Tentang Cloud KMS
Apa itu Cloud KMS? Apa kegunaannya?
Cloud Key Management Service (Cloud KMS) adalah key management service yang dihosting di cloud yang memungkinkan Anda mengelola enkripsi untuk layanan cloud seperti saat Anda mengelolanya di infrastruktur lokal. Anda dapat membuat, menggunakan, merotasi, dan menghancurkan kunci kriptografi. Cloud KMS terintegrasi dengan Identity and Access Management (IAM) dan Cloud Audit Logs sehingga Anda dapat mengelola izin pada masing-masing kunci, dan memantau cara penggunaannya.
Dapatkah saya menyimpan secret?
Cloud KMS menyimpan kunci dan metadata tentang kunci, dan tidak memiliki API penyimpanan data umum. Secret Manager direkomendasikan untuk menyimpan dan mengakses data sensitif yang akan digunakan di Google Cloud.
Apakah ada SLA?
Ya, lihat Perjanjian Tingkat Layanan Cloud KMS.
Bagaimana cara memberikan masukan produk?
Hubungi tim engineering di cloudkms-feedback@google.com.
Bagaimana cara memberikan masukan terkait dokumentasi?
Saat melihat dokumentasi Cloud KMS, klik Kirim masukan di dekat bagian kanan atas halaman. Formulir masukan akan terbuka.
Jika saya memerlukan bantuan, apa opsi saya?
Kami mengundang pengguna untuk memposting pertanyaan mereka di Stack Overflow. Bersama dengan komunitas Stack Overflow yang aktif, tim kami secara aktif memantau postingan Stack Overflow dan menjawab pertanyaan dengan tag google-cloud-kms.
Kami juga menawarkan berbagai tingkat dukungan, bergantung pada kebutuhan Anda. Untuk opsi dukungan tambahan, lihat Paket Dukungan Google Cloud.
Apakah Cloud KMS memiliki kuota?
Ya. Untuk informasi tentang kuota, termasuk melihat atau meminta kuota tambahan, lihat Kuota Cloud KMS.
Tidak ada batasan jumlah kunci, key ring, atau versi kunci. Selain itu, tidak ada batasan jumlah kunci per key ring dan versi kunci per kunci.
Di negara mana saya dapat menggunakan Cloud KMS?
Anda dapat menggunakan Cloud KMS di negara mana pun tempat layanan Google Cloud didukung.
Kunci
Jenis kunci apa yang dihasilkan Cloud KMS?
Lihat Tujuan utama dan algoritma.
Apakah kunci disimpan di HSM?
Kunci dengan tingkat perlindungan HSM disimpan dalam modul keamanan hardware (HSM).
Kunci dengan tingkat perlindungan SOFTWARE disimpan dalam software.
Kunci yang didukung HSM tidak pernah ada di luar HSM.
Standar apa yang dipatuhi kunci tersebut?
Kunci yang dihasilkan di Cloud KMS dan operasi kriptografis yang dilakukan dengan kunci tersebut mematuhi publikasi Federal Information Processing Standard (FIPS) Keamanan persyaratan untuk modul kriptografis 140-2.
Kunci yang dibuat dengan level perlindungan
SOFTWARE, dan operasi kriptografis yang dilakukan dengannya, mematuhi FIPS 140-2 Level 1.Kunci yang dibuat dengan level perlindungan
HSM, dan operasi kriptografis yang dilakukan dengan kunci tersebut, mematuhi FIPS 140-2 Level 3.Untuk kunci yang dibuat di luar Cloud KMS, lalu diimpor, pelanggan yang memiliki persyaratan FIPS bertanggung jawab untuk memastikan bahwa kunci mereka dibuat dengan cara yang sesuai dengan FIPS.
Bagaimana materi kunci dibuat?
Kunci yang dilindungi software Cloud KMS dihasilkan menggunakan library kriptografi umum Google menggunakan generator angka acak (RNG) yang dibuat oleh Google. Kunci yang dilindungi HSM dibuat dengan aman oleh HSM, yang telah divalidasi untuk memenuhi FIPS 140-2 Level 3.
Library mana yang digunakan untuk membuat materi kunci?
Kunci Cloud KMS dihasilkan menggunakan library kriptografi umum Google yang menerapkan algoritma kriptografi menggunakan BoringSSL. Untuk mengetahui informasi selengkapnya, lihat Library kriptografi umum Google.
Apakah kunci dibatasi ke lokasi geografis?
Kunci termasuk dalam region, tetapi tidak dibatasi pada region tersebut. Untuk mengetahui informasi selengkapnya, lihat Lokasi Cloud KMS.
Dapatkah saya menghapus kunci secara otomatis?
Tidak.
Dapatkah saya memutar kunci secara otomatis?
Untuk kunci yang digunakan untuk enkripsi simetris, ya. Lihat Rotasi otomatis: Menetapkan periode rotasi untuk kunci.
Untuk kunci yang digunakan untuk enkripsi asimetris atau penandatanganan asimetris, tidak. Untuk mempelajari lebih lanjut, lihat Pertimbangan untuk rotasi kunci asimetris.
Apakah rotasi kunci mengenkripsi ulang data? Jika tidak, mengapa?
Rotasi kunci tidak otomatis mengenkripsi ulang data. Saat Anda mendekripsi data, Cloud KMS mengetahui versi kunci mana yang akan digunakan untuk dekripsi. Selama versi kunci tidak dinonaktifkan atau dihancurkan, Cloud KMS dapat mendekode data yang dilindungi dengan kunci tersebut.
