Autokey Cloud KMS menyederhanakan pembuatan dan penggunaan kunci enkripsi yang dikelola pelanggan (CMEK) dengan mengotomatiskan penyediaan dan penetapan. Dengan Autokey, key ring dan kunci dibuat sesuai permintaan. Akun layanan yang menggunakan kunci untuk mengenkripsi dan mendekripsi resource dibuat dan diberi peran Identity and Access Management (IAM) jika diperlukan. Administrator Cloud KMS mempertahankan kontrol dan visibilitas penuh ke kunci yang dibuat oleh Autokey, tanpa perlu merencanakan dan membuat setiap resource terlebih dahulu.
Menggunakan kunci yang dihasilkan oleh Autokey dapat membantu Anda secara konsisten menyesuaikan dengan standar industri dan praktik yang direkomendasikan untuk keamanan data, termasuk tingkat perlindungan HSM, pemisahan tugas, rotasi kunci, lokasi, dan spesifikasi kunci. Autokey membuat kunci yang mengikuti panduan umum dan panduan khusus untuk jenis resource untuk layanan Google Cloud yang terintegrasi dengan Autokey Cloud KMS. Setelah dibuat, kunci yang diminta menggunakan fungsi Kunci Otomatis akan identik dengan kunci Cloud HSM lainnya dengan setelan yang sama.
Autokey juga dapat menyederhanakan penggunaan Terraform untuk pengelolaan kunci, sehingga Anda tidak perlu menjalankan infrastruktur sebagai kode dengan hak istimewa pembuatan kunci yang ditingkatkan.
Untuk menggunakan Autokey, Anda harus memiliki resource organisasi yang berisi resource folder. Untuk informasi selengkapnya tentang resource organisasi dan folder, lihat Hierarki resource.
Cloud KMS Autokey tersedia di semua lokasi Google Cloud tempat Cloud HSM tersedia. Untuk mengetahui informasi selengkapnya tentang lokasi Cloud KMS, lihat lokasi Cloud KMS. Tidak ada biaya tambahan untuk menggunakan Kunci Otomatis Cloud KMS. Kunci yang dibuat menggunakan Autokey memiliki harga yang sama dengan kunci Cloud HSM lainnya. Untuk mengetahui informasi selengkapnya tentang harga, lihat Harga Cloud Key Management Service.
Untuk mengetahui informasi selengkapnya tentang Kunci Otomatis, lihat Ringkasan Kunci Otomatis.
Memilih antara Autokey dan opsi enkripsi lainnya
Cloud KMS dengan Autokey seperti autopilot untuk kunci enkripsi yang dikelola pelanggan: layanan ini melakukan tugas atas nama Anda, sesuai permintaan. Anda tidak perlu merencanakan kunci terlebih dahulu atau membuat kunci yang mungkin tidak pernah diperlukan. Kunci dan penggunaan kunci konsisten. Anda dapat menentukan folder tempat Anda ingin Autokey digunakan dan mengontrol siapa yang dapat menggunakannya. Anda mempertahankan kontrol penuh atas kunci yang dibuat oleh Autokey. Anda dapat menggunakan kunci Cloud KMS yang dibuat secara manual bersama dengan kunci yang dibuat menggunakan Autokey. Anda dapat menonaktifkan Autokey dan terus menggunakan kunci yang dibuatnya dengan cara yang sama seperti Anda menggunakan kunci Cloud KMS lainnya.
Kunci Otomatis Cloud KMS adalah pilihan yang tepat jika Anda menginginkan penggunaan kunci yang konsisten di seluruh project, dengan overhead operasional yang rendah, dan ingin mengikuti rekomendasi kunci Google.
| Fitur atau kemampuan | Enkripsi default Google | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| Isolasi kriptografis: kunci bersifat eksklusif untuk akun satu pelanggan | Tidak | Ya | Ya |
| Pelanggan memiliki dan mengontrol kunci | Tidak | Ya | Ya |
| Developer memicu penyediaan dan penetapan kunci | Ya | Tidak | Ya |
| Spesifitas: kunci dibuat secara otomatis pada tingkat perincian kunci yang direkomendasikan | Tidak | Tidak | Ya |
| Memungkinkan Anda menghancurkan data secara kriptografis | Tidak | Ya | Ya |
| Secara otomatis selaras dengan praktik pengelolaan kunci enkripsi yang direkomendasikan | Tidak | Tidak | Ya |
| Menggunakan kunci yang didukung HSM dan mematuhi FIPS 140-2 Level 3 | Tidak | Opsional | Ya |
Jika perlu menggunakan tingkat perlindungan selain HSM atau periode rotasi kustom,
Anda dapat menggunakan CMEK tanpa Autokey.
Layanan yang kompatibel
Tabel berikut mencantumkan layanan yang kompatibel dengan Cloud KMS Autokey:
| Layanan | Resource yang dilindungi | Perincian kunci |
|---|---|---|
| Cloud Storage |
Objek dalam
bucket penyimpanan menggunakan kunci default bucket. Autokey tidak membuat
kunci untuk resource |
Satu kunci per bucket |
| Compute Engine |
Snapshot menggunakan kunci untuk disk yang snapshot-nya Anda buat.
Autokey tidak membuat kunci untuk resource |
Satu kunci per resource |
| BigQuery |
Autokey membuat kunci default untuk set data. Tabel, model, kueri, dan tabel sementara dalam set data menggunakan kunci default set data. Kunci otomatis tidak membuat kunci untuk resource BigQuery selain set data. Untuk melindungi resource yang bukan bagian dari set data, Anda harus membuat kunci default Anda sendiri di tingkat project atau organisasi. |
Satu kunci per resource |
| Secret Manager |
Secret Manager hanya kompatibel dengan Autokey Cloud KMS saat membuat resource menggunakan Terraform atau REST API. |
Satu kunci per lokasi dalam project |
| Cloud SQL |
Autokey tidak membuat kunci untuk resource Cloud SQL hanya kompatibel dengan Autokey Cloud KMS saat membuat resource menggunakan Terraform atau REST API. |
Satu kunci per resource |
| Spanner |
Spanner hanya kompatibel dengan Autokey Cloud KMS saat membuat resource menggunakan Terraform atau REST API. |
Satu kunci per resource |
Langkah selanjutnya
- Untuk mempelajari lebih lanjut cara kerja Kunci Otomatis Cloud KMS, lihat Ringkasan kunci otomatis.