Menggunakan kunci Cloud KMS di Google Cloud

Halaman ini menjelaskan cara menggunakan kunci enkripsi yang dikelola pelanggan Cloud KMS di layanan Google Cloud lainnya untuk mengamankan resource Anda. Untuk informasi selengkapnya, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Jika mendukung CMEK, layanan tersebut dikatakan memiliki integrasi CMEK. Beberapa layanan, seperti GKE, memiliki beberapa integrasi CMEK untuk melindungi berbagai jenis data yang terkait dengan layanan. Untuk daftar layanan dengan integrasi CMEK, lihat Mengaktifkan CMEK untuk layanan yang didukung di halaman ini.

Sebelum memulai

Sebelum dapat menggunakan kunci Cloud KMS di layanan Google Cloud lainnya, Anda harus memiliki resource project untuk menyimpan kunci Cloud KMS. Sebaiknya gunakan project terpisah untuk resource Cloud KMS Anda yang tidak berisi resource Google Cloud lainnya.

Integrasi CMEK

Bersiap untuk mengaktifkan integrasi CMEK

Untuk mengetahui langkah-langkah yang tepat guna mengaktifkan CMEK, lihat dokumentasi untuk layanan Google Cloud yang relevan. Anda dapat menemukan link ke dokumentasi CMEK untuk setiap layanan di Mengaktifkan CMEK untuk layanan yang didukung di halaman ini. Untuk setiap layanan, Anda dapat mengikuti langkah-langkah yang mirip dengan berikut:

  1. Buat key ring atau pilih key ring yang ada. Key ring harus berada sedekat mungkin secara geografis dengan resource yang ingin Anda amankan.

  2. Di key ring yang dipilih, buat kunci atau pilih kunci yang ada. Pastikan tingkat perlindungan, tujuan, dan algoritma kunci sesuai untuk resource yang ingin Anda lindungi. Kunci ini adalah kunci CMEK.

  3. Dapatkan ID resource untuk kunci CMEK. Anda memerlukan ID resource ini nanti.

  4. Berikan peran IAM Pengenkripsi/Pendekripsi CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) pada kunci CMEK ke akun layanan untuk layanan tersebut.

Setelah membuat kunci dan menetapkan izin yang diperlukan, Anda dapat membuat atau mengonfigurasi layanan untuk menggunakan kunci CMEK.

Menggunakan kunci Cloud KMS dengan layanan yang terintegrasi dengan CMEK

Langkah-langkah berikut menggunakan Secret Manager sebagai contoh. Untuk mengetahui langkah-langkah yang tepat guna menggunakan kunci CMEK Cloud KMS di layanan tertentu, temukan layanan tersebut dalam daftar layanan yang terintegrasi dengan CMEK.

Di Secret Manager, Anda dapat menggunakan CMEK untuk melindungi data dalam penyimpanan.

  1. Di konsol Google Cloud, buka halaman Secret Manager.

    Buka Secret Manager

  2. Untuk membuat secret, klik Buat Secret.

  3. Di bagian Enkripsi, pilih Gunakan kunci enkripsi yang dikelola pelanggan (CMEK).

  4. Di kotak Encryption key, lakukan hal berikut:

    1. Opsional: Untuk menggunakan kunci di project lain, lakukan hal berikut:

      1. Klik Switch project.
      2. Masukkan semua atau sebagian nama project di kotak penelusuran, lalu pilih project.
      3. Untuk melihat kunci yang tersedia untuk project yang dipilih, klik Select.
    2. Opsional: Untuk memfilter kunci yang tersedia berdasarkan lokasi, gantungan kunci, nama, atau tingkat perlindungan, masukkan istilah penelusuran di kolom filter .

    3. Pilih kunci dari daftar kunci yang tersedia di project yang dipilih. Anda dapat menggunakan detail lokasi, ring kunci, dan tingkat perlindungan yang ditampilkan untuk memastikan Anda memilih kunci yang benar.

