Di T-Systems Sovereign Cloud, semua data harus dienkripsi menggunakan kunci Cloud External Key Manager (Cloud EKM), yang merupakan kunci enkripsi yang terhubung ke pengelola kunci eksternal (juga disingkat sebagai EKM). Meskipun pelanggan dapat menyiapkan dan menggunakan Cloud EKM mereka sendiri, pelanggan juga akan diberi project yang disediakan oleh Google Cloud dan T-Systems Sovereign Cloud. Dalam project ini — yang disebut Project Pengelolaan Kunci — kunci dapat dibuat menggunakan pengelola kunci eksternal yang dioperasikan oleh T-Systems International (TSI) atas nama pelanggan.
Topik ini membahas langkah-langkah untuk menggunakan Cloud KMS saat didukung oleh TSI.
Ringkasan
Untuk membuat dan mengelola kunci menggunakan Cloud EKM di Sovereign Cloud T-Systems, Anda akan menggunakan sistem pemberian tiket yang disebut Issue Tracker. Anda akan menerima link ke alat Issue Tracker dan informasi grup akses administrator utama dalam email sambutan. Semua admin utama harus ditambahkan ke grup akses. Admin ini kemudian akan memiliki akses ke komponen Issue Tracker untuk mengajukan tiket ke TSI, yang akan melakukan operasi pengelolaan kunci atas nama Anda.
Semua kunci yang dikelola TSI harus dibuat di Project Pengelolaan Kunci yang telah disediakan sebelumnya. Anda dapat menghosting data dalam project yang berbeda dengan project tempat kunci Cloud KMS Anda berada. Kemampuan ini mendukung praktik terbaik pemisahan tugas antara administrator utama dan administrator data.
Menemukan informasi khusus pelanggan
Sebelum Anda mulai membuat kunci, temukan informasi berikut dari email sambutan awal Anda:
- Nomor project Cloud KMS
- Grup akses administrator kunci
- Link Issue Tracker
Mengonfigurasi grup akses
Grup akses administrator kunci adalah grup Google pribadi untuk administrator kunci di organisasi Anda, yaitu administrator yang akan diberi peran Identity and Access Management (IAM) Cloud KMS Admin. Grup akses administrator kunci dikelola oleh Anda.
Anda akan menerima grup akses di email sambutan. URL tersebut akan memiliki format:
<customer-name>-<KMS-project-number>-key-admin@googlegroups.com
Tambahkan pengguna yang ingin Anda beri peran Cloud KMS Admin di project Anda ke Grup Google. Untuk informasi selengkapnya tentang cara mengelola grup, lihat Menambahkan orang ke grup.
Membuat kunci Cloud EKM
Kunci Cloud EKM digunakan untuk mengenkripsi data Anda di Google Cloud. Untuk menggunakan kunci dari pengelola kunci enkripsi eksternal TSI, Anda harus membuat kunci Cloud EKM terlebih dahulu. Kunci Cloud EKM tertaut TSI ini digunakan untuk mereferensikan kunci tertentu di EKM TSI dan hanya dapat dibuat di Project Pengelolaan Kunci yang telah disediakan sebelumnya.
Membuat key ring
Buat key ring untuk menyimpan kunci Cloud EKM Anda. Untuk Sovereign Cloud T-Systems, lokasi key ring harus selalu europe-west3. Ganti placeholder
KEY_RING_NAME dengan nama yang Anda inginkan untuk ring kunci:
gcloud
gcloud kms keyrings create KEY_RING_NAME \ --location europe-west3
Mendapatkan nama resource koneksi Cloud EKM
Selanjutnya, Anda harus mendapatkan nama resource koneksi Cloud EKM TSI di Project Pengelolaan Kunci. Namanya akan disebut
default-ekm-connection.
gcloud
Jalankan perintah berikut dan temukan nama resource koneksi Cloud EKM yang berisi nama koneksi default-ekm-connection. URL tersebut akan dalam
format
projects/[PROJECT-ID]/locations/europe-west3/ekmConnections/default-ekm-connection:
gcloud kms ekm-connections list \ --location europe-west3
Contoh output:
NAME: projects/test-project/locations/europe-west3/ekmConnections/default-ekm-connection SERVICE_DIRECTORY_SERVICE: projects/host-project/locations/europe-west3/namespaces/tsi-ekm-000000001/services/tsi-ekm-00000001 HOSTNAME: test_host.example.com
Salin nama nama resource lengkap, yang merupakan teks yang ditandai di
bagian NAME. Nilai ini akan digunakan sebagai nilai --crypto-key-backend saat
Anda membuat kunci simetris dan/atau kunci asimetris.
