Halaman ini menjelaskan setiap jenis resource di Cloud KMS. Anda dapat mempelajari hierarki resource lebih lanjut.
Kunci
Kunci Cloud KMS adalah objek bernama yang berisi satu atau beberapa versi kunci, beserta metadata untuk kunci tersebut. Sebuah kunci ada tepat pada satu key ring yang terkait dengan lokasi tertentu.
Anda dapat mengizinkan dan menolak akses ke kunci menggunakan izin dan peran Identity and Access Management (IAM). Anda tidak dapat mengelola akses ke versi kunci.
Menonaktifkan atau menghancurkan kunci juga akan menonaktifkan atau menghancurkan setiap versi kunci.
Bagian berikut membahas properti kunci.
Bergantung pada konteksnya, properti kunci ditampilkan dalam format yang berbeda.
- Saat menggunakan Google Cloud CLI atau Cloud Key Management Service API, properti ditampilkan sebagai string huruf kapital, seperti
SOFTWARE. - Saat menggunakan konsol Google Cloud, properti akan ditampilkan sebagai string dengan kapitalisasi awal, seperti Software.
Di bagian berikut, setiap format ditampilkan di tempat yang sesuai.
Jenis
Jenis kunci menentukan apakah kunci tersebut akan digunakan untuk operasi kriptografi simetris atau asimetris.
Dalam enkripsi atau penandatanganan simetris, kunci yang sama digunakan untuk mengenkripsi dan mendekripsi data atau untuk menandatangani dan memverifikasi tanda tangan.
Dalam enkripsi atau penandatanganan asimetris, kunci terdiri dari kunci publik dan kunci pribadi. Kunci pribadi dengan kunci publik terkaitnya disebut pasangan kunci.
- Kunci pribadi adalah data sensitif, dan diperlukan untuk mendekripsi data atau untuk menandatangani, bergantung pada tujuan kunci yang dikonfigurasi.
- Kunci publik tidak dianggap sensitif, dan diperlukan untuk mengenkripsi data atau memverifikasi tanda tangan, tergantung tujuan kunci yang dikonfigurasi.
Jenis kunci merupakan salah satu komponen dari tujuan kunci, dan tidak dapat diubah setelah kunci dibuat.
Tujuan
Tujuan kunci menunjukkan jenis operasi kriptografis yang dapat digunakan kunci tersebut—misalnya, Enkripsi/dekripsi simetris atau Penandatanganan asimetris. Anda yang memilih tujuannya saat membuat kunci, dan semua versi kunci memiliki fungsi yang sama. Tujuan kunci tidak dapat diubah setelah kunci itu dibuat. Untuk informasi selengkapnya tentang tujuan utama, lihat Tujuan utama.
Protection level
Tingkat perlindungan kunci menentukan lingkungan penyimpanan kunci dalam penyimpanan. Tingkat perlindungannya adalah salah satu dari berikut ini:
- Software (
SOFTWAREdi Google Cloud CLI dan Cloud Key Management Service API) - HSM
- Eksternal (
EXTERNALdi Google Cloud CLI dan Cloud Key Management Service API) - External_VPC (
EXTERNAL_VPCdi Google Cloud CLI dan Cloud Key Management Service API)
Tingkat perlindungan kunci tidak dapat diubah setelah kunci dibuat.
Versi utama
Kunci dapat memiliki beberapa versi kunci yang aktif dan diaktifkan sekaligus. Kunci enkripsi simetris memiliki versi kunci utama, yang merupakan versi kunci yang digunakan secara default untuk mengenkripsi data jika Anda tidak menentukan versi kunci.
Kunci asimetris tidak memiliki versi utama; Anda harus menentukan versi saat menggunakan kunci.
Untuk kunci simetris dan asimetris, Anda dapat menggunakan versi kunci apa pun yang diaktifkan untuk mengenkripsi dan mendekripsi data atau menandatangani dan memvalidasi tanda tangan.
