Topik ini membahas setiap jenis resource di Cloud KMS. Anda dapat mempelajari hierarki resource lebih lanjut.
Kunci
Kunci Cloud KMS adalah objek bernama yang berisi satu atau beberapa versi kunci, beserta metadata untuk kunci tersebut. Terdapat kunci pada persis satu key ring yang terikat dengan lokasi tertentu.
Anda dapat mengizinkan dan menolak akses ke kunci menggunakan izin dan peran Identity and Access Management (IAM). Akses ke versi kunci tidak dapat dikelola.
Menonaktifkan atau menghancurkan kunci juga akan menonaktifkan atau menghancurkan setiap versi kunci.
Bagian berikut membahas properti kunci.
Bergantung pada konteksnya, properti kunci ditampilkan dalam format yang berbeda.
- Saat menggunakan Google Cloud CLI atau Cloud Key Management Service API, properti ditampilkan sebagai string huruf kapital, seperti
SOFTWARE
. - Saat menggunakan Konsol Google Cloud, properti ditampilkan sebagai string dengan huruf besar awal, seperti Software.
Pada bagian di bawah ini, setiap format ditunjukkan di tempat yang sesuai.
Jenis
Jenis kunci menentukan apakah kunci digunakan untuk operasi kriptografi simetris atau asimetris.
Dalam enkripsi simetris, kunci utuh diperlukan untuk mengenkripsi atau mendekripsi data. Kunci simetris tidak dapat digunakan untuk penandatanganan.
Dalam enkripsi atau penandatanganan asimetris, kunci terdiri dari kunci publik dan pribadi.
- Kunci pribadi dianggap sebagai data sensitif dan diperlukan untuk mendekripsi data atau untuk penandatanganan, bergantung pada tujuan kunci yang dikonfigurasi.
Kunci publik tidak dianggap sensitif dan diperlukan untuk mengenkripsi data atau memverifikasi tanda tangan, bergantung pada tujuan kunci yang dikonfigurasi.
Jenis kunci tidak dapat diubah setelah kunci dibuat.
Jenis kunci merupakan salah satu komponen dari tujuannya.
Tujuan
Tujuan kunci menentukan apakah kunci dapat digunakan untuk enkripsi atau penandatanganan. Anda yang memilih tujuan pembuatan kunci, dan semua versi memiliki tujuan yang sama.
Tujuan kunci simetris adalah selalu Enkripsi/dekripsi simetris.
Tujuan kunci asimetris adalah enkripsi/dekripsi asimetris atau Penandatanganan asimetris.
Tujuan kunci tidak dapat diubah setelah kunci dibuat.
Versi utama
Kunci memiliki beberapa versi, tetapi kunci simetris dapat memiliki maksimal satu versi kunci utama. Versi kunci utama digunakan untuk mengenkripsi data jika Anda tidak menentukan versi kunci.
Kunci asimetris tidak memiliki versi utama; Anda harus menentukan versi saat menggunakan kunci.
Untuk kunci simetris dan asimetris, Anda dapat menggunakan versi kunci apa pun yang diaktifkan untuk mengenkripsi atau mendekripsi data, baik itu versi utama maupun bukan.
Versi kunci
Setiap versi kunci berisi materi kunci yang digunakan untuk enkripsi atau penandatanganan. Versi
kunci direpresentasikan oleh bilangan bulat, mulai dari 1
. Untuk mendekripsi data atau
memverifikasi tanda tangan, Anda harus menggunakan versi kunci yang sama dengan yang digunakan untuk mengenkripsi
atau menandatangani data. Untuk menemukan dan mereferensikan ID resource versi kunci, baca bagian Mengambil ID resource kunci.
Anda dapat menonaktifkan atau menghancurkan versi kunci tanpa memengaruhi versi lainnya. Memutar kunci akan membuat versi baru. Anda dapat mempelajari lebih lanjut cara merotasi kunci.
Menonaktifkan atau menghancurkan kunci juga akan menonaktifkan atau menghancurkan semua versi kunci tersebut. Anda dapat menonaktifkan versi kunci secara selektif tanpa memengaruhi versi kunci lainnya.
Akses ke versi kunci tidak dapat dikelola. Memberikan akses ke kunci juga memberikan akses ke semua versi yang diaktifkan.
Untuk alasan keamanan, tidak ada akun utama Google Cloud yang dapat melihat atau mengekspor materi kunci kriptografis mentah yang diwakili oleh versi kunci. Sebagai gantinya, Cloud KMS mengakses materi kunci atas nama Anda.
Bagian berikut membahas properti versi kunci.
Status
state versi kunci selalu salah satu dari berikut:
- Diaktifkan
- Nonaktif
- Dijadwalkan untuk dimusnahkan
- Dihancurkan
Versi kunci hanya dapat digunakan jika diaktifkan. Versi kunci dalam status apa pun selain dihancurkan akan dikenai biaya.