Membuat kunci enkripsi simetris
Untuk membuat kunci Cloud EKM simetris, gunakan perintah berikut di Google Cloud CLI:
gcloud
gcloud kms keys create KEY_NAME \ --keyring KEY_RING_NAME \ --location europe-west3 \ --purpose encryption \ --protection-level external-vpc \ --default-algorithm external-symmetric-encryption \ --skip-initial-version-creation \ --crypto-key-backend EKM_CONNECTION
Flag --skip-initial-version-creation digunakan untuk mencegah pembuatan versi kunci. Saat menggunakan Cloud KMS dengan TSI Sovereign Cloud, TSI bertanggung jawab untuk membuat versi kunci bagi Anda.
Tujuan kunci sebagai encryption menentukan bahwa kunci tersebut adalah kunci enkripsi
simetris. Anda harus menggunakan tingkat perlindungan external-vpc karena
EKM TSI terhubung ke Cloud KMS menggunakan
EKM melalui koneksi VPC.
Ganti EKM_CONNECTION dengan nama koneksi EKM yang Anda salin di bagian Mendapatkan nama resource koneksi Cloud EKM di atas, menggunakan nama resource lengkap.
Langkah di atas akan membuat kunci enkripsi simetris kosong di key ring. Untuk membuat versi kunci, ikuti petunjuk di bagian Langkah akhir di bawah.
Membuat kunci penandatanganan asimetris
Membuat kunci penandatanganan asimetris mirip dengan membuat kunci enkripsi simetris. Perbedaan utamanya adalah tujuan kunci dan algoritma default.
Saat membuat kunci baru, pastikan Anda menambahkan --skip-initial-version-creation untuk mencegah pembuatan versi kunci. Saat menggunakan Cloud KMS dengan T-Systems Sovereign Cloud, TSI bertanggung jawab untuk membuat versi kunci bagi Anda.
gcloud
gcloud kms keys create KEY_NAME \ --keyring KEY_RING_NAME \ --location europe-west3 \ --purpose asymmetric-signing \ --protection-level external-vpc \ --skip-initial-version-creation \ --default-algorithm ec-sign-p256-sha256 \ --crypto-key-backend EKM_CONNECTION
Tetapkan tujuan kunci sebagai asymmetric-signing untuk menentukan bahwa kunci tersebut adalah
kunci penandatanganan asimetris. Anda harus menggunakan tingkat perlindungan external-vpc karena
EKM TSI terhubung ke Cloud KMS menggunakan
EKM melalui koneksi VPC.
Ganti EKM_CONNECTION dengan nama koneksi EKM yang Anda salin di bagian Mendapatkan nama resource koneksi Cloud EKM di atas, menggunakan nama resource lengkap.
Langkah-langkah di atas akan membuat kunci enkripsi asimetris kosong di key ring. Untuk membuat versi kunci, ikuti petunjuk di bagian Langkah akhir di bawah.
Langkah terakhir
Setelah Anda membuat kunci Cloud EKM di Google Cloud, langkah akhirnya adalah mengirimkan tiket ke TSI menggunakan formulir permintaan Issue Tracker. Lakukan ini untuk membuat versi kunci pertama. Permintaan Anda akan dirutekan ke TSI untuk menyelesaikan penyediaan kunci di sisi mereka.
Lihat Operasi kunci yang dikelola TSI untuk panduan mendetail tentang operasi pengelolaan kunci lainnya seperti membuat atau memutar versi kunci.