Halaman ini menjelaskan cara menggunakan kunci enkripsi yang dikelola pelanggan Cloud KMS di layanan Google Cloud lainnya untuk mengamankan resource Anda. Untuk informasi selengkapnya, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).
Jika mendukung CMEK, layanan tersebut dikatakan memiliki integrasi CMEK. Beberapa layanan, seperti GKE, memiliki beberapa integrasi CMEK untuk melindungi berbagai jenis data yang terkait dengan layanan. Untuk daftar layanan dengan integrasi CMEK, lihat Mengaktifkan CMEK untuk layanan yang didukung di halaman ini.
Sebelum memulai
Sebelum dapat menggunakan kunci Cloud KMS di layanan Google Cloud lainnya, Anda harus memiliki resource project untuk menyimpan kunci Cloud KMS. Sebaiknya gunakan project terpisah untuk resource Cloud KMS Anda yang tidak berisi resource Google Cloud lainnya.
Integrasi CMEK
Bersiap untuk mengaktifkan integrasi CMEK
Untuk mengetahui langkah-langkah yang tepat guna mengaktifkan CMEK, lihat dokumentasi untuk layanan Google Cloud yang relevan. Anda dapat menemukan link ke dokumentasi CMEK untuk setiap layanan di Mengaktifkan CMEK untuk layanan yang didukung di halaman ini. Untuk setiap layanan, Anda dapat mengikuti langkah-langkah yang mirip dengan berikut:
Buat key ring atau pilih key ring yang ada. Key ring harus berada sedekat mungkin secara geografis dengan resource yang ingin Anda amankan.
Di key ring yang dipilih, buat kunci atau pilih kunci yang ada. Pastikan tingkat perlindungan, tujuan, dan algoritma kunci sesuai untuk resource yang ingin Anda lindungi. Kunci ini adalah kunci CMEK.
Dapatkan ID resource untuk kunci CMEK. Anda memerlukan ID resource ini nanti.
Berikan peran IAM Pengenkripsi/Pendekripsi CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter
) pada kunci CMEK ke akun layanan untuk layanan tersebut.
Setelah membuat kunci dan menetapkan izin yang diperlukan, Anda dapat membuat atau mengonfigurasi layanan untuk menggunakan kunci CMEK.
Menggunakan kunci Cloud KMS dengan layanan yang terintegrasi dengan CMEK
Langkah-langkah berikut menggunakan Secret Manager sebagai contoh. Untuk mengetahui langkah-langkah yang tepat guna menggunakan kunci CMEK Cloud KMS di layanan tertentu, temukan layanan tersebut dalam daftar layanan yang terintegrasi dengan CMEK.
Di Secret Manager, Anda dapat menggunakan CMEK untuk melindungi data dalam penyimpanan.
Di konsol Google Cloud, buka halaman Secret Manager.
Untuk membuat secret, klik Buat Secret.
Di bagian Enkripsi, pilih Gunakan kunci enkripsi yang dikelola pelanggan (CMEK).
Di kotak Encryption key, lakukan hal berikut:
Opsional: Untuk menggunakan kunci di project lain, lakukan hal berikut:
- Klik Switch project.
- Masukkan semua atau sebagian nama project di kotak penelusuran, lalu pilih project.
- Untuk melihat kunci yang tersedia untuk project yang dipilih, klik Select.
Opsional: Untuk memfilter kunci yang tersedia berdasarkan lokasi, gantungan kunci, nama, atau tingkat perlindungan, masukkan istilah penelusuran di kolom filter .
Pilih kunci dari daftar kunci yang tersedia di project yang dipilih. Anda dapat menggunakan detail lokasi, ring kunci, dan tingkat perlindungan yang ditampilkan untuk memastikan Anda memilih kunci yang benar.
Jika kunci yang ingin Anda gunakan tidak ditampilkan dalam daftar, klik Masukkan kunci secara manual, lalu masukkan resource ID kunci
Selesaikan konfigurasi secret, lalu klik Create secret. Secret Manager membuat secret dan mengenkripsinya menggunakan kunci CMEK yang ditentukan.
Mengaktifkan CMEK untuk layanan yang didukung
Untuk mengaktifkan CMEK, temukan layanan yang diinginkan terlebih dahulu di tabel berikut. Anda dapat memasukkan istilah penelusuran di kolom untuk memfilter tabel. Semua layanan dalam daftar ini mendukung kunci software dan hardware (HSM). Produk yang terintegrasi dengan Cloud KMS saat menggunakan kunci Cloud EKM eksternal ditunjukkan di kolom EKM didukung.
Ikuti petunjuk untuk setiap layanan yang ingin Anda aktifkan kunci CMEK-nya.