Protection level
Tingkat perlindungan versi kunci menentukan lingkungan penyimpanan kunci dalam penyimpanan. Tingkat perlindungannya adalah salah satu dari berikut ini:
- Software (
SOFTWARE
di Google Cloud CLI dan Cloud Key Management Service API) - HSM
- Eksternal (
EXTERNAL
di Google Cloud CLI dan Cloud Key Management Service API) - External_VPC (
EXTERNAL_VPC
di Google Cloud CLI dan Cloud Key Management Service API)
Meskipun tingkat perlindungan adalah properti dari versi kunci, tingkat ini tidak dapat diubah setelah kunci dibuat.
Algoritma
Algoritma versi kunci menentukan cara materi kunci dibuat dan parameter yang diperlukan untuk operasi kriptografi. Kunci simetris dan asimetris mendukung algoritma yang berbeda.
Jika Anda tidak menentukan algoritma saat membuat versi kunci baru, algoritma dari versi sebelumnya akan digunakan.
Terlepas dari algoritmenya, Cloud KMS menggunakan enkripsi probabilistik, sehingga teks biasa yang sama yang dienkripsi dengan versi kunci yang sama dua kali tidak dienkripsi ke ciphertext yang sama.
Key ring
Key ring mengatur kunci di lokasi Google Cloud tertentu dan memungkinkan Anda mengelola kontrol akses di grup kunci. Nama key ring tidak harus unik di seluruh project Google Cloud, tetapi harus unik dalam lokasi tertentu. Setelah dibuat, key ring tidak dapat dihapus. Key ring tidak dikenakan biaya penyimpanan.
Koneksi EKM
Koneksi EKM adalah resource Cloud KMS yang mengatur koneksi VPC ke EKM lokal Anda di lokasi Google Cloud tertentu. Dengan koneksi EKM, Anda dapat terhubung ke dan menggunakan kunci dari pengelola kunci eksternal melalui jaringan VPC. Setelah pembuatan, koneksi EKM tidak dapat dihapus. Koneksi EKM tidak dikenakan biaya penyimpanan.
Mengambil ID resource
Beberapa panggilan API dan gcloud CLI mungkin mengharuskan Anda merujuk ke key ring, kunci, atau versi kunci berdasarkan ID resource-nya, yang merupakan string yang mewakili nama CryptoKeyVersion
yang sepenuhnya memenuhi syarat. ID resource bersifat hierarkis, mirip dengan jalur sistem file. ID resource
kunci juga berisi informasi tentang key ring dan lokasi.
Objek | Format ID resource |
---|---|
Key ring | projects/project-id/locations/location/keyRings/keyring |
Kunci | projects/project-id/locations/location/keyRings/keyring/cryptoKeys/key |
Versi kunci | projects/project-id/locations/location/keyRings/keyring/cryptoKeys/key/cryptoKeyVersions/version |
Koneksi EKM | projects/project-id/locations/location/ekmConnections/ekmConnection |
Untuk mempelajari lebih lanjut, baca bagian Mendapatkan ID resource Cloud KMS.
Mengatur sumber daya
Saat Anda berencana mengatur resource di project Google Cloud, pertimbangkan aturan bisnis dan rencana pengelolaan akses Anda. Anda dapat memberikan akses ke satu kunci, semua kunci pada keyring, atau semua kunci dalam sebuah project. Pola organisasi berikut umum:
- Berdasarkan lingkungan, seperti
prod
,test
, dandevelop
. - Menurut area kerja, seperti
payroll
atauinsurance_claims
. - Berdasarkan sensitivitas atau karakteristik data, seperti
unrestricted
,restricted
,confidential
,top-secret
.
Siklus proses resource
Key ring, kunci, dan versi kunci tidak dapat dihapus. Cara ini memastikan bahwa ID resource versi kunci bersifat unik dan selalu mengarah ke materi kunci asli untuk versi kunci tersebut kecuali jika telah dihancurkan. Anda dapat menyimpan key ring dalam jumlah tidak terbatas, kunci yang diaktifkan atau dinonaktifkan, dan versi kunci yang diaktifkan, dinonaktifkan, atau dihancurkan. Untuk mengetahui informasi lebih lanjut, lihat Harga dan Kuota.
Untuk mempelajari cara menghancurkan atau memulihkan versi kunci, lihat Menghancurkan dan memulihkan versi kunci.
Jika Anda menjadwalkan penghentian project Google Cloud, Anda tidak akan dapat mengakses resource project, termasuk resource Cloud KMS, kecuali jika Anda memulihkan project dengan mengikuti langkah-langkah untuk memulihkan project.
Langkah selanjutnya
- Buat kunci.
- Pelajari lebih lanjut izin dan peran di Cloud KMS.