Autokey Cloud KMS menyederhanakan pembuatan dan penggunaan kunci enkripsi yang dikelola pelanggan (CMEK) dengan mengotomatiskan penyediaan dan penetapan. Dengan Autokey, key ring dan kunci dibuat sesuai permintaan. Akun layanan yang menggunakan kunci untuk mengenkripsi dan mendekripsi resource dibuat dan diberi peran Identity and Access Management (IAM) jika diperlukan. Administrator Cloud KMS mempertahankan kontrol dan visibilitas penuh atas kunci yang dibuat oleh Autokey, tanpa perlu merencanakan dan membuat setiap resource terlebih dahulu.
Menggunakan kunci yang dibuat oleh Autokey dapat membantu Anda secara konsisten mematuhi standar industri dan praktik yang direkomendasikan untuk keamanan data, termasuk tingkat perlindungan HSM, pemisahan tugas, rotasi kunci, lokasi, dan spesifisitas kunci. Autokey membuat kunci yang mengikuti pedoman umum dan pedoman khusus untuk jenis resource bagi layanan Google Cloud yang terintegrasi dengan Autokey Cloud KMS. Setelah dibuat, kunci yang diminta menggunakan fungsi Autokey akan berfungsi sama seperti kunci Cloud HSM lainnya dengan setelan yang sama.
Autokey juga dapat menyederhanakan penggunaan Terraform untuk pengelolaan kunci, sehingga Anda tidak perlu menjalankan infrastruktur sebagai kode dengan hak istimewa pembuatan kunci yang lebih tinggi.
Untuk menggunakan Autokey, Anda harus memiliki resource organisasi yang berisi resource folder. Untuk mengetahui informasi selengkapnya tentang resource organisasi dan folder, lihat Hierarki resource.
Autokey Cloud KMS tersedia di semua Google Cloud lokasi tempat Cloud HSM tersedia. Untuk mengetahui informasi selengkapnya tentang lokasi Cloud KMS, lihat lokasi Cloud KMS. Tidak ada biaya tambahan untuk menggunakan Autokey Cloud KMS. Kunci yang dibuat menggunakan Autokey memiliki harga yang sama dengan kunci Cloud HSM lainnya. Untuk mengetahui informasi selengkapnya tentang harga, lihat Harga Cloud Key Management Service.
Untuk mengetahui informasi selengkapnya tentang Autokey, lihat Ringkasan Autokey.
Memilih antara Autokey dan opsi enkripsi lainnya
Cloud KMS dengan Autokey seperti autopilot untuk kunci enkripsi yang dikelola pelanggan: Cloud KMS melakukan pekerjaan atas nama Anda, sesuai permintaan. Anda tidak perlu merencanakan kunci sebelumnya atau membuat kunci yang mungkin tidak pernah diperlukan. Kunci dan penggunaan kunci konsisten. Anda dapat menentukan folder tempat Anda ingin Autokey digunakan dan mengontrol siapa yang dapat menggunakannya. Anda tetap memiliki kontrol penuh atas kunci yang dibuat oleh Autokey. Anda dapat menggunakan kunci Cloud KMS yang dibuat secara manual bersama dengan kunci yang dibuat menggunakan Autokey. Anda dapat menonaktifkan Autokey dan terus menggunakan kunci yang dibuatnya dengan cara yang sama seperti Anda menggunakan kunci Cloud KMS lainnya.
Kunci Otomatis Cloud KMS adalah pilihan yang tepat jika Anda menginginkan penggunaan kunci yang konsisten di seluruh project, dengan overhead operasional yang rendah, dan ingin mengikuti rekomendasi Google untuk kunci.
Fitur atau kemampuan | Enkripsi default Google | Cloud KMS | Autokey Cloud KMS |
---|---|---|---|
Isolasi kriptografi: kunci bersifat eksklusif untuk satu akun pelanggan | Tidak | Ya | Ya |
Pelanggan memiliki dan mengontrol kunci | Tidak | Ya | Ya |
Developer memicu penyediaan dan penetapan kunci | Ya | Tidak | Ya |
Spesifisitas: kunci dibuat secara otomatis pada perincian kunci yang direkomendasikan | Tidak | Tidak | Ya |
Memungkinkan Anda menghancurkan data Anda dengan kriptografi | Tidak | Ya | Ya |
Secara otomatis selaras dengan praktik pengelolaan kunci yang direkomendasikan | Tidak | Tidak | Ya |
Menggunakan kunci yang didukung HSM yang mematuhi FIPS 140-2 Level 3 | Tidak | Opsional | Ya |
Jika perlu menggunakan tingkat perlindungan selain HSM
atau periode rotasi kustom,
Anda dapat menggunakan CMEK tanpa Autokey.
Layanan yang kompatibel
Tabel berikut mencantumkan layanan yang kompatibel dengan Kunci Otomatis Cloud KMS:
Layanan | Resource yang dilindungi | Perincian utama |
---|---|---|
Artifact Registry |
Autokey membuat kunci selama pembuatan Repositori, yang digunakan untuk semua artefak yang disimpan. |
Satu kunci per resource |
BigQuery |
Autokey membuat kunci default untuk set data. Tabel, model, kueri, dan tabel sementara dalam set data menggunakan kunci default set data. Autokey tidak membuat kunci untuk resource BigQuery selain set data. Untuk melindungi resource yang bukan bagian dari set data, Anda harus membuat kunci default Anda sendiri di tingkat project atau organisasi. |
Satu kunci per resource |
Bigtable |
Autokey membuat kunci untuk cluster. Autokey tidak membuat kunci untuk resource Bigtable selain cluster. Bigtable hanya kompatibel dengan Autokey Cloud KMS saat membuat resource menggunakan Terraform atau Google Cloud SDK. |
Satu kunci per cluster |
AlloyDB untuk PostgreSQL |
AlloyDB untuk PostgreSQL hanya kompatibel dengan Autokey Cloud KMS saat membuat resource menggunakan Terraform atau REST API. |
Satu kunci per resource |
Cloud Run |
|
Satu kunci per lokasi dalam project |
Cloud SQL |
Autokey tidak membuat kunci untuk resource Cloud SQL
Cloud SQL hanya kompatibel dengan Autokey Cloud KMS saat membuat resource menggunakan Terraform atau REST API. |
Satu kunci per resource |
Cloud Storage |
Objek dalam
bucket penyimpanan menggunakan kunci default bucket. Autokey tidak membuat
kunci untuk resource |
Satu kunci per bucket |
Compute Engine |
Snapshot menggunakan kunci untuk disk yang Anda buat snapshot-nya.
Autokey tidak membuat kunci untuk resource |
Satu kunci per resource |
Pub/Sub |
|
Satu kunci per resource |
Secret Manager |
Secret Manager hanya kompatibel dengan Kunci Otomatis Cloud KMS saat membuat resource menggunakan Terraform atau REST API. |
Satu kunci per lokasi dalam project |
Spanner |
Spanner hanya kompatibel dengan Autokey Cloud KMS saat membuat resource menggunakan Terraform atau REST API. |
Satu kunci per resource |
Dataflow |
|
Satu kunci per resource |
Langkah berikutnya
- Untuk mempelajari lebih lanjut cara kerja Kunci Otomatis Cloud KMS, lihat Ringkasan Kunci Otomatis.