Layanan | Dilindungi dengan CMEK | EKM didukung | Topik |
---|---|---|---|
Agent Assist | Data dalam penyimpanan | Ya | Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK) |
AI Platform Training | Data di disk VM | Tidak | Menggunakan kunci enkripsi yang dikelola pelanggan |
AlloyDB untuk PostgreSQL | Data yang ditulis ke database | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
Anti Money Laundering AI | Data dalam resource instance AML AI | Tidak | Mengenkripsi data menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) |
Apigee | Data dalam penyimpanan | Tidak | Pengantar CMEK |
Hub Apigee API | Data dalam penyimpanan | Ya | Enkripsi |
Application Integration | Data yang ditulis ke database untuk integrasi aplikasi | Tidak | Menggunakan kunci enkripsi yang dikelola pelanggan |
Artifact Registry | Data di repositori | Ya | Mengaktifkan kunci enkripsi yang dikelola pelanggan |
Pencadangan untuk GKE | Data di Backup for GKE | Ya | Tentang enkripsi CMEK Pencadangan untuk GKE |
BigQuery | Data di BigQuery | Ya | Melindungi data dengan kunci Cloud KMS |
Bigtable | Data dalam penyimpanan | Ya | Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK) |
Cloud Composer | Data lingkungan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
Cloud Data Fusion | Data lingkungan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
Cloud Healthcare API | Set data Cloud Healthcare API | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) |
Cloud Logging | Data di Router Log | Ya | Mengelola kunci yang melindungi data Log Router |
Cloud Logging | Data di penyimpanan Logging | Ya | Mengelola kunci yang melindungi data penyimpanan Logging |
Cloud Run | Image container | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan dengan Cloud Run |
Fungsi Cloud Run | Data di Cloud Run Functions | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
Cloud SQL | Data yang ditulis ke database | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
Cloud Storage | Data dalam bucket penyimpanan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
Cloud Tasks | Isi dan header tugas dalam penyimpanan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
Cloud Workstations | Data di disk VM | Ya | Mengenkripsi resource workstation |
Colab Enterprise | Runtime dan file notebook | Tidak | Menggunakan kunci enkripsi yang dikelola pelanggan |
Compute Engine | Persistent disk | Ya | Melindungi resource dengan kunci Cloud KMS |
Compute Engine | Snapshot | Ya | Melindungi resource dengan kunci Cloud KMS |
Compute Engine | Image kustom | Ya | Melindungi resource dengan kunci Cloud KMS |
Compute Engine | Image mesin | Ya | Melindungi resource dengan kunci Cloud KMS |
Insight Berbasis Percakapan | Data dalam penyimpanan | Ya | Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK) |
Migrasi Homogen Database Migration Service | Migrasi MySQL - data yang ditulis ke database | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) |
Migrasi Homogen Database Migration Service | Migrasi PostgreSQL - Data yang ditulis ke database | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) |
Migrasi Homogen Database Migration Service | Migrasi PostgreSQL ke AlloyDB - Data yang ditulis ke database | Ya | Tentang CMEK |
Migrasi Heterogen Database Migration Service | Data Oracle ke PostgreSQL dalam penyimpanan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk migrasi berkelanjutan |
Dataflow | Data status pipeline | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
Dataform | Data di repositori | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
Dataproc | Data cluster Dataproc di disk VM | Ya | Kunci enkripsi yang dikelola pelanggan |
Dataproc | Data serverless Dataproc di disk VM | Ya | Kunci enkripsi yang dikelola pelanggan |
Dataproc Metastore | Data dalam penyimpanan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
Datastream | Data dalam pengiriman | Tidak | Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) |
Dialogflow CX | Data dalam penyimpanan | Ya | Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK) |
Document AI | Data dalam penyimpanan dan data yang sedang digunakan | Ya | Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK) |
Eventarc Advanced (Pratinjau) | Data dalam penyimpanan | Tidak | Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) |
Eventarc Standard | Data dalam penyimpanan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) |
Filestore | Data dalam penyimpanan | Ya | Mengenkripsi data dengan kunci enkripsi yang dikelola pelanggan |
Firestore | Data dalam penyimpanan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) |
Google Cloud Managed Service for Apache Kafka | Data yang terkait dengan topik | Ya | Mengonfigurasi enkripsi pesan |
Google Cloud NetApp Volumes | Data dalam penyimpanan | Tidak | Membuat kebijakan CMEK |
Google Distributed Cloud | Data di node Edge | Ya | Keamanan penyimpanan lokal |
Google Kubernetes Engine | Data di disk VM | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) |
Google Kubernetes Engine | Secret lapisan aplikasi | Ya | Enkripsi Secret lapisan aplikasi |
Looker (Google Cloud core) | Data dalam penyimpanan | Ya | Mengaktifkan CMEK untuk Looker (Google Cloud core) |
Memorystore for Redis | Data dalam penyimpanan | Ya | Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK) |
Migrate to Virtual Machines | Data yang dimigrasikan dari sumber VM VMware, AWS, dan Azure | Ya | Menggunakan CMEK untuk mengenkripsi data yang disimpan selama migrasi |
Migrate to Virtual Machines | Data yang dimigrasikan dari sumber disk dan image mesin | Ya | Menggunakan CMEK untuk mengenkripsi data di disk target dan image mesin |
Pub/Sub | Data yang terkait dengan topik | Ya | Mengonfigurasi enkripsi pesan |
Secret Manager | Payload rahasia | Ya | Mengaktifkan Kunci Enkripsi yang Dikelola Pelanggan untuk Secret Manager |
Secure Source Manager | Instance | Ya | Mengenkripsi data dengan kunci enkripsi yang dikelola pelanggan |
Spanner | Data dalam penyimpanan | Ya | Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK) |
ID Pembicara (GA yang Dibatasi) | Data dalam penyimpanan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
Speech-to-Text | Data dalam penyimpanan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
Vertex AI | Data yang terkait dengan resource | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
Vertex AI Agent Builder | Data dalam penyimpanan | Tidak | Kunci enkripsi yang dikelola pelanggan |
Notebook terkelola Vertex AI Workbench | Data pengguna dalam penyimpanan | Tidak | Kunci enkripsi yang dikelola pelanggan |
Notebook Vertex AI Workbench yang dikelola pengguna | Data di disk VM | Tidak | Kunci enkripsi yang dikelola pelanggan |
Instance Vertex AI Workbench | Data di disk VM | Ya | Kunci enkripsi yang dikelola pelanggan |
Workflows | Data dalam penyimpanan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) |