Halaman ini diterjemahkan oleh Cloud Translation API.

Resource Cloud KMS

Halaman ini menjelaskan setiap jenis resource di Cloud KMS. Anda dapat mempelajari hierarki resource lebih lanjut.

Kunci

Kunci Cloud KMS adalah objek bernama yang berisi satu atau beberapa versi kunci, beserta metadata untuk kunci tersebut. Kunci ada di satu key ring yang terikat dengan lokasi tertentu.

Anda dapat mengizinkan dan menolak akses ke kunci menggunakan izin dan peran Identity and Access Management (IAM). Anda tidak dapat mengelola akses ke versi kunci.

Menonaktifkan atau menghancurkan kunci juga akan menonaktifkan atau menghancurkan setiap versi kunci.

Bagian berikut membahas properti kunci.

Bergantung pada konteksnya, properti kunci ditampilkan dalam format yang berbeda.

Saat menggunakan Google Cloud CLI atau Cloud Key Management Service API, properti ditampilkan sebagai string huruf besar, seperti SOFTWARE.
Saat menggunakan Konsol Google Cloud, properti ditampilkan sebagai string dengan huruf kapital awal, seperti Software.

Di bagian berikut, setiap format ditampilkan sesuai kebutuhan.

Jenis

Jenis kunci menentukan apakah kunci digunakan untuk operasi kriptografi simetris atau asimetris.

Dalam enkripsi atau penandatanganan simetris, kunci yang sama digunakan untuk mengenkripsi dan mendekripsi data atau untuk menandatangani dan memverifikasi tanda tangan.

Dalam enkripsi atau penandatanganan asimetris, kunci terdiri dari kunci publik dan kunci pribadi. Kunci pribadi dengan kunci publik yang sesuai disebut pasangan kunci.

Kunci pribadi adalah data sensitif, dan diperlukan untuk mendekripsi data atau untuk menandatangani, bergantung pada tujuan kunci yang dikonfigurasi.
Kunci publik tidak dianggap sensitif, dan diperlukan untuk mengenkripsi data atau memverifikasi tanda tangan, bergantung pada tujuan kunci yang dikonfigurasi.

Jenis kunci adalah salah satu komponen tujuan kunci, dan tidak dapat diubah setelah kunci dibuat.

Tujuan

Tujuan kunci menunjukkan jenis operasi kriptografi yang dapat digunakan kunci tersebut—misalnya, Enkripsi/dekripsi simetris atau Penandatanganan asimetris. Anda memilih tujuan saat membuat kunci, dan semua versi kunci memiliki tujuan yang sama. Tujuan kunci tidak dapat diubah setelah kunci dibuat. Untuk informasi selengkapnya tentang tujuan kunci, lihat Tujuan kunci.

Level perlindungan

Tingkat perlindungan kunci menentukan lingkungan penyimpanan kunci saat tidak digunakan. Tingkat perlindungan adalah salah satu dari berikut ini:

Software (SOFTWARE di Google Cloud CLI dan Cloud Key Management Service API)
HSM
Eksternal (EXTERNAL di Google Cloud CLI dan Cloud Key Management Service API)
External_VPC (EXTERNAL_VPC di Google Cloud CLI dan Cloud Key Management Service API)

Tingkat perlindungan kunci tidak dapat diubah setelah kunci dibuat.

Versi utama

Kunci dapat memiliki beberapa versi kunci yang aktif dan diaktifkan sekaligus. Kunci enkripsi simetris memiliki versi kunci utama, yang merupakan versi kunci yang digunakan secara default untuk mengenkripsi data jika Anda tidak menentukan versi kunci.

Kunci asimetris tidak memiliki versi utama; Anda harus menentukan versi saat menggunakan kunci.

Untuk kunci simetris dan asimetris, Anda dapat menggunakan versi kunci yang diaktifkan untuk mengenkripsi dan mendekripsi data atau menandatangani dan memvalidasi tanda tangan.

Versi kunci

Setiap versi kunci berisi materi kunci yang digunakan untuk enkripsi atau penandatanganan. Setiap versi diberi nomor versi, dimulai dari 1. Memutar kunci akan membuat versi kunci baru. Anda dapat mempelajari lebih lanjut cara memutar kunci.

Untuk mendekripsi data atau memverifikasi tanda tangan, Anda harus menggunakan versi kunci yang sama dengan yang digunakan untuk mengenkripsi atau menandatangani data. Untuk menemukan ID resource versi kunci, lihat Mengambil ID resource kunci.

Anda dapat menonaktifkan atau menghancurkan setiap versi kunci tanpa memengaruhi versi lain. Anda juga dapat menonaktifkan atau menghancurkan semua versi kunci untuk kunci tertentu.

Anda tidak dapat mengontrol akses ke versi kunci secara terpisah dari izin yang berlaku pada kunci. Memberikan akses ke kunci akan memberikan akses ke semua versi kunci yang diaktifkan.

Karena alasan keamanan, tidak ada akun utama Google Cloud yang dapat melihat atau mengekspor materi kunci kriptografis mentah yang diwakili oleh versi kunci. Sebagai gantinya, Cloud KMS akan mengakses materi kunci untuk Anda.

Bagian berikut membahas properti versi kunci.

Status

Setiap versi kunci memiliki status yang memberi tahu Anda statusnya. Biasanya, status kunci akan berupa salah satu dari berikut:

Aktif
Nonaktif
Dijadwalkan untuk dimusnahkan
Dihancurkan

Versi kunci hanya dapat digunakan jika diaktifkan. Versi kunci dalam status apa pun selain dihancurkan akan dikenai biaya. Untuk mengetahui informasi selengkapnya tentang status versi kunci dan cara versi dapat bertransisi di antara versi tersebut, lihat Status versi kunci.

