Mengenkripsi boot disk VM TPU dengan kunci enkripsi yang dikelola pelanggan (CMEK)

Secara default, Cloud TPU mengenkripsi konten pelanggan dalam penyimpanan. Cloud TPU menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut Enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Cloud TPU. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melihat log audit dan mengontrol siklus proses kunci. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Cloud TPU Anda serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Setelah membuat CMEK, Anda harus memberikan akses akun layanan Compute Engine ke kunci Anda.

Memberikan izin untuk menggunakan kunci

Anda harus memberikan peran IAM Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) pada kunci Cloud KMS kepada agen layanan Compute Engine di project Google Cloud Anda. Pemberian peran ini memungkinkan layanan Compute Engine mengakses dan menggunakan kunci enkripsi Anda.

Untuk memberikan peran roles/cloudkms.cryptoKeyEncrypterDecrypter kepada agen layanan Compute Engine, pilih salah satu opsi berikut:

gcloud

Jalankan perintah berikut:

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location LOCATION \
    --keyring RING_NAME \
    --member serviceAccount:service-PROJECT_NUMBER@compute-system. \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --project KEY_PROJECT_ID

Ganti kode berikut:

  • KEY_NAME: nama kunci Anda.
  • LOCATION: lokasi tempat Anda membuat key ring.
  • RING_NAME: nama key ring Anda.
  • PROJECT_NUMBER: nomor project Google Cloud Anda.
  • KEY_PROJECT_ID: project ID kunci Anda.

Konsol

  1. Di konsol Google Cloud , buka halaman Key management.

    Buka Pengelolaan kunci

  2. Klik nama key ring yang berisi kunci.

  3. Klik nama kunci yang ingin Anda ubah.

  4. Klik tab Izin.

  5. Klik Grant access. Panel Berikan akses ke kunci akan terbuka.

  6. Di kolom New principals, masukkan nama agen layanan Compute Engine:

    service-PROJECT_NUMBER@compute-system.

    Ganti PROJECT_NUMBER dengan Google Cloud nomor project Anda.

  7. Di menu Pilih peran, pilih Cloud KMS CryptoKey Encrypter/Decrypter.

  8. Klik Simpan.

Membuat VM TPU dengan CMEK

Anda dapat menentukan CMEK saat membuat VM TPU menggunakan TPU API atau Queued Resources API.

TPU API

Untuk menentukan CMEK saat membuat VM TPU menggunakan Cloud TPU API, gunakan argumen --boot-disk ke perintah tpu-vm create untuk menentukan kunci enkripsi yang akan digunakan:

gcloud compute tpus tpu-vm create TPU_NAME \
    --zone ZONE \
    --boot-disk kms-key=projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME \
    --version=TPU_RUNTIME_VERSION \
    --accelerator-type=ACCLERATOR_TYPE

Ganti kode berikut:

  • TPU_NAME: nama VM TPU Anda.
  • ZONE: zona tempat Anda berencana membuat Cloud TPU.
  • PROJECT_ID: Google Cloud Project ID Anda.
  • REGION: region di mana Anda membuat key ring.
  • RING_NAME: nama key ring Anda.
  • KEY_NAME: nama kunci Anda.
  • TPU_RUNTIME_VERSION: versi software Cloud TPU.
  • ACCELERATOR_TYPE: jenis akselerator untuk Cloud TPU yang ingin Anda buat. Untuk mengetahui informasi selengkapnya tentang jenis akselerator yang didukung untuk setiap versi TPU, lihat Versi TPU.

Queued Resources API

Untuk menentukan CMEK saat membuat VM TPU menggunakan Queued Resources API, gunakan argumen --bootdisk ke perintah queued-resources create untuk menentukan kunci enkripsi yang akan digunakan:

gcloud compute tpus queued-resources create QUEUED_RESOURCE_ID \
    --zone ZONE \
    --node-id NODE_ID \
    --boot-disk kms-key=projects/PROJECT_ID/locations/REGION/keyRings/RING_NAME/cryptoKeys/KEY_NAME \
    --runtime-version=TPU_RUNTIME_VERSION \
    --accelerator-type=ACCLERATOR_TYPE

Ganti kode berikut:

  • QUEUED_RESOURCE_ID: ID yang ditetapkan pengguna untuk permintaan resource yang diantrekan.
  • ZONE: zona tempat Anda berencana membuat Cloud TPU.
  • NODE_ID: ID yang ditetapkan pengguna dari Cloud TPU yang dibuat saat permintaan resource dalam antrean dialokasikan.
  • PROJECT_ID: Google Cloud Project ID Anda.
  • REGION: region di mana Anda membuat key ring.
  • RING_NAME: nama key ring Anda.
  • KEY_NAME: nama kunci Anda.
  • TPU_RUNTIME_VERSION: versi software Cloud TPU.
  • ACCELERATOR_TYPE: jenis akselerator untuk Cloud TPU yang ingin Anda buat. Untuk mengetahui informasi selengkapnya tentang jenis akselerator yang didukung untuk setiap versi TPU, lihat Versi TPU.

Untuk mengetahui informasi tentang cara membuat VM TPU dengan CMEK menggunakan GKE, lihat Menggunakan kunci enkripsi yang dikelola pelanggan dalam dokumentasi GKE.

CMEK yang dihapus atau dicabut

Jika CMEK dicabut atau dihapus, VM TPU yang menggunakan disk boot yang dienkripsi dengan CMEK yang dihapus atau dicabut tidak akan otomatis dimatikan. VM TPU akan tetap dapat mengakses data di boot disk terenkripsi hingga VM dimatikan atau dimulai ulang. Tindakan ini memungkinkan Anda memulihkan data jika Anda memulihkan akses ke kunci yang dicabut atau dihapus. Jika mengaktifkan kembali kunci, Anda dapat memulai atau memperbaiki TPU VM, dