Resource Cloud KMS

Halaman ini menjelaskan setiap jenis resource di Cloud KMS. Anda dapat Pelajari hierarki resource lebih lanjut.

Kunci

Kunci Cloud KMS adalah objek bernama yang berisi satu atau beberapa kunci versi, beserta metadata untuk kunci tersebut. Kunci ada di tepat satu cincin kunci yang terkait dengan lokasi tertentu.

Anda dapat mengizinkan dan menolak akses ke kunci menggunakan Identity and Access Management (IAM) izin dan peran. Anda tidak dapat mengelola akses ke kunci .

Menonaktifkan atau menghancurkan kunci juga akan menonaktifkan atau menghancurkan setiap versi kunci.

Bagian berikut membahas properti kunci.

Bergantung pada konteksnya, properti kunci ditampilkan dalam format yang berbeda.

  • Saat menggunakan Google Cloud CLI atau Cloud Key Management Service API, properti ditampilkan sebagai string huruf besar, seperti SOFTWARE.
  • Saat menggunakan Konsol Google Cloud, properti ditampilkan sebagai string dengan penggunaan huruf besar di awal, seperti Software.

Di bagian berikut, setiap format ditampilkan di tempat yang sesuai.

Jenis

Tipe kunci menentukan apakah kunci tersebut digunakan untuk simetris atau asimetris operasi kriptografi.

Dalam enkripsi atau penandatanganan simetris, kunci yang sama digunakan untuk mengenkripsi dan mendekripsi data atau menandatangani dan memverifikasi tanda tangan.

Dalam enkripsi atau penandatanganan asimetris, kunci terdiri dari kunci publik dan kunci pribadi. Kunci pribadi dengan kunci publik yang sesuai disebut kunci sambungan.

  • Kunci pribadi adalah data sensitif, dan diperlukan untuk membongkar enkripsi data atau untuk penandatanganan, tergantung pada tujuan kunci yang dikonfigurasi.
  • Kunci publik tidak dianggap sensitif dan diperlukan untuk mengenkripsi data atau memverifikasi tanda tangan, tergantung pada tujuan kunci yang dikonfigurasi.

Jenis kunci adalah salah satu komponen tujuan kunci, dan tidak dapat diubah setelah kunci dibuat.

Tujuan

Tujuan kunci menunjukkan jenis operasi kriptografis yang dapat dilakukan oleh kunci tersebut digunakan—misalnya, Enkripsi/dekripsi simetris atau asimetris penandatanganan. Anda memilih tujuan saat membuat kunci, dan semua versi memiliki tujuan yang sama. Tujuan kunci tidak dapat diubah setelah kunci dibuat. Untuk informasi selengkapnya tentang tujuan utama, lihat Tujuan utama.

Level perlindungan

Tingkat perlindungan kunci menentukan lingkungan penyimpanan kunci di beristirahat. Tingkat perlindungan adalah salah satu dari berikut:

  • Software (SOFTWARE di Google Cloud CLI dan Cloud Key Management Service API)
  • HSM
  • Eksternal (EXTERNAL di Google Cloud CLI dan Cloud Key Management Service API)
  • External_VPC (EXTERNAL_VPC di Google Cloud CLI dan Cloud Key Management Service API)

Tingkat perlindungan kunci tidak dapat diubah setelah kunci dibuat.

Versi utama

Kunci dapat memiliki beberapa versi kunci yang aktif dan diaktifkan sekaligus baik. Kunci enkripsi simetris memiliki versi kunci utama, yang merupakan kuncinya yang digunakan secara default untuk mengenkripsi data jika Anda tidak menetapkan versi kunci.

Kunci asimetris tidak memiliki versi utama; Anda harus menentukan versi saat menggunakan kunci tersebut.

Untuk kunci simetris dan asimetris, Anda bisa menggunakan versi kunci yang diaktifkan untuk mengenkripsi dan mendekripsi data atau menandatangani dan memvalidasi tanda tangan.

Versi kunci

Setiap versi kunci berisi materi kunci yang digunakan untuk enkripsi atau penandatanganan. Masing-masing diberi nomor versi, yang dimulai dari 1. Memutar kunci akan menciptakan versi kunci baru. Anda dapat mempelajari lebih lanjut rotasi .

Untuk mendekripsi data atau memverifikasi tanda tangan, Anda harus menggunakan versi kunci yang sama dengan digunakan untuk mengenkripsi atau menandatangani data. Untuk menemukan ID resource versi kunci, lihat Mengambil ID resource kunci.

Anda dapat menonaktifkan atau menghancurkan masing-masing versi kunci tanpa memengaruhi versi. Anda juga dapat menonaktifkan atau menghancurkan semua versi kunci untuk kunci tertentu.

Anda tidak dapat mengontrol akses ke versi kunci secara terpisah dari izin di pada kunci tersebut. Memberikan akses ke sebuah kunci akan memberikan akses ke semua versi yang telah diaktifkan.

Untuk alasan keamanan, tidak ada akun utama Google Cloud yang dapat melihat atau mengekspor laporan materi kunci kriptografis yang diwakili oleh versi kunci. Sebagai gantinya, Cloud KMS mengakses materi kunci atas nama Anda.

Bagian berikut membahas properti versi kunci.

Status

Setiap versi kunci memiliki status yang memberi tahu Anda tentang statusnya. Biasanya, status kunci Anda akan berupa salah satu dari berikut ini:

  • Aktif
  • Nonaktif
  • Dijadwalkan untuk dimusnahkan
  • Dihancurkan

Versi kunci hanya dapat digunakan saat diaktifkan. Versi kunci dalam status apa pun selain dihancurkan, akan dikenai biaya. Untuk informasi selengkapnya tentang kunci status versi dan bagaimana versi dapat melakukan transisi di antaranya, lihat Versi kunci negara bagian.

