Mengenkripsi data dengan kunci enkripsi yang dikelola pelanggan

Secara default, Secure Source Manager mengenkripsi konten pelanggan dalam penyimpanan. Secure Source Manager menangani enkripsi untuk Anda tanpa perlu tindakan tambahan dari Anda. Opsi ini disebut enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Secure Source Manager. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melihat log audit dan mengontrol siklus proses kunci. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Anda yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Secure Source Manager Anda mirip dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Cloud KMS dapat berjalan di project terpisah tempat Anda mengelola kunci secara terpusat untuk beberapa project, atau di project yang sama Google Cloud dengan Secure Source Manager. Untuk mendukung pemisahan tugas dan kontrol yang lebih besar atas akses ke kunci, sebaiknya buat dan kelola kunci dalam project terpisah yang tidak menyertakan resource lain. Google Cloud

Anda menetapkan kunci Cloud KMS saat membuat instance. Anda tidak dapat mengubah mekanisme enkripsi instance yang ada. Jika memiliki instance yang dienkripsi CMEK, Anda tidak dapat mengubah mekanisme enkripsi ke enkripsi default Google atau menetapkan kunci Cloud Key Management Service yang berbeda untuk enkripsi.

Instance harus dibuat di lokasi yang sama dengan kunci Cloud KMS.

Saat Anda menggunakan CMEK di Secure Source Manager, project Anda dapat memakai kuota permintaan kriptografis Cloud KMS. Instance yang dienkripsi CMEK menggunakan kuota ini pada waktu pembuatan. Operasi enkripsi dan dekripsi menggunakan kunci CMEK memengaruhi kuota Cloud KMS hanya jika Anda menggunakan kunci eksternal (Cloud EKM). Untuk mengetahui informasi selengkapnya, lihat Kuota Cloud KMS.

Membuat kunci CMEK dan memberikan izin

Petunjuk berikut menjelaskan cara membuat kunci dan memberikan izin akun layanan Secure Source Manager pada kunci tersebut.

1. Di project Google Cloud tempat Anda ingin mengelola kunci:

   1. Aktifkan Cloud KMS API.

   2. Buat key ring dan kunci menggunakan salah satu opsi berikut:

      • Buat key ring dan kunci langsung di Cloud KMS.
      • Gunakan kunci yang dikelola secara eksternal. Buat kunci eksternal, lalu buat kunci Cloud EKM untuk menyediakan kunci tersebut melalui Cloud KMS.

      Lokasi kunci Cloud KMS harus cocok dengan lokasi project tempat Anda ingin membuat instance Secure Source Manager.

2. Jika Anda membuat instance Secure Source Manager pertama di project, Anda harus membuat agen layanan Secure Source Manager secara manual dengan menjalankan perintah berikut:

   gcloud beta services identity create \
   --service=securesourcemanager.googleapis.com \
   --project=PROJECT
   

   Dengan PROJECT adalah project ID project tempat Anda akan membuat instance Secure Source Manager.

   Setelah membuat akun layanan per produk, per project (P4SA), Anda harus memberikan peran Secure Source Manager Service Agent (roles/securesourcemanager.serviceAgent) kepada prinsipal service-PROJECT-NUMBER@gcp-sa-sourcemanager.atau pembuatan instance akan gagal.

3. Berikan peran IAM CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) ke akun layanan Secure Source Manager. Beri izin ini pada kunci yang Anda buat.

   Konsol

   1. Buka halaman Key management.

      Buka Key Management

   2. Pilih key ring yang ingin Anda gunakan, buka halaman Detail key ring, lalu pilih kunci yang Anda buat.

   3. Memberikan akses ke akun layanan Secure Source Manager:

      1. Klik TAMBAHKAN PRINSIP.
      2. Tambahkan akun layanan Secure Source Manager. Akun layanannya adalah service-PROJECT-NUMBER@gcp-sa-sourcemanager., dengan PROJECT-NUMBER adalah nomor project dari project Google Cloud tempat Secure Source Manager diaktifkan.
      3. Di Pilih peran, pilih Cloud KMS > Cloud KMS CryptoKey Encrypter/Decrypter.
      4. Klik SIMPAN.

