Halaman ini membahas kunci enkripsi yang disediakan pelanggan. Untuk opsi enkripsi lainnya, lihat Opsi Enkripsi Data.
Ringkasan
Sebagai lapisan tambahan selain enkripsi Cloud Storage standar, Anda dapat memilih untuk menyediakan kunci enkripsi AES-256 Anda sendiri, yang dienkode dalam Base64 standar. Kunci ini dikenal sebagai kunci enkripsi yang disediakan pelanggan. Jika Anda memberikan kunci enkripsi yang disediakan pelanggan, Cloud Storage tidak akan menyimpan kunci Anda secara permanen di servernya atau mengelola kunci Anda.
Sebagai gantinya, Anda memberikan kunci untuk setiap operasi Cloud Storage, dan kunci tersebut akan dihapus permanen dari server Cloud Storage setelah operasi selesai. Cloud Storage hanya menyimpan hash kriptografi kunci tersebut, sehingga permintaan berikutnya dapat divalidasi sesuai hash tersebut. Kunci Anda tidak dapat dipulihkan dari hash ini, dan hash ini tidak dapat digunakan untuk mendekripsi data Anda.
Sebaiknya cadangkan setiap kunci ke lokasi yang aman dan lakukan tindakan pencegahan untuk memastikan kunci Anda tidak dibagikan kepada pihak yang tidak tepercaya. Jika file atau mesin yang berisi kunci enkripsi Anda disusupi, Anda harus segera melakukan rotasi kunci untuk semua objek yang dienkripsi dengan kunci yang disusupi.
Kapan kunci digunakan?
Saat Anda menerapkan kunci enkripsi yang disediakan pelanggan ke suatu objek, Cloud Storage akan menggunakan kunci tersebut saat mengenkripsi:
- Data objek.
- Checksum CRC32C objek.
- Hash MD5 objek.
Enkripsi Cloud Storage standar digunakan untuk mengenkripsi metadata lainnya untuk objek, termasuk nama objek. Dengan begitu, Anda dapat membaca dan memperbarui metadata umum, serta mencantumkan, menimpa, dan menghapus objek, tanpa memerlukan kunci enkripsi yang disediakan pelanggan. Namun, untuk melakukan tindakan ini, Anda harus memiliki izin yang memadai untuk melakukannya.
Misalnya, jika objek dienkripsi dengan kunci enkripsi yang disediakan pelanggan, kunci tersebut harus digunakan untuk menjalankan operasi pada objek seperti mendownload atau memindahkannya. Jika Anda mencoba membaca metadata objek tanpa memberikan
kunci, Anda akan menerima metadata seperti nama objek dan Content-Type
, tetapi bukan
checksum CRC32C atau hash MD5 objek. Jika Anda memberikan kunci dengan
permintaan untuk metadata objek, checksum CRC32C dan hash MD5 objek
akan disertakan dalam metadata.
Perilaku penulisan ulang
Jika Anda menulis ulang objek yang dienkripsi dengan kunci enkripsi yang disediakan pelanggan tanpa memberikan kunci untuk mengenkripsi objek yang ditulis ulang, hal berikut akan terjadi:
Jika Anda menyertakan kunci dekripsi yang sesuai dalam permintaan, objek yang ditulis ulang akan menjadi dienkripsi menggunakan kunci enkripsi Cloud Key Management Service default bucket tujuan, atau, jika tidak ada kunci tersebut, oleh enkripsi Cloud Storage standar.
Jika Anda tidak menyertakan kunci dekripsi yang sesuai dalam permintaan, Anda akan menerima error.
Pemeriksaan HTTPS
Untuk melindungi data saat berpindah melalui internet selama operasi baca dan tulis, gunakan Transport Layer Security, yang umumnya dikenal sebagai TLS atau HTTPS. TLS diperlukan saat Anda menyediakan kunci enkripsi. Jika Anda tidak sengaja menggunakan kunci enkripsi melalui koneksi yang tidak terenkripsi (HTTP), ada kemungkinan penyerang menyadap kunci Anda. Karena kemungkinan ini, Cloud Storage API akan menampilkan pesan error yang memperingatkan Anda bahwa kunci Anda mungkin disusupi. Jika ini terjadi, Anda harus segera merotasi kunci.
Pembatasan
Pembatasan berikut berlaku saat menggunakan kunci enkripsi yang disediakan pelanggan:
Anda tidak dapat menggunakan Konsol Google Cloud untuk mendownload objek yang dienkripsi dengan kunci enkripsi yang disediakan pelanggan. Demikian pula, saat menggunakan Konsol Google Cloud untuk mengupload objek, Anda tidak dapat mengenkripsi objek dengan kunci enkripsi yang disediakan pelanggan.
Storage Transfer Service dan Cloud Dataflow tidak mendukung objek yang dienkripsi dengan kunci enkripsi yang disediakan pelanggan.
Anda hanya dapat menetapkan kunci enkripsi yang disediakan pelanggan pada masing-masing objek. Anda tidak dapat menetapkan kunci enkripsi default yang disediakan pelanggan untuk bucket.
Jika Anda melakukan operasi
compose
pada objek yang dienkripsi oleh kunci enkripsi yang disediakan pelanggan, objek komponen harus dienkripsi oleh kunci yang sama, dan Anda harus memberikan kunci dengan permintaan penyusunan. Objek gabungan yang dihasilkan dienkripsi oleh kunci yang sama.Saat menyajikan objek yang dienkripsi dengan kunci enkripsi yang disediakan pelanggan, Cloud Storage mengabaikan
Cache-Control
metadata yang terkait dengan objek dan menyalurkan objek denganCache-Control
yang ditetapkan keprivate, max-age=0
.
Kunci enkripsi dengan REST API
Jika Anda menggunakan kunci enkripsi yang disediakan pelanggan dan bekerja secara langsung dengan JSON atauXML Anda harus memberikan kunci AES-256 dan hash SHA256 untuk kunci tersebut. Anda harus menyimpan kunci AES-256 dan hash SHA256 kunci dengan aman. Cloud Storage menyimpan hash SHA256 kunci Anda di metadata objek, tempat Anda dapat mengambilnya nanti. Hash SHA256 ini tidak dapat digunakan oleh Cloud Storage (atau siapa pun) untuk mendekripsi data Anda. Kunci ini disimpan sebagai cara untuk secara unik mengidentifikasi kunci AES-256 yang digunakan untuk mengenkripsi objek tertentu.
Header permintaan
Sertakan header HTTP berikut dalam permintaan JSON atau XML Anda:
Nama header | Nilai | Deskripsi |
---|---|---|
x-goog-encryption-algorithm |
string | Algoritma enkripsi yang akan digunakan. Anda harus menggunakan nilai AES256 . |
x-goog-encryption-key |
string | String berenkode Base64 RFC 4648 dari kunci enkripsi AES-256 Anda. |
x-goog-encryption-key-sha256 |
string | String berenkode Base64 RFC 4648 dari hash SHA256 kunci enkripsi Anda. |
Jika Anda melakukan operasi penulisan ulang dengan JSON API, header yang tercantum di atas akan digunakan untuk mengenkripsi objek tujuan, dan header berikut akan digunakan untuk mendekripsi objek sumber:
Nama header | Nilai | Deskripsi |
---|---|---|
x-goog-copy-source-encryption-algorithm |
string | Algoritma enkripsi yang akan digunakan. Anda harus menggunakan nilai AES256 . |
x-goog-copy-source-encryption-key |
string | String berenkode Base64 RFC 4648 dari kunci enkripsi AES-256 objek sumber. |
x-goog-copy-source-encryption-key-sha256 |
string | String berenkode Base64 RFC 4648 dari hash SHA256 kunci enkripsi objek sumber. |
Tanggapan
JSON
Saat menggunakan JSON API, metadata untuk kunci enkripsi yang disediakan pelanggan akan ditampilkan dalam isi respons, yang mencakup properti berikut:
Nama properti | Nilai | Deskripsi |
---|---|---|
customerEncryption |
objek | Informasi tentang enkripsi yang digunakan untuk permintaan. |
customerEncryption.encryptionAlgorithm |
string | Algoritma enkripsi yang digunakan. Selalu berisi nilai AES256 . |
customerEncryption.keySha256 |