Algoritme

Algoritma versi kunci menentukan cara materi kunci dibuat dan parameter yang diperlukan untuk operasi kriptografi. Kunci simetris dan asimetris menggunakan algoritma yang berbeda. Enkripsi dan penandatanganan menggunakan algoritma yang berbeda.

Jika Anda tidak menentukan algoritma saat membuat versi kunci baru, algoritma tersebut dari versi sebelumnya.

Terlepas dari algoritmanya, Cloud KMS menggunakan enkripsi probabilistik, sehingga teks polos yang dienkripsi dengan versi kunci yang sama dua kali tidak menghasilkan teks tersandi yang sama.

Key ring

Key ring mengatur kunci di Google Cloud tertentu lokasi dan memungkinkan Anda mengelola kontrol akses pada grup kunci. Key ring nama tidak harus unik di seluruh project Google Cloud, tetapi harus unik di lokasi tertentu. Setelah dibuat, key ring tidak dapat dihapus. Key ring tidak dikenai biaya apa pun.

Tuas kunci

Tuas kunci adalah resource Cloud KMS yang membantu Anda menjangkau pemisahan tugas untuk membuat kunci Cloud KMS baru untuk CMEK menggunakan Kunci otomatis. Pembuatan tuas kunci dalam project resource terpicu pembuatan kunci Cloud KMS dalam project kunci untuk CMEK on-demand penyiapan.

Tuas kunci menyimpan referensi ke kunci Cloud KMS yang dibuat. Anda dapat mengambil ID resource Cloud KMS dari kunci yang dibuat oleh {i>Autokey<i} dari {i>key handle<i}. Alat infrastruktur sebagai kode seperti Terraform dapat berfungsi dengan tuas kunci untuk mengelola resource yang dilindungi CMEK tanpa hak istimewa yang ditingkatkan.

Tuas tombol tidak terlihat di konsol Google Cloud, tetapi untuk menggunakan Kunci otomatis dengan REST API atau Terraform, Anda harus menggunakan tuas kunci. Untuk selengkapnya informasi tentang penggunaan tuas kunci, lihat Membuat resource yang dilindungi menggunakan Kunci Otomatis Cloud KMS.

Konfigurasi kunci otomatis

Konfigurasi Autokey adalah resource tingkat folder yang menentukan apakah Kunci otomatis diaktifkan untuk folder. Konfigurasi {i>Autokey<i} juga menentukan project kunci yang digunakan untuk kunci yang dibuat oleh Kunci Otomatis Cloud KMS untuk melindungi resource di folder tersebut. Saat mengaktifkan {i>Autokey<i}, Anda membuat atau memperbarui konfigurasi {i>Autokey<i} pada folder resource. Untuk selengkapnya tentang penggunaan konfigurasi Kunci otomatis, lihat Mengaktifkan Kunci Otomatis Cloud KMS.

Koneksi EKM

Koneksi EKM adalah resource Cloud KMS yang mengatur koneksi VPC ke EKM lokal Anda dalam Lokasi Google Cloud. Koneksi EKM memungkinkan Anda terhubung ke dan menggunakan dari pengelola kunci eksternal melalui jaringan VPC. Sesudah pembuatan, koneksi EKM tidak dapat dihapus. Koneksi EKM tidak dikenakan untuk biaya apa pun.

Mengambil ID resource

Beberapa panggilan API dan gcloud CLI mungkin mengharuskan Anda untuk merujuk ke suatu kunci cincin, kunci, atau versi kunci menurut ID resource-nya, yang merupakan string yang mewakili nama CryptoKeyVersion yang sepenuhnya memenuhi syarat. ID resource bersifat hierarkis, serupa ke jalur sistem file. ID resource kunci juga berisi informasi tentang key ring dan lokasi.

Objek Format ID aset
Key ring projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING
Kunci projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
Versi kunci projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION
Tuas tombol projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE
Koneksi EKM projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION
Konfigurasi kunci otomatis folders/FOLDER_NUMBER/autopilotConfig

Untuk mempelajari lebih lanjut, lihat Mendapatkan ID resource Cloud KMS.

Mengatur sumber daya

Saat Anda berencana untuk menyusun resource di Google Cloud proyek, pertimbangkan aturan bisnis Anda dan bagaimana Anda berencana untuk mengelola akses. Anda dapat memberikan akses ke satu kunci, semua kunci pada key ring, atau semua kunci dalam suatu project. Pola organisasi berikut adalah umum:

  • Menurut lingkungan, seperti prod,test, dan develop.
  • Berdasarkan area kerja, seperti payroll atau insurance_claims.
  • Berdasarkan sensitivitas atau karakteristik data, seperti unrestricted, restricted, confidential, top-secret.

Siklus hidup resource

Key ring, kunci, dan versi kunci tidak dapat dihapus. Hal ini memastikan bahwa ID resource dari versi kunci bersifat unik dan selalu mengarah ke materi kunci asli untuk versi kunci tersebut, kecuali jika telah dihancurkan. Anda dapat menyimpan key ring dalam jumlah tak terbatas, tombol yang diaktifkan atau dinonaktifkan, dan versi kunci yang diaktifkan, dinonaktifkan, atau dihancurkan. Untuk informasi selengkapnya, lihat Harga dan Kuota.

Untuk mempelajari cara menghancurkan atau memulihkan versi kunci, lihat Menghancurkan dan memulihkan versi kunci versi kunci tertentu.

Setelah Anda menjadwalkan penonaktifan project Google Cloud, Anda tidak dapat mengakses resource project, termasuk Cloud KMS resource Anda, kecuali jika Anda memulihkan project dengan mengikuti langkah-langkah untuk memulihkan project.

Langkah selanjutnya