   4. Ulangi langkah sebelumnya untuk memberikan akses ke akun yang akan membuat instance Secure Source Manager.

   5. Kembali ke halaman Pengelolaan kunci, pilih key ring Anda, lalu buka halaman Detail key ring. Kemudian, pilih kunci lagi.

   6. Pilih SHOW INFO PANEL. Anda akan melihat peran di kolom Peran/Anggota.

   gcloud

   1. Jalankan perintah berikut untuk memberikan akses ke akun layanan Secure Source Manager:

      gcloud kms keys add-iam-policy-binding [--project=PROJECT] \
             KEY_NAME --location LOCATION --keyring=KEY_RING \
             --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-sourcemanager. \
             --role roles/cloudkms.cryptoKeyEncrypterDecrypter
      

      Ganti kode berikut:

      • PROJECT: ID project yang berisi kunci
      • KEY_NAME: adalah nama kunci
      • LOCATION: lokasi kunci. Lokasi kunci harus cocok dengan lokasi project tempat Anda ingin men-deploy instance Secure Source Manager
      • KEY_RING: nama key ring
      • PROJECT_NUMBER: nomor project dari Google Cloud project yang mengaktifkan Secure Source Manager

   2. Ulangi langkah sebelumnya untuk memberikan akses ke akun yang akan membuat instance Secure Source Manager.

   Untuk mengetahui informasi selengkapnya tentang perintah ini, lihat dokumentasi gcloud kms keys add-iam-policy-binding.

Hapus akses

Ada beberapa cara untuk menghapus akses ke repositori yang dienkripsi CMEK:

• Cabut peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS dari akun layanan Secure Source Manager menggunakan Google Cloud konsol atau gcloud CLI.
• Nonaktifkan sementara kunci CMEK.
• Hancurkan secara permanen kunci CMEK.

Sebaiknya Anda mencabut izin dari akun layanan Secure Source Manager sebelum menonaktifkan atau menghapus kunci. Perubahan pada izin akan konsisten dalam hitungan detik, sehingga Anda dapat mengamati dampak penonaktifan atau penghancuran kunci.

Jika Anda menonaktifkan atau menghancurkan kunci enkripsi untuk sebuah instance, Anda akan kehilangan kemampuan untuk melihat atau mengambil data dari instance tersebut. Semua data yang disimpan di instance menjadi tidak dapat diakses, termasuk histori kode, permintaan pull, dan masalah.

Pengguna dengan peran Secure Source Manager Instance Manager atau peran Pemilik Instance dapat menghapus instance.

Kebijakan organisasi CMEK

Secure Source Manager mendukung batasan kebijakan organisasi yang dapat mewajibkan perlindungan CMEK.

Kebijakan dapat membatasi CryptoKey Cloud KMS yang dapat digunakan untuk perlindungan CMEK.

• Jika Secure Source Manager API tercantum dalam daftar kebijakan layanan Deny untuk batasan constraints/gcp.restrictNonCmekServices, Secure Source Manager akan menolak pembuatan instance baru yang tidak dilindungi CMEK.

• Jika constraints/gcp.restrictCmekCryptoKeyProjects dikonfigurasi, Secure Source Manager akan membuat instance yang dilindungi CMEK yang dilindungi oleh CryptoKey dari project, folder, atau organisasi yang diizinkan.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi kebijakan organisasi, lihat Kebijakan organisasi CMEK.

Apa langkah selanjutnya?

• Men-deploy instance yang dienkripsi dengan CMEK
• Pelajari CMEK lebih lanjut
• Pelajari lebih lanjut enkripsi default Google.