    4. Jika kunci yang ingin Anda gunakan tidak ditampilkan dalam daftar, klik Masukkan kunci secara manual, lalu masukkan resource ID kunci

  5. Selesaikan konfigurasi secret, lalu klik Create secret. Secret Manager membuat secret dan mengenkripsinya menggunakan kunci CMEK yang ditentukan.

Mengaktifkan CMEK untuk layanan yang didukung

Untuk mengaktifkan CMEK, temukan layanan yang diinginkan terlebih dahulu di tabel berikut. Anda dapat memasukkan istilah penelusuran di kolom untuk memfilter tabel. Semua layanan dalam daftar ini mendukung kunci software dan hardware (HSM). Produk yang terintegrasi dengan Cloud KMS saat menggunakan kunci Cloud EKM eksternal ditunjukkan di kolom EKM didukung.

Ikuti petunjuk untuk setiap layanan yang ingin Anda aktifkan kunci CMEK-nya.

Layanan Dilindungi dengan CMEK EKM didukung Topik
Agent Assist Data dalam penyimpanan Ya Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
AI Platform Training Data di disk VM Tidak Menggunakan kunci enkripsi yang dikelola pelanggan
AlloyDB untuk PostgreSQL Data yang ditulis ke database Ya Menggunakan kunci enkripsi yang dikelola pelanggan
Anti Money Laundering AI Data dalam resource instance AML AI Tidak Mengenkripsi data menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)
Apigee Data dalam penyimpanan Tidak Pengantar CMEK
Hub Apigee API Data dalam penyimpanan Ya Enkripsi
Application Integration Data yang ditulis ke database untuk integrasi aplikasi Tidak Menggunakan kunci enkripsi yang dikelola pelanggan
Artifact Registry Data di repositori Ya Mengaktifkan kunci enkripsi yang dikelola pelanggan
Pencadangan untuk GKE Data di Backup for GKE Ya Tentang enkripsi CMEK Pencadangan untuk GKE
BigQuery Data di BigQuery Ya Melindungi data dengan kunci Cloud KMS
Bigtable Data dalam penyimpanan Ya Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
Cloud Composer Data lingkungan Ya Menggunakan kunci enkripsi yang dikelola pelanggan
Cloud Data Fusion Data lingkungan Ya Menggunakan kunci enkripsi yang dikelola pelanggan
Cloud Healthcare API Set data Cloud Healthcare API Ya Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)
Cloud Logging Data di Router Log Ya Mengelola kunci yang melindungi data Log Router
Cloud Logging Data di penyimpanan Logging Ya Mengelola kunci yang melindungi data penyimpanan Logging
Cloud Run Image container Ya Menggunakan kunci enkripsi yang dikelola pelanggan dengan Cloud Run
Fungsi Cloud Run Data di Cloud Run Functions Ya Menggunakan kunci enkripsi yang dikelola pelanggan
Cloud SQL Data yang ditulis ke database Ya Menggunakan kunci enkripsi yang dikelola pelanggan
Cloud Storage Data dalam bucket penyimpanan Ya Menggunakan kunci enkripsi yang dikelola pelanggan
Cloud Tasks Isi dan header tugas dalam penyimpanan Ya Menggunakan kunci enkripsi yang dikelola pelanggan
Cloud Workstations Data di disk VM Ya Mengenkripsi resource workstation
Colab Enterprise Runtime dan file notebook Tidak Menggunakan kunci enkripsi yang dikelola pelanggan
Compute Engine Persistent disk Ya Melindungi resource dengan kunci Cloud KMS
Compute Engine Snapshot Ya Melindungi resource dengan kunci Cloud KMS
Compute Engine Image kustom Ya Melindungi resource dengan kunci Cloud KMS
Compute Engine Image mesin Ya Melindungi resource dengan kunci Cloud KMS
Insight Berbasis Percakapan Data dalam penyimpanan Ya Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
Migrasi Homogen Database Migration Service Migrasi MySQL - data yang ditulis ke database Ya Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)
Migrasi Homogen Database Migration Service Migrasi PostgreSQL - Data yang ditulis ke database Ya Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)
