact Center AI
- Database Migration Service: Migrasi MySQL - data yang ditulis ke database , Migrasi PostgreSQL - Data yang ditulis ke database , Migrasi PostgreSQL ke AlloyDB - Data yang ditulis ke database , dan Oracle ke data PostgreSQL dalam penyimpanan
- Dataflow
- Dataproc: Data cluster Dataproc di disk VM dan Data serverless Dataproc di disk VM
- Dataproc Metastore
- Document AI
- Eventarc
- Filestore
- Firestore (Pratinjau)
- Google Distributed Cloud Edge
- Google Kubernetes Engine: Data di disk VM dan Rahasia lapisan aplikasi
- Looker (Google Cloud core)
- Memorystore for Redis
- Migrate to Virtual Machines (Pratinjau): Data dimigrasikan dari sumber VMware , Data yang dimigrasikan dari sumber AWS , Data yang dimigrasikan dari sumber Azure , Dimigrasikan disk , dan VM yang dimigrasi
- Pub/Sub
- Secret Manager
- Pengelola Sumber Aman
- Spanner
- ID Pembicara (GA Terbatas)
- Speech-to-Text
- Vertex AI
- Instance Vertex AI Workbench
- Workflows
Pertimbangan
Saat Anda menggunakan kunci Cloud EKM, Google tidak memiliki kontrol atas ketersediaan kunci yang dikelola secara eksternal di sistem partner pengelolaan kunci eksternal. Jika Anda kehilangan kunci yang Anda kelola di luar Google Cloud, Google tidak dapat memulihkan data Anda.
Tinjau panduan tentang region dan partner pengelolaan kunci eksternal saat memilih lokasi untuk kunci Cloud EKM.
Berkomunikasi dengan layanan eksternal melalui internet dapat menyebabkan masalah terkait keandalan, ketersediaan, dan latensi. Untuk aplikasi yang memiliki toleransi rendah terhadap jenis risiko ini, pertimbangkan untuk menggunakan Cloud HSM atau Cloud KMS untuk menyimpan materi kunci Anda.
Jika kunci eksternal tidak tersedia, Cloud KMS akan menampilkan error
FAILED_PRECONDITION
dan memberikan detail dalam detail errorPreconditionFailure
.Aktifkan logging audit data untuk menyimpan catatan semua error yang terkait dengan Cloud EKM. Pesan error berisi informasi mendetail untuk membantu menentukan sumber error. Contoh error yang umum adalah saat partner pengelolaan kunci eksternal tidak merespons permintaan dalam jangka waktu yang wajar.
Anda memerlukan kontrak dukungan dengan partner pengelolaan kunci eksternal. Dukungan Google Cloud hanya dapat membantu mengatasi masalah di layanan Google Cloud dan tidak dapat langsung membantu mengatasi masalah di sistem eksternal. Terkadang, Anda harus bekerja sama dengan dukungan dari kedua belah pihak untuk memecahkan masalah interoperabilitas.
Cloud EKM dapat digunakan dengan Bare Metal Rack HSM untuk membuat solusi HSM tenant tunggal yang terintegrasi dengan Cloud KMS. Untuk mempelajari lebih lanjut, pilih partner Cloud EKM yang mendukung HSM tenant tunggal dan tinjau persyaratan untuk HSM Bare Metal Rack.
Aktifkan logging audit di pengelola kunci eksternal Anda untuk mencatat akses dan penggunaan ke kunci EKM Anda.
Pembatasan
- Rotasi otomatis tidak didukung.
- Saat Anda membuat kunci Cloud EKM menggunakan API atau Google Cloud CLI, kunci tersebut tidak boleh memiliki versi kunci awal. Hal ini tidak berlaku untuk kunci Cloud EKM yang dibuat menggunakan Konsol Google Cloud.
- Operasi Cloud EKM tunduk pada kuota tertentu selain kuota pada operasi Cloud KMS.
Kunci enkripsi simetris
- Kunci enkripsi simetris hanya didukung untuk hal berikut:
- Kunci enkripsi yang dikelola pelanggan (CMEK) di layanan integrasi yang didukung.
- Enkripsi dan dekripsi simetris menggunakan Cloud KMS secara langsung.
- Data yang dienkripsi oleh Cloud EKM menggunakan kunci yang dikelola secara eksternal tidak dapat didekripsi tanpa menggunakan Cloud EKM.
Kunci penandatanganan asimetris
- Kunci penandatanganan asimetris terbatas pada subset algoritma Cloud KMS.
- Kunci penandatanganan asimetris hanya didukung untuk:
- Setelah algoritma penandatanganan asimetris ditetapkan pada kunci Cloud EKM, algoritma tersebut tidak dapat diubah.
