Menggunakan kunci Cloud KMS di Google Cloud

Halaman ini menjelaskan cara menggunakan kunci enkripsi yang dikelola pelanggan Cloud KMS di layanan Google Cloud lainnya untuk mengamankan resource Anda. Untuk mengetahui informasi selengkapnya, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Jika layanan mendukung CMEK, layanan tersebut dikatakan memiliki integrasi CMEK. Beberapa layanan, seperti GKE, memiliki beberapa integrasi CMEK untuk melindungi berbagai jenis data yang terkait dengan layanan tersebut. Untuk mengetahui daftar layanan dengan integrasi CMEK, lihat Mengaktifkan CMEK untuk layanan yang didukung di halaman ini.

Sebelum memulai

Sebelum dapat menggunakan kunci Cloud KMS di layanan Google Cloud lainnya, Anda harus memiliki resource project untuk memuat kunci Cloud KMS. Sebaiknya gunakan project terpisah untuk resource Cloud KMS Anda yang tidak berisi resource Google Cloud lainnya.

Integrasi CMEK

Bersiap untuk mengaktifkan integrasi CMEK

Guna mengetahui langkah-langkah yang tepat untuk mengaktifkan CMEK, lihat dokumentasi untuk layanan Google Cloud yang relevan. Anda dapat menemukan link ke dokumentasi CMEK untuk setiap layanan di bagian Mengaktifkan CMEK untuk layanan yang didukung di halaman ini. Untuk setiap layanan, Anda dapat mengikuti langkah-langkah berikut:

Buat key ring atau pilih key ring yang ada. Key ring harus ditempatkan sedekat mungkin secara geografis dengan resource yang ingin Anda amankan.
Pada key ring yang dipilih, buat kunci atau pilih kunci yang ada. Pastikan tingkat perlindungan, tujuan, dan algoritme untuk kunci sesuai untuk resource yang ingin Anda lindungi. Kunci ini adalah kunci CMEK.
Dapatkan ID resource untuk kunci CMEK. Anda memerlukan ID resource ini nanti.
Memberikan peran IAM CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) di kunci CMEK ke akun layanan untuk layanan tersebut.

Catatan: Anda dapat memberikan peran Encrypter/Decrypter pada Cloud KMS untuk level kunci, key ring, project, folder, atau organisasi. Untuk mengikuti prinsip hak istimewa terendah, sebaiknya berikan peran ini pada tingkat terendah yang memenuhi kebutuhan Anda.
Perhatian: Selama akun layanan Anda memiliki peran Cloud KMS CryptoKey Encrypter/Decrypter, layanan dapat mengenkripsi dan mendekripsi datanya. Jika Anda mencabut peran atau menonaktifkan atau menghancurkan kunci CMEK, data tidak dapat diakses lagi. Membiarkan kunci CMEK tidak dapat diakses dapat memengaruhi layanan Anda.

Setelah membuat kunci dan menetapkan izin yang diperlukan, Anda dapat membuat atau mengonfigurasi layanan untuk menggunakan kunci CMEK Anda.

Menggunakan kunci Cloud KMS dengan layanan yang terintegrasi dengan CMEK

Langkah-langkah berikut menggunakan Secret Manager sebagai contoh. Untuk mengetahui langkah-langkah yang tepat dalam menggunakan kunci CMEK Cloud KMS dalam layanan tertentu, cari layanan tersebut di daftar layanan yang terintegrasi dengan CMEK.

Di Secret Manager, Anda dapat menggunakan CMEK untuk melindungi data dalam penyimpanan.

Di konsol Google Cloud, buka halaman Secret Manager.

Buka Secret Manager
Untuk membuat secret, klik Create Secret.
Di bagian Enkripsi, pilih Gunakan kunci enkripsi yang dikelola pelanggan (CMEK).
Di kotak Kunci enkripsi, lakukan hal berikut:
1. Opsional: Untuk menggunakan kunci di project lain, lakukan tindakan berikut:
  1. Klik Ganti project.
  2. Masukkan semua atau sebagian nama project di kotak penelusuran, lalu pilih project tersebut.
  3. Untuk melihat kunci yang tersedia untuk project yang dipilih, klik Select.
2. Opsional: Untuk memfilter kunci yang tersedia menurut lokasi, key ring, nama, atau tingkat perlindungan, masukkan istilah penelusuran di panel filter .
3. Pilih kunci dari daftar kunci yang tersedia di project yang dipilih. Anda dapat menggunakan detail lokasi, key ring, dan tingkat perlindungan yang ditampilkan untuk memastikan Anda memilih kunci yang benar.
4. Jika kunci yang ingin Anda gunakan tidak ditampilkan dalam daftar, klik Enter key manually lalu masukkan ID resource kunci
Selesaikan konfigurasi secret Anda, lalu klik Create secret. Secret Manager membuat rahasia tersebut dan mengenkripsinya menggunakan kunci CMEK yang ditentukan.

Mengaktifkan CMEK untuk layanan yang didukung

Untuk mengaktifkan CMEK, pertama-tama temukan layanan yang diinginkan pada tabel berikut. Anda dapat memasukkan istilah penelusuran di kolom untuk memfilter tabel. Semua layanan dalam daftar ini mendukung kunci software dan hardware (HSM). Produk yang terintegrasi dengan Cloud KMS saat menggunakan kunci Cloud EKM eksternal ditunjukkan di kolom Didukung EKM.

Ikuti petunjuk untuk setiap layanan yang kunci CMEKnya ingin Anda aktifkan.