Migrasi Homogen Database Migration Service Migrasi PostgreSQL ke AlloyDB - Data yang ditulis ke database Ya Tentang CMEK
Migrasi Heterogen Database Migration Service Data Oracle ke PostgreSQL dalam penyimpanan Ya Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk migrasi berkelanjutan
Dataflow Data status pipeline Ya Menggunakan kunci enkripsi yang dikelola pelanggan
Dataform Data di repositori Ya Menggunakan kunci enkripsi yang dikelola pelanggan
Dataproc Data cluster Dataproc di disk VM Ya Kunci enkripsi yang dikelola pelanggan
Dataproc Data serverless Dataproc di disk VM Ya Kunci enkripsi yang dikelola pelanggan
Dataproc Metastore Data dalam penyimpanan Ya Menggunakan kunci enkripsi yang dikelola pelanggan
Datastream Data dalam pengiriman Tidak Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)
Dialogflow CX Data dalam penyimpanan Ya Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
Document AI Data dalam penyimpanan dan data yang sedang digunakan Ya Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
Eventarc Advanced (Pratinjau) Data dalam penyimpanan Tidak Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)
Eventarc Standard Data dalam penyimpanan Ya Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)
Filestore Data dalam penyimpanan Ya Mengenkripsi data dengan kunci enkripsi yang dikelola pelanggan
Firestore Data dalam penyimpanan Ya Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)
Google Cloud Managed Service for Apache Kafka Data yang terkait dengan topik Ya Mengonfigurasi enkripsi pesan
Google Cloud NetApp Volumes Data dalam penyimpanan Tidak Membuat kebijakan CMEK
Google Distributed Cloud Data di node Edge Ya Keamanan penyimpanan lokal
Google Kubernetes Engine Data di disk VM Ya Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)
Google Kubernetes Engine Secret lapisan aplikasi Ya Enkripsi Secret lapisan aplikasi
Looker (Google Cloud core) Data dalam penyimpanan Ya Mengaktifkan CMEK untuk Looker (Google Cloud core)
Memorystore for Redis Data dalam penyimpanan Ya Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
Migrate to Virtual Machines Data yang dimigrasikan dari sumber VM VMware, AWS, dan Azure Ya Menggunakan CMEK untuk mengenkripsi data yang disimpan selama migrasi
Migrate to Virtual Machines Data yang dimigrasikan dari sumber disk dan image mesin Ya Menggunakan CMEK untuk mengenkripsi data di disk target dan image mesin
Pub/Sub Data yang terkait dengan topik Ya Mengonfigurasi enkripsi pesan
Secret Manager Payload rahasia Ya Mengaktifkan Kunci Enkripsi yang Dikelola Pelanggan untuk Secret Manager
Secure Source Manager Instance Ya Mengenkripsi data dengan kunci enkripsi yang dikelola pelanggan
Spanner Data dalam penyimpanan Ya Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
ID Pembicara (GA yang Dibatasi) Data dalam penyimpanan Ya Menggunakan kunci enkripsi yang dikelola pelanggan
Speech-to-Text Data dalam penyimpanan Ya Menggunakan kunci enkripsi yang dikelola pelanggan
Vertex AI Data yang terkait dengan resource Ya Menggunakan kunci enkripsi yang dikelola pelanggan
Vertex AI Agent Builder Data dalam penyimpanan Tidak Kunci enkripsi yang dikelola pelanggan
Notebook terkelola Vertex AI Workbench Data pengguna dalam penyimpanan Tidak Kunci enkripsi yang dikelola pelanggan
Notebook Vertex AI Workbench yang dikelola pengguna Data di disk VM Tidak Kunci enkripsi yang dikelola pelanggan
Instance Vertex AI Workbench Data di disk VM Ya Kunci enkripsi yang dikelola pelanggan
Workflows Data dalam penyimpanan Ya Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)