Mengapa saya tidak dapat menghapus kunci atau key ring?
Untuk mencegah konflik nama resource, key ring dan resource kunci TIDAK DAPAT dihapus. Versi kunci juga tidak dapat dihapus, tetapi materi versi kunci dapat dihancurkan sehingga resource tidak dapat digunakan lagi. Untuk informasi selengkapnya, lihat Masa aktif objek. Penagihan didasarkan pada jumlah versi kunci aktif; jika Anda menghancurkan semua materi versi kunci aktif, tidak ada biaya untuk ring kunci, kunci, dan versi kunci yang tersisa.
Dapatkah saya mengekspor kunci?
Tidak. Kunci tidak dapat diekspor dari Cloud KMS karena desainnya. Semua enkripsi dan dekripsi dengan kunci ini harus dilakukan dalam Cloud KMS. Hal ini membantu mencegah kebocoran dan penyalahgunaan, serta memungkinkan Cloud KMS mengeluarkan jejak audit saat kunci digunakan.
Dapatkah saya mengimpor kunci?
Ya. Anda hanya dapat mengimpor ke kunci dengan tingkat perlindungan HSM atau SOFTWARE.
Untuk mengetahui informasi selengkapnya, lihat Mengimpor kunci.
Selain Cloud KMS, produk berikut mendukung fungsi Kunci Enkripsi yang Disediakan Pelanggan (CSEK).
| Produk | Topik CSEK |
|---|---|
| Compute Engine | Mengenkripsi Disk dengan Kunci Enkripsi yang Disediakan Pelanggan |
| Cloud Storage | Menggunakan Kunci Enkripsi yang Disediakan Pelanggan |
Berapa lama setelah saya menghancurkan versi kunci, saya dapat mendapatkannya kembali?
Setelah menjadwalkan pemusnahan versi kunci, Anda memiliki jangka waktu default selama 30 hari sebelum versi kunci benar-benar dihancurkan. Jangka waktu sebelum versi kunci dihancurkan dapat dikonfigurasi. Selama waktu tersebut, jika perlu, Anda dapat memulihkan versi kunci.
Dapatkah saya mengubah periode sebelum kunci terjadwal dihancurkan?
Ya, Anda dapat mengonfigurasi durasi waktu sebelum kunci dihancurkan. Perhatikan bahwa Anda hanya dapat menetapkan durasi pada waktu pembuatan kunci.
Saat saya membuat perubahan pada kunci, seberapa cepat perubahan tersebut diterapkan?
Beberapa operasi ke resource Cloud KMS sangat konsisten, sementara operasi lainnya memiliki konsistensi tertunda dan mungkin memerlukan waktu hingga 3 jam untuk diterapkan. Untuk mengetahui detail selengkapnya, lihat Konsistensi resource Cloud KMS.
Mengapa kunci saya dalam status PENDING_GENERATION?
Karena biaya CPU untuk membuat materi kunci, pembuatan versi kunci enkripsi asimetris atau penandatanganan asimetris mungkin memerlukan waktu beberapa menit. Versi kunci yang dilindungi oleh modul keamanan hardware (HSM) juga memerlukan waktu tertentu. Saat versi kunci yang baru dibuat sudah siap, statusnya akan otomatis berubah menjadi AKTIF.
Otorisasi dan autentikasi
Bagaimana cara mengautentikasi ke Cloud KMS API?
Cara klien melakukan autentikasi dapat sedikit bervariasi, bergantung pada platform tempat kode berjalan. Untuk mengetahui detailnya, lihat Mengakses API.
Peran IAM apa yang harus saya gunakan?
Untuk menerapkan prinsip hak istimewa terendah, pastikan akun pengguna dan layanan di organisasi Anda hanya memiliki izin yang diperlukan untuk menjalankan fungsi yang dimaksud. Untuk mengetahui informasi selengkapnya, lihat Pemisahan tugas.
Seberapa cepat izin IAM dihapus?
Penghapusan izin akan diterapkan dalam waktu kurang dari satu jam.
Lain-lain
Apa yang dimaksud dengan data terautentikasi tambahan, dan kapan saya akan menggunakannya?
Data terautentikasi tambahan (AAD) adalah string apa pun yang Anda teruskan ke Cloud KMS sebagai bagian dari permintaan enkripsi atau dekripsi. Fungsi ini digunakan sebagai pemeriksaan integritas dan dapat membantu melindungi data Anda dari serangan deputy yang bingung. Untuk informasi selengkapnya, lihat Data terautentikasi tambahan.
Apakah log akses data diaktifkan secara default? Bagaimana cara mengaktifkan log akses data?
Log akses data tidak diaktifkan secara default. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan log akses data.
Apa hubungan kunci Cloud KMS dengan kunci akun layanan?
Kunci akun layanan digunakan untuk autentikasi layanan ke layanan dalam Google Cloud. Kunci akun layanan tidak terkait dengan kunci Cloud KMS.
Bagaimana hubungan kunci Cloud KMS dengan kunci API?
Kunci API adalah string terenkripsi sederhana yang dapat digunakan saat memanggil API tertentu yang tidak memerlukan akses ke data pengguna pribadi. Kunci API melacak permintaan API yang terkait dengan project Anda untuk kuota dan penagihan. Kunci API tidak terkait dengan kunci Cloud KMS.
Apakah Anda memiliki detail tambahan tentang HSM yang digunakan oleh Cloud HSM?
Semua perangkat HSM diproduksi oleh Marvell (sebelumnya Cavium). Sertifikat FIPS untuk perangkat tersedia di situs NIST.