Versi kunci
Setiap versi kunci berisi materi kunci yang digunakan untuk enkripsi atau penandatanganan. Setiap
versi diberi nomor versi, mulai dari 1. Memutar kunci akan membuat
versi kunci baru. Anda dapat mempelajari rotasi
kunci lebih lanjut.
Untuk mendekripsi data atau memverifikasi tanda tangan, Anda harus menggunakan versi kunci yang sama dengan yang digunakan untuk mengenkripsi atau menandatangani data. Untuk menemukan ID resource versi kunci, baca artikel Mengambil ID resource kunci.
Anda dapat menonaktifkan atau menghancurkan setiap versi kunci tanpa memengaruhi versi lainnya. Anda juga dapat menonaktifkan atau menghancurkan semua versi kunci untuk kunci tertentu.
Anda tidak dapat mengontrol akses ke versi kunci secara terpisah dari izin yang berlaku pada kunci tersebut. Memberikan akses ke kunci akan memberikan akses ke semua versi kunci yang diaktifkan tersebut.
Untuk alasan keamanan, tidak ada akun utama Google Cloud yang dapat melihat atau mengekspor materi kunci kriptografis mentah yang diwakili oleh versi kunci. Sebagai gantinya, Cloud KMS mengakses materi kunci atas nama Anda.
Bagian berikut membahas properti versi kunci.
Negara bagian/Provinsi
Setiap versi kunci memiliki state yang memberi tahu Anda apa statusnya. Biasanya, status kunci adalah salah satu dari berikut ini:
- Diaktifkan
- Nonaktif
- Dijadwalkan untuk dimusnahkan
- Dihancurkan
Versi kunci hanya dapat digunakan jika diaktifkan. Versi kunci dalam status apa pun selain dihancurkan akan menimbulkan biaya. Untuk mengetahui informasi selengkapnya tentang status versi kunci dan cara versi bertransisi di antara versi tersebut, lihat Status versi kunci.
Algoritma
Algoritma versi kunci menentukan cara materi kunci dibuat dan parameter yang diperlukan untuk operasi kriptografi. Kunci simetris dan asimetris menggunakan algoritma yang berbeda. Enkripsi dan penandatanganan menggunakan algoritma yang berbeda.
Jika Anda tidak menentukan algoritma saat membuat versi kunci baru, algoritme dari versi sebelumnya akan digunakan.
Terlepas dari algoritma apa pun, Cloud KMS menggunakan enkripsi probabilistik, sehingga teks biasa yang sama yang dienkripsi dengan versi kunci yang sama dua kali tidak menampilkan ciphertext yang sama.
Key ring
Key ring mengatur kunci di lokasi Google Cloud tertentu dan memungkinkan Anda mengelola kontrol akses di grup kunci. Nama key ring tidak harus unik di seluruh project Google Cloud, tetapi harus unik dalam lokasi yang ditentukan. Setelah dibuat, key ring tidak dapat dihapus. Key ring tidak menimbulkan biaya apa pun.
Gagang kunci
Handel kunci adalah resource Cloud KMS yang membantu Anda menjangkau pemisahan tugas dengan aman guna membuat kunci Cloud KMS baru untuk CMEK menggunakan Autokey. Pembuatan tuas kunci dalam project resource memicu pembuatan kunci Cloud KMS dalam project kunci untuk penyiapan CMEK on demand.
Handel kunci menyimpan referensi ke kunci Cloud KMS yang dibuat. Anda dapat mengambil ID resource Cloud KMS kunci yang dibuat oleh Autokey dari handle kunci. Alat infrastruktur sebagai kode seperti Terraform dapat berfungsi dengan tuas kunci untuk mengelola resource yang dilindungi CMEK tanpa hak istimewa yang ditingkatkan.
