Tentang Cloud KMS
Apa itu Cloud KMS? Apa kegunaannya?
Cloud Key Management Service (Cloud KMS) adalah key management service yang dihosting di cloud dan dapat Anda gunakan untuk mengelola enkripsi untuk layanan cloud seperti saat Anda mengelolanya di infrastruktur lokal. Anda dapat menghasilkan, menggunakan, merotasi, dan menghancurkan kunci kriptografis. Cloud KMS terintegrasi dengan Identity and Access Management (IAM) dan Cloud Audit Logs sehingga Anda dapat mengelola izin pada setiap kunci dan memantau cara penggunaannya.
Bisakah saya menyimpan secret?
Cloud KMS menyimpan kunci dan metadata tentang kunci, dan tidak memiliki API penyimpanan data umum. Secret Manager direkomendasikan untuk menyimpan dan mengakses data sensitif untuk digunakan di Google Cloud.
Apakah ada SLA?
Ya, lihat Perjanjian Tingkat Layanan Cloud KMS.
Bagaimana cara memberikan masukan produk?
Hubungi tim engineer di cloudkms-feedback@google.com.
Bagaimana cara memberikan masukan terkait dokumentasi?
Saat melihat dokumentasi Cloud KMS, klik Send feedback di dekat bagian kanan atas halaman. Formulir masukan akan terbuka.
Jika saya memerlukan bantuan, apa opsi yang saya miliki?
Kami mengundang pengguna untuk memposting pertanyaan mereka di Stack Overflow. Bersama dengan komunitas Stack Overflow yang aktif, tim kami secara aktif memantau postingan Stack Overflow dan menjawab pertanyaan dengan tag google-cloud-kms.
Kami juga menawarkan berbagai tingkat dukungan sesuai kebutuhan Anda. Untuk opsi dukungan tambahan, lihat Paket Dukungan Google Cloud.
Apakah Cloud KMS memiliki kuota?
Ya. Untuk mengetahui informasi tentang kuota, termasuk melihat atau meminta kuota tambahan, lihat Kuota Cloud KMS.
Tidak ada batasan jumlah kunci, key ring, atau versi kunci. Selain itu, tidak ada batasan jumlah kunci per key ring dan versi kunci per kunci.
Di negara mana saya dapat menggunakan Cloud KMS?
Anda dapat menggunakan Cloud KMS di negara mana pun tempat layanan Google Cloud didukung.
Kunci
Jenis kunci apa yang dihasilkan Cloud KMS?
Lihat Tujuan dan algoritma utama.
Apakah kunci disimpan di HSM?
Kunci dengan tingkat perlindungan HSM disimpan dalam modul keamanan hardware
(HSM).
Kunci dengan level perlindungan SOFTWARE disimpan dalam software.
Kunci yang didukung HSM tidak pernah ada di luar HSM.
Standar apa yang dipatuhi oleh kunci tersebut?
Kunci yang dihasilkan di Cloud KMS dan operasi kriptografi yang dilakukan dengan kunci tersebut mematuhi Persyaratan keamanan untuk modul kriptografi 140-2 dalam publikasi Federal Information Processing Standard (FIPS).
Kunci yang dibuat dengan level perlindungan
SOFTWARE, dan operasi kriptografi yang dilakukan dengan kunci tersebut, mematuhi FIPS 140-2 Level 1.Kunci yang dibuat dengan level perlindungan
HSM, dan operasi kriptografi yang dilakukan dengannya, mematuhi FIPS 140-2 Level 3.Untuk kunci yang dihasilkan di luar Cloud KMS lalu diimpor, pelanggan yang memiliki persyaratan FIPS bertanggung jawab untuk memastikan bahwa kunci mereka dihasilkan dengan cara yang mematuhi FIPS.
Bagaimana materi kunci dihasilkan?
Kunci yang dilindungi software Cloud KMS dibuat menggunakan library kriptografi umum Google menggunakan generator angka acak (RNG) yang dibuat oleh Google. Kunci yang dilindungi HSM dihasilkan dengan aman oleh HSM, yang divalidasi untuk memenuhi FIPS 140-2 Level 3.
Library mana yang digunakan untuk menghasilkan materi kunci?
Kunci Cloud KMS dibuat menggunakan library kriptografi umum Google yang mengimplementasikan algoritma kriptografis menggunakan BoringSSL. Untuk informasi selengkapnya, lihat library kriptografi umum Google.
Apakah kunci dibatasi berdasarkan lokasi geografis?
Kunci berasal dari region, tetapi tidak dibatasi oleh region tersebut. Untuk mengetahui informasi selengkapnya, lihat lokasi Cloud KMS.
Dapatkah saya menghapus otomatis kunci?
Tidak.
Dapatkah saya memutar tombol secara otomatis?
Ya, untuk kunci yang digunakan untuk enkripsi simetris. Lihat Rotasi otomatis: Menyetel periode rotasi untuk kunci.
Tidak untuk kunci yang digunakan untuk enkripsi asimetris atau penandatanganan asimetris. Untuk mempelajari lebih lanjut, lihat Pertimbangan untuk rotasi kunci asimetris.
Apakah rotasi kunci mengenkripsi ulang data? Jika tidak, apa alasannya?
Rotasi kunci tidak otomatis mengenkripsi ulang data. Saat Anda mendekripsi data, Cloud KMS mengetahui versi kunci mana yang akan digunakan untuk dekripsi. Selama versi kunci tidak dinonaktifkan atau dihancurkan, Cloud KMS dapat mendekripsi data yang dilindungi dengan kunci tersebut.
