Kunci Otomatis Cloud KMS menyederhanakan pembuatan dan penggunaan kunci enkripsi yang dikelola pelanggan (CMEK) dengan mengotomatiskan penyediaan dan penetapan. Dengan Autokey, key ring, kunci, dan akun layanan tidak perlu direncanakan dan disediakan sebelum diperlukan. Sebagai gantinya, Kunci otomatis membuat kunci sesuai permintaan saat resource dibuat, dengan mengandalkan izin yang didelegasikan, bukan administrator Cloud KMS.
Menggunakan kunci yang dihasilkan oleh Autokey dapat membantu Anda secara konsisten menyelaraskan standar industri dan praktik yang direkomendasikan untuk keamanan data, termasuk tingkat perlindungan HSM, pemisahan tugas, rotasi kunci, lokasi, dan kekhususan kunci. Kunci otomatis membuat kunci yang mengikuti panduan umum dan panduan khusus untuk jenis resource untuk layanan Google Cloud yang terintegrasi dengan Kunci Otomatis Cloud KMS. Setelah dibuat, kunci yang diminta menggunakan fungsi Kunci Otomatis akan identik dengan kunci Cloud HSM lainnya dengan setelan yang sama.
Kunci otomatis juga dapat menyederhanakan penggunaan Terraform untuk pengelolaan kunci, sehingga Anda tidak perlu menjalankan infrastruktur sebagai kode dengan hak istimewa pembuatan kunci yang ditingkatkan.
Untuk menggunakan Kunci otomatis, Anda harus memiliki resource organisasi yang berisi resource folder. Untuk mengetahui informasi selengkapnya tentang resource folder dan organisasi, lihat Hierarki resource.
Kunci Otomatis Cloud KMS tersedia di semua lokasi Google Cloud tempat Cloud HSM tersedia. Untuk mengetahui informasi lebih lanjut mengenai lokasi Cloud KMS, lihat lokasi Cloud KMS. Tidak ada biaya tambahan untuk menggunakan Kunci Otomatis Cloud KMS. Kunci yang dibuat menggunakan Autokey diberi harga sama dengan kunci Cloud HSM lainnya. Untuk mengetahui informasi selengkapnya tentang harga, lihat Harga Cloud Key Management Service.
Untuk mengetahui informasi selengkapnya tentang Kunci otomatis, lihat Ringkasan tombol otomatis.
Pilih antara Kunci otomatis dan opsi enkripsi lainnya
Cloud KMS dengan Kunci Otomatis ibarat autopilot untuk kunci enkripsi yang dikelola pelanggan: layanan ini melakukan pekerjaan atas nama Anda, sesuai permintaan. Anda tidak perlu merencanakan kunci sebelumnya atau membuat kunci yang mungkin tidak diperlukan. Penggunaan kunci dan kunci konsisten. Anda dapat menentukan folder tempat Anda ingin menggunakan Kunci Otomatis dan mengontrol siapa yang dapat menggunakannya. Anda tetap memegang kendali penuh atas kunci yang dibuat oleh Autokey. Anda dapat menggunakan kunci Cloud KMS yang dibuat secara manual bersama dengan kunci yang dibuat menggunakan Kunci otomatis. Anda dapat menonaktifkan Kunci otomatis dan terus menggunakan kunci yang dibuatnya dengan cara yang sama seperti saat Anda menggunakan kunci Cloud KMS lainnya.
Kunci Otomatis Cloud KMS adalah pilihan yang tepat jika Anda menginginkan penggunaan kunci yang konsisten di seluruh project, dengan overhead operasional yang rendah, dan ingin mengikuti rekomendasi Google untuk kunci.
| Fitur atau kemampuan | Enkripsi default Google | Cloud KMS | Kunci Otomatis Cloud KMS |
|---|---|---|---|
| Isolasi kriptografi: kunci bersifat eksklusif untuk satu akun pelanggan | Tidak | Ya | Ya |
| Pelanggan memiliki dan mengontrol kunci | Tidak | Ya | Ya |
| Developer memicu penyediaan dan penetapan kunci | Ya | Tidak | Ya |
| Kekhususan: kunci dibuat secara otomatis pada perincian kunci yang direkomendasikan | Tidak | Tidak | Ya |
| Memungkinkan Anda melakukan dekripsi data Anda | Tidak | Ya | Ya |
| Otomatis selaras dengan praktik pengelolaan kunci yang direkomendasikan | Tidak | Tidak | Ya |
| Menggunakan kunci yang didukung HSM yang sesuai dengan FIPS 140-2 Level 3 | Tidak | Opsional | Ya |
Jika perlu menggunakan tingkat perlindungan selain HSM atau periode rotasi kustom,
Anda dapat menggunakan CMEK tanpa Kunci otomatis.
Layanan yang kompatibel
Tabel berikut mencantumkan layanan yang kompatibel dengan Kunci Otomatis Cloud KMS:
| Layanan | Resource yang dilindungi | Perincian kunci |
|---|---|---|
| Cloud Storage |
Objek dalam bucket penyimpanan menggunakan kunci default bucket. Kunci otomatis tidak membuat kunci untuk resource |
Satu kunci per bucket |
| Compute Engine |
Snapshot menggunakan kunci untuk disk tempat Anda membuat snapshot.
Kunci otomatis tidak membuat kunci untuk resource |
Satu kunci per resource |
| BigQuery |
Kunci otomatis membuat kunci default untuk set data. Tabel, model, kueri, dan tabel sementara dalam set data menggunakan kunci default set data. Kunci otomatis tidak membuat kunci untuk resource BigQuery selain set data. Untuk melindungi resource yang bukan bagian dari set data, Anda harus membuat kunci default sendiri pada level project atau organisasi. |
Satu kunci per resource |
| Secret Manager |
Secret Manager hanya kompatibel dengan Autokey Cloud KMS saat membuat resource menggunakan Terraform atau REST API. |
Satu kunci per lokasi dalam project |
Langkah selanjutnya
- Untuk mempelajari lebih lanjut cara kerja Kunci Otomatis Cloud KMS, lihat Ringkasan kunci otomatis.