Tuas kunci tidak terlihat di Konsol Google Cloud, tetapi untuk menggunakan Autokey dengan REST API atau Terraform, Anda harus menggunakan tuas kunci. Untuk mengetahui informasi selengkapnya tentang penggunaan tuas kunci, lihat Membuat resource yang dilindungi menggunakan Kunci Otomatis Cloud KMS.
Konfigurasi kunci otomatis
Konfigurasi Kunci Otomatis adalah resource tingkat folder yang menentukan apakah Kunci Otomatis diaktifkan untuk folder tersebut atau tidak. Konfigurasi Kunci Otomatis juga menentukan project kunci yang digunakan untuk kunci yang dibuat oleh Kunci Otomatis Cloud KMS guna melindungi resource dalam folder tersebut. Jika mengaktifkan Kunci Otomatis, Anda akan membuat atau memperbarui konfigurasi Kunci Otomatis di folder resource. Untuk mengetahui informasi selengkapnya tentang penggunaan konfigurasi Kunci Otomatis, lihat Mengaktifkan Kunci Otomatis Cloud KMS.
Koneksi EKM
Koneksi EKM adalah resource Cloud KMS yang mengatur koneksi VPC ke EKM lokal Anda di lokasi Google Cloud tertentu. Koneksi EKM memungkinkan Anda terhubung ke dan menggunakan kunci dari pengelola kunci eksternal melalui jaringan VPC. Setelah dibuat, koneksi EKM tidak dapat dihapus. Koneksi EKM tidak membawa biaya apa pun.
Mengambil ID resource
Beberapa panggilan API dan gcloud CLI mungkin mengharuskan Anda merujuk ke key ring, kunci, atau versi kunci berdasarkan ID resource-nya, yaitu string yang mewakili nama CryptoKeyVersion yang sepenuhnya memenuhi syarat. ID resource bersifat hierarkis, mirip dengan jalur sistem file. ID resource kunci juga berisi informasi tentang key ring dan lokasi.
| Objek | Format ID resource |
|---|---|
| Key ring | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING |
| Kunci | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME |
| Versi kunci | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION |
| Gagang kunci | projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE |
| Koneksi EKM | projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION |
| Konfigurasi kunci otomatis | folders/FOLDER_NUMBER/autopilotConfig |
Untuk mempelajari lebih lanjut, lihat Mendapatkan ID resource Cloud KMS.
Mengatur sumber daya
Saat berencana mengatur resource di project Google Cloud, pertimbangkan aturan bisnis dan rencana pengelolaan akses Anda. Anda dapat memberikan akses ke satu kunci, semua kunci pada key ring, atau semua kunci dalam sebuah project. Pola organisasi berikut adalah hal yang umum:
- Menurut lingkungan, seperti
prod,test, dandevelop. - Menurut area kerja, seperti
payrollatauinsurance_claims. - Berdasarkan sensitivitas atau karakteristik data, seperti
unrestricted,restricted,confidential,top-secret.
Siklus hidup resource
Key ring, kunci, dan versi kunci tidak dapat dihapus. Hal ini memastikan bahwa ID resource dari versi kunci bersifat unik dan selalu mengarah ke materi kunci asli untuk versi kunci tersebut kecuali jika telah dimusnahkan. Anda dapat menyimpan key ring dalam jumlah tak terbatas, kunci yang diaktifkan atau dinonaktifkan, dan versi kunci yang diaktifkan, dinonaktifkan, atau dihancurkan. Untuk mengetahui informasi lebih lanjut, baca artikel Harga dan Kuota.
Untuk mempelajari cara menghancurkan atau memulihkan versi kunci, lihat Menghancurkan dan memulihkan versi kunci.
Setelah menjadwalkan penghentian project Google Cloud, Anda tidak dapat mengakses resource project, termasuk resource Cloud KMS, kecuali jika Anda memulihkan project dengan mengikuti langkah-langkah untuk memulihkan project.
Langkah selanjutnya
- Buat kunci.
- Pelajari lebih lanjut izin dan peran di Cloud KMS.