Algoritme

Algoritma versi kunci menentukan cara pembuatan materi kunci dan parameter yang diperlukan untuk operasi kriptografis. Kunci simetris dan asimetris menggunakan algoritma yang berbeda. Enkripsi dan penandatanganan menggunakan algoritma yang berbeda.

Jika Anda tidak menentukan algoritma saat membuat versi kunci baru, algoritma versi sebelumnya akan digunakan.

Apa pun algoritmanya, Cloud KMS menggunakan enkripsi probabilistik, sehingga teks biasa yang sama yang dienkripsi dengan versi kunci yang sama dua kali tidak akan menampilkan ciphertext yang sama.

Key ring

Key ring mengatur kunci di lokasi Google Cloud tertentu dan memungkinkan Anda mengelola kontrol akses pada grup kunci. Nama key ring tidak perlu unik di seluruh project Google Cloud, tetapi harus unik dalam lokasi tertentu. Setelah dibuat, ring kunci tidak dapat dihapus. Key ring tidak dikenai biaya apa pun.

Nama sebutan channel

Handle kunci adalah resource Cloud KMS yang membantu Anda memperluas pemisahan tugas dengan aman untuk membuat kunci Cloud KMS baru bagi CMEK menggunakan Autokey. Pembuatan handle kunci di project resource memicu pembuatan kunci Cloud KMS di project kunci untuk penyiapan CMEK on-demand.

Handle kunci menyimpan referensi ke kunci Cloud KMS yang dibuat. Anda dapat mengambil ID resource Cloud KMS dari kunci yang dibuat oleh Autokey dari handle kunci. Alat Infrastructure as Code seperti Terraform dapat digunakan dengan handle kunci untuk mengelola resource yang dilindungi CMEK tanpa hak istimewa yang ditingkatkan.

Nama sebutan kunci tidak terlihat di konsol Google Cloud, tetapi untuk menggunakan Autokey dengan REST API atau Terraform, Anda harus menggunakan nama sebutan kunci. Untuk mengetahui informasi selengkapnya tentang penggunaan handle kunci, lihat Membuat resource yang dilindungi menggunakan Cloud KMS Autokey.

Konfigurasi kunci otomatis

Konfigurasi Autokey adalah resource tingkat folder yang menentukan apakah Autokey diaktifkan untuk folder. Konfigurasi Autokey juga menentukan project kunci yang digunakan untuk kunci yang dibuat oleh Autokey Cloud KMS guna melindungi resource dalam folder tersebut. Saat mengaktifkan Autokey, Anda membuat atau memperbarui konfigurasi Autokey di folder resource. Untuk mengetahui informasi selengkapnya tentang penggunaan konfigurasi Kunci Otomatis, lihat Mengaktifkan Kunci Otomatis Cloud KMS.

Koneksi EKM

Koneksi EKM adalah resource Cloud KMS yang mengatur koneksi VPC ke EKM lokal Anda di lokasi Google Cloud tertentu. Koneksi EKM memungkinkan Anda terhubung ke dan menggunakan kunci dari pengelola kunci enkripsi eksternal melalui jaringan VPC. Setelah dibuat, koneksi EKM tidak dapat dihapus. Koneksi EKM tidak dikenai biaya apa pun.

Mengambil ID resource

Beberapa panggilan API dan gcloud CLI mungkin mengharuskan Anda merujuk ke cincin kunci, kunci, atau versi kunci berdasarkan ID resource-nya, yang merupakan string yang mewakili nama CryptoKeyVersion yang sepenuhnya memenuhi syarat. ID resource bersifat hierarkis, mirip dengan jalur sistem file. ID resource kunci juga berisi informasi tentang key ring dan lokasi.

Objek	Format ID resource
Key ring	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING`
Kunci	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME`
Versi kunci	`projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION`
Nama sebutan channel	`projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE`
Koneksi EKM	`projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION`
Konfigurasi kunci otomatis	`folders/FOLDER_NUMBER/autopilotConfig`

Untuk mempelajari lebih lanjut, lihat Mendapatkan ID resource Cloud KMS.

Mengatur resource

Saat merencanakan cara mengatur resource dalam project Google Cloud, pertimbangkan aturan bisnis dan cara Anda mengelola akses. Anda dapat memberikan akses ke satu kunci, semua kunci di key ring, atau semua kunci dalam project. Pola organisasi berikut adalah yang umum:

Menurut lingkungan, seperti prod,test, dan develop.
Menurut area kerja, seperti payroll atau insurance_claims.
Berdasarkan sensitivitas atau karakteristik data, seperti unrestricted, restricted, confidential, top-secret.

Siklus proses resource

Key ring, kunci, dan versi kunci tidak dapat dihapus. Hal ini memastikan bahwa ID resource dari versi kunci bersifat unik dan selalu mengarah ke materi kunci asli untuk versi kunci tersebut, kecuali jika telah dihancurkan. Anda dapat menyimpan key ring dalam jumlah tak terbatas, kunci yang diaktifkan atau dinonaktifkan, dan versi kunci yang diaktifkan, dinonaktifkan, atau dihancurkan. Untuk mengetahui informasi selengkapnya, lihat Harga dan Kuota.

Untuk mempelajari cara menghancurkan atau memulihkan versi kunci, lihat Menghancurkan dan memulihkan versi kunci.

Setelah menjadwalkan penonaktifan project Google Cloud, Anda tidak dapat mengakses resource project, termasuk resource Cloud KMS, kecuali jika Anda memulihkan project dengan mengikuti langkah-langkah untuk memulihkan project.

Langkah selanjutnya

Buat kunci.
Pelajari lebih lanjut izin dan peran di Cloud KMS.