string | String berenkode Base64 RFC 4648 dari hash SHA256 kunci enkripsi Anda. Anda dapat menggunakan hash SHA256 ini untuk mengidentifikasi kunci enkripsi AES-256 yang diperlukan untuk mendekripsi objek secara unik, yang harus Anda simpan dengan aman. |
XML
Saat menggunakan XML API, respons akan menyertakan header berikut:
Nama header | Nilai | Deskripsi |
---|---|---|
x-goog-encryption-algorithm |
string | Algoritma enkripsi yang digunakan. Selalu berisi nilai AES256 . |
x-goog-encryption-key-sha256 |
string | String berenkode Base64 RFC 4648 dari hash SHA256 kunci enkripsi Anda. Anda dapat menggunakan hash SHA256 ini untuk mengidentifikasi kunci enkripsi AES-256 yang diperlukan untuk mendekripsi objek secara unik, yang harus Anda simpan dengan aman. |
Anda akan menerima error HTTP 400 dalam kasus berikut:
- Anda mengupload objek menggunakan kunci enkripsi yang disediakan pelanggan, dan mencoba untuk melakukan operasi lain pada objek tersebut (selain meminta atau memperbarui sebagian besar metadata atau menghapus objek) tanpa memberikan kunci tersebut.
- Anda mengupload objek menggunakan kunci enkripsi yang disediakan pelanggan, dan mencoba melakukan operasi lain pada objek tersebut dengan kunci yang salah.
- Anda mengupload objek tanpa memberikan kunci enkripsi yang disediakan pelanggan, dan Anda mencoba melakukan operasi lain pada objek tersebut dengan kunci enkripsi yang disediakan pelanggan.
- Anda menentukan algoritma enkripsi, kunci, atau hash SHA256 yang tidak valid.
Kunci enkripsi dengan gcloud storage
Google Cloud CLI mendukung penggunaan kunci enkripsi yang disediakan pelanggan. Saat menggunakan gcloud CLI dengan kunci enkripsi yang disediakan pelanggan, perhatikan hal-hal berikut:
Kunci yang ditetapkan sebagai kunci enkripsi digunakan dalam perintah sebagai kunci enkripsi dan, jika diperlukan, sebagai kunci dekripsi.
Anda dapat memilih untuk menentukan hingga 100 kunci dekripsi, yang hanya digunakan untuk mendekripsi objek.
Saat mendekripsi, hash SHA256 dari kunci enkripsi dan dekripsi yang disediakan akan dihitung, dan kunci yang benar untuk digunakan objek tertentu akan dipilih dengan mencocokkan hash SHA256 dalam metadata objek.
Saat menambahkan atau merotasi kunci enkripsi yang disediakan pelanggan untuk objek yang ada, objek tersebut akan ditulis ulang sebagai bagian dari permintaan. Hal ini berlaku bahkan untuk perintah
gcloud storage objects update
.Perintah daftar yang dapat menampilkan hash MD5 atau CRC32C untuk objek yang dienkripsi dengan kunci yang disediakan pelanggan melakukan permintaan
GET
metadata tambahan untuk setiap objek tersebut. Permintaan tambahan ini dapat membuat listingan jauh lebih lambat dibandingkan objek listingan yang dienkripsi dengan enkripsi Cloud Storage standar.Jika kunci enkripsi dapat atau memang berubah selama operasi tulis atau penyalinan yang selesai sebagian, operasi tulis atau salin yang selesai sebagian, seperti saat Anda menjalankan ulang upload
cp
setelah memaksa keluar atau mengalami waktu tunggu habis jaringan, operasi akan dimulai ulang untuk memastikan bahwa objek tujuan ditulis dengan kunci baru.
Rotasi kunci enkripsi
Jika objek dienkripsi menggunakan kunci enkripsi yang disediakan pelanggan, Anda dapat merotasi kunci objek dengan menulis ulang objek. Penulisan ulang didukung melalui JSON API, tetapi tidak melalui XML API. Lihat Merotasi kunci enkripsi untuk contoh rotasi kunci.
Langkah berikutnya
- Pelajari cara menggunakan kunci enkripsi yang disediakan pelanggan.