Mengapa saya tidak dapat menghapus kunci atau key ring?
Untuk mencegah konflik nama resource, key ring dan resource kunci TIDAK dapat dihapus. Versi kunci juga tidak dapat dihapus, tetapi materi versi kunci dapat hancur sehingga resource tidak dapat digunakan lagi. Untuk mengetahui informasi selengkapnya, lihat Masa aktif objek. Penagihan didasarkan pada jumlah versi kunci aktif. Jika Anda menghancurkan semua materi versi kunci aktif, tidak akan ada biaya untuk key ring, kunci, dan versi kunci yang tersisa.
Dapatkah saya mengekspor kunci?
Tidak. Kunci tidak dapat diekspor dari Cloud KMS sesuai desain. Semua enkripsi dan dekripsi dengan kunci ini harus dilakukan di dalam Cloud KMS. Hal ini membantu mencegah kebocoran dan penyalahgunaan, serta memungkinkan Cloud KMS memunculkan jejak audit saat kunci digunakan.
Dapatkah saya mengimpor kunci?
Ya. Anda hanya dapat mengimpor ke kunci dengan tingkat perlindungan HSM atau SOFTWARE.
Untuk mengetahui informasi selengkapnya, lihat Mengimpor kunci.
Terlepas dari Cloud KMS, produk berikut mendukung fungsi Kunci Enkripsi yang Disediakan Pelanggan (CSEK).
| Produk | Topik CSEK |
|---|---|
| Compute Engine | Mengenkripsi Disk dengan Kunci Enkripsi yang Disediakan Pelanggan |
| Cloud Storage | Menggunakan Kunci Enkripsi yang Disediakan Pelanggan |
Berapa lama setelah saya menghancurkan versi kunci, saya bisa mendapatkannya kembali?
Setelah menjadwalkan pemusnahan versi kunci, Anda memiliki jangka waktu default 24 jam sebelum versi kunci tersebut benar-benar dihancurkan. Jangka waktu sebelum versi kunci dihancurkan dapat dikonfigurasi. Selama waktu tersebut, jika diperlukan, Anda dapat memulihkan versi kunci.
Dapatkah saya mengubah periode 24 jam sebelum kunci terjadwal dihancurkan?
Ya, Anda dapat configure durasi waktu sebelum kunci dihancurkan. Perhatikan bahwa Anda hanya dapat menetapkan durasi pada saat pembuatan kunci.
Saat saya membuat perubahan pada kunci, seberapa cepat perubahan tersebut diterapkan?
Beberapa operasi ke resource Cloud KMS memiliki konsistensi kuat, sedangkan operasi lainnya pada akhirnya konsisten dan mungkin memerlukan waktu hingga 3 jam untuk diterapkan. Untuk mengetahui detail selengkapnya, lihat Konsistensi resource Cloud KMS.
Mengapa kunci saya dalam status PENDING_GENERATION?
Karena biaya CPU untuk menghasilkan material kunci, pembuatan versi kunci penandatanganan asimetris atau enkripsi asimetris mungkin memerlukan waktu beberapa menit. Versi kunci yang dilindungi oleh modul keamanan hardware (HSM) juga memerlukan waktu. Ketika versi kunci yang baru dibuat sudah siap, statusnya akan otomatis berubah menjadi DIAKTIFKAN.
Otorisasi dan autentikasi
Bagaimana cara melakukan autentikasi ke Cloud KMS API?
Cara klien mengautentikasi dapat sedikit berbeda, tergantung pada platform tempat kode dijalankan. Untuk detailnya, lihat Mengakses API.
Peran IAM apa yang harus saya gunakan?
Untuk menerapkan prinsip hak istimewa terendah, pastikan bahwa akun pengguna dan akun layanan di organisasi Anda hanya memiliki izin yang penting untuk melakukan fungsi yang diinginkan. Untuk mengetahui informasi selengkapnya, lihat Memisahkan tugas.
Seberapa cepat izin IAM dihapus?
Penghapusan izin akan diterapkan dalam waktu kurang dari satu jam.
Lain-lain
Apa yang dimaksud dengan data tambahan yang diautentikasi, dan kapan saya akan menggunakannya?
Data terautentikasi tambahan (AAD) adalah string yang Anda teruskan ke Cloud KMS sebagai bagian dari permintaan enkripsi atau dekripsi. Alat ini digunakan sebagai pemeriksaan integritas dan dapat membantu melindungi data Anda dari serangan wakil yang membingungkan. Untuk informasi lebih lanjut, lihat Data yang diautentikasi tambahan.
Apakah log akses data diaktifkan secara default? Bagaimana cara mengaktifkan log akses data?
Log akses data tidak diaktifkan secara default. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan log akses data.
Apa hubungan kunci Cloud KMS dengan kunci akun layanan?
Kunci akun layanan digunakan untuk autentikasi antarlayanan dalam Google Cloud. Kunci akun layanan tidak terkait dengan kunci Cloud KMS.
Apa hubungan kunci Cloud KMS dengan kunci API?
Kunci API adalah string terenkripsi sederhana yang dapat digunakan saat memanggil API tertentu yang tidak memerlukan akses ke data pribadi pengguna. Kunci API melacak permintaan API yang terkait dengan project Anda untuk kuota dan penagihan. Kunci API tidak terkait dengan kunci Cloud KMS.
Apakah Anda memiliki informasi tambahan terkait HSM yang digunakan oleh Cloud HSM?
Semua perangkat HSM diproduksi oleh Marvell (sebelumnya Cavium). Sertifikat FIPS untuk perangkat tersedia di situs NIST.