Layanan	Dilindungi dengan CMEK	Didukung EKM	Topik
AI Platform Training	Data di disk VM	Tidak	Menggunakan kunci enkripsi yang dikelola pelanggan
AlloyDB untuk PostgreSQL	Data yang ditulis ke database	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan
Anti Money Laundering AI	Data dalam resource instance AML AI	Tidak	Mengenkripsi data menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)
Application Integration	Data yang ditulis ke database untuk integrasi aplikasi	Tidak	Menggunakan kunci enkripsi yang dikelola pelanggan
Artifact Registry	Data dalam repositori	Ya	Mengaktifkan kunci enkripsi yang dikelola pelanggan
Pencadangan untuk GKE	Data di Pencadangan untuk GKE	Ya	Tentang Pencadangan untuk enkripsi GKE CMEK
BigQuery	Data di BigQuery	Ya	Melindungi data dengan kunci Cloud KMS
Bigtable	Data dalam penyimpanan	Ya	Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
Cloud Composer	Data lingkungan	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan
Cloud Data Fusion	Data lingkungan	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan
Cloud Functions	Data di Cloud Functions	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan
Cloud Logging	Data di Router Log	Ya	Mengelola kunci yang melindungi data Router Log
Cloud Logging	Data di penyimpanan Logging	Ya	Mengelola kunci yang melindungi data penyimpanan Logging
Cloud Run	Image container	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan dengan Cloud Run
Cloud SQL	Data yang ditulis ke database	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan
Cloud Storage	Data di bucket penyimpanan	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan
Cloud Tasks	Isi tugas dan header dalam penyimpanan	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan
Cloud Workstations	Data di disk VM	Ya	Mengenkripsi resource workstation
Compute Engine	Persistent disk	Ya	Melindungi resource dengan kunci Cloud KMS
Compute Engine	Snapshot	Ya	Melindungi resource dengan kunci Cloud KMS
Compute Engine	Image kustom	Ya	Melindungi resource dengan kunci Cloud KMS
Compute Engine	Image mesin	Ya	Melindungi resource dengan kunci Cloud KMS
Contact Center AI Insights	Data dalam penyimpanan	Ya	Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
Migrasi Homogen Database Migration Service	Migrasi MySQL - data yang ditulis ke database	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)
Migrasi Homogen Database Migration Service	Migrasi PostgreSQL - Data yang ditulis ke database	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)
Migrasi Homogen Database Migration Service	Migrasi PostgreSQL ke AlloyDB - Data yang ditulis ke database	Ya	Tentang CMEK
Migrasi Heterogen Database Migration Service	Data Oracle ke PostgreSQL dalam penyimpanan	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK) untuk migrasi berkelanjutan
Dataflow	Data status pipeline	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan
Formulir data (Pratinjau)	Data dalam repositori	Tidak	Menggunakan kunci enkripsi yang dikelola pelanggan
Dataproc	Data cluster Dataproc pada disk VM	Ya	Kunci enkripsi yang dikelola pelanggan
Dataproc	Data serverless Dataproc pada disk VM	Ya	Kunci enkripsi yang dikelola pelanggan
Dataproc Metastore	Data dalam penyimpanan	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan
Datastream	Data dalam pengiriman	Tidak	Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)
Dialogflow CX	Data dalam penyimpanan	Tidak	Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
Document AI	Data dalam penyimpanan dan data yang digunakan	Ya	Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
Eventarc	Data dalam penyimpanan	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
Filestore	Data dalam penyimpanan	Ya	Mengenkripsi data dengan kunci enkripsi yang dikelola pelanggan
Firestore (Pratinjau)	Data dalam penyimpanan	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
Google Distributed Cloud Edge	Data di node Edge	Ya	Keamanan penyimpanan lokal
Google Kubernetes Engine	Data di disk VM	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)
Google Kubernetes Engine	Rahasia lapisan aplikasi	Ya	Enkripsi Secret lapisan aplikasi
Looker (Google Cloud core)	Data dalam penyimpanan	Ya	Mengaktifkan CMEK untuk Looker (Google Cloud core)
Memorystore for Redis	Data dalam penyimpanan	Ya	Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
Migrate to Virtual Machines (Pratinjau)	Data yang dimigrasikan dari sumber VMware	Ya	Mendaftarkan Migrate Connector sebagai sumber Google Cloud
Migrate to Virtual Machines (Pratinjau)	Data yang dimigrasikan dari sumber AWS	Ya	Membuat sumber AWS
Migrate to Virtual Machines (Pratinjau)	Data yang dimigrasikan dari sumber Azure	Ya	Membuat sumber Azure
Migrate to Virtual Machines (Pratinjau)	Disk yang dimigrasikan	Ya	Mengonfigurasi target untuk disk VM yang dimigrasikan
Migrate to Virtual Machines (Pratinjau)	VM yang dimigrasikan	Ya	Mengonfigurasi target untuk VM yang dimigrasikan
Pub/Sub	Data yang terkait dengan topik	Ya	Mengonfigurasi enkripsi pesan
Secret Manager	Payload rahasia	Ya	Mengaktifkan Kunci Enkripsi yang Dikelola Pelanggan untuk Secret Manager
Secure Source Manager	Instance	Ya	Mengenkripsi data dengan kunci enkripsi yang dikelola pelanggan
Spanner	Data dalam penyimpanan	Ya	Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
ID Pembicara (GA Terbatas)	Data dalam penyimpanan	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan
Speech-to-Text	Data dalam penyimpanan	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan
Vertex AI	Data yang terkait dengan resource	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan
Notebook terkelola Vertex AI Workbench	Data pengguna dalam penyimpanan	Tidak	Kunci enkripsi yang dikelola pelanggan
Notebook Vertex AI Workbench yang dikelola pengguna	Data di disk VM	Tidak	Kunci enkripsi yang dikelola pelanggan
Instance Vertex AI Workbench	Data di disk VM	Ya	Kunci enkripsi yang dikelola pelanggan
Workflows	Data dalam penyimpanan	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)