- Penandatanganan harus dilakukan di kolom
data
.
Pengelola dan region utama eksternal
Cloud EKM harus dapat menjangkau kunci Anda dengan cepat untuk menghindari error. Saat membuat kunci Cloud EKM, pilih lokasi Google Cloud yang secara geografis dekat dengan lokasi kunci partner pengelolaan kunci eksternal. Lihat dokumentasi partner untuk mengetahui detail tentang ketersediaan lokasi partner tersebut.
- Cloud EKM melalui internet: tersedia di lokasi Google Cloud mana pun yang didukung untuk Cloud KMS, kecuali untuk
global
dannam-eur-asia1
. - Cloud EKM melalui VPC: hanya tersedia di lokasi regional yang didukung untuk Cloud KMS
Lihat dokumentasi partner pengelolaan kunci eksternal Anda untuk menentukan lokasi mana yang mereka dukung.
Penggunaan multi-region
Saat Anda menggunakan kunci yang dikelola secara eksternal dengan multi-region, metadata kunci akan tersedia di beberapa pusat data dalam multi-region. Metadata ini menyertakan informasi yang diperlukan untuk berkomunikasi dengan partner pengelolaan kunci eksternal. Jika aplikasi Anda gagal berpindah dari satu pusat data ke pusat data lainnya dalam multi-region, pusat data yang baru akan memulai permintaan kunci. Pusat data baru mungkin memiliki karakteristik jaringan yang berbeda dari pusat data sebelumnya, termasuk jarak dari partner pengelolaan kunci eksternal dan kemungkinan waktu tunggu. Sebaiknya hanya gunakan multi-region dengan Cloud EKM jika pengelola kunci eksternal yang Anda pilih menyediakan latensi rendah ke semua area dari multi-region tersebut.
EKM yang dikelola partner
EKM yang dikelola partner memungkinkan Anda menggunakan Cloud EKM melalui partner berdaulat tepercaya yang mengelola sistem EKM untuk Anda. Dengan EKM yang dikelola partner, partner Anda akan membuat dan mengelola kunci yang digunakan di Cloud EKM. Partner memastikan bahwa EKM Anda mematuhi persyaratan kedaulatan.
Saat Anda mengaktivasi partner berdaulat Anda, partner tersebut akan menyediakan resource di Google Cloud dan EKM Anda. Resource ini mencakup project Cloud KMS untuk mengelola kunci EKM Cloud dan EKM melalui koneksi VPC yang dikonfigurasi untuk pengelolaan kunci EKM dari Cloud KMS. Partner Anda membuat resource di lokasi Google Cloud sesuai dengan persyaratan residensi data Anda.
Setiap kunci Cloud EKM mencakup metadata Cloud KMS, yang memungkinkan Cloud EKM mengirim permintaan ke EKM untuk melakukan operasi kriptografi menggunakan materi kunci eksternal yang tidak pernah meninggalkan EKM Anda. Kunci EKM Cloud simetris juga mencakup materi kunci internal Cloud KMS yang tidak pernah keluar dari Google Cloud. Untuk informasi selengkapnya tentang sisi internal dan eksternal kunci Cloud EKM, lihat Cara kerja Cloud EKM di halaman ini.
Untuk mengetahui informasi selengkapnya tentang EKM yang dikelola partner, lihat Mengonfigurasi Cloud KMS yang dikelola partner.
Memantau penggunaan Cloud EKM
Anda dapat menggunakan Cloud Monitoring untuk memantau koneksi EKM. Metrik berikut dapat membantu Anda memahami penggunaan EKM:
cloudkms.googleapis.com/ekm/external/request_latencies
cloudkms.googleapis.com/ekm/external/request_count
Untuk informasi selengkapnya tentang metrik ini, lihat metrik cloudkms. Anda dapat membuat dasbor untuk melacak metrik ini. Untuk mempelajari cara menyiapkan dasbor guna memantau koneksi EKM, lihat Memantau penggunaan EKM.
Mendapatkan dukungan
Jika Anda mengalami masalah dengan Cloud EKM, hubungi Dukungan.
Langkah selanjutnya
Buat koneksi EKM untuk menggunakan EKM melalui VPC.
Mulai menggunakan API.
Baca Referensi API Cloud KMS.
Pelajari Logging di Cloud KMS. Logging didasarkan pada operasi, dan berlaku untuk kunci dengan tingkat perlindungan software dan HSM.
Lihat Arsitektur referensi untuk deployment layanan Cloud EKM yang andal guna mendapatkan rekomendasi tentang cara mengonfigurasi deployment layanan External Key Manager (EKM) yang terintegrasi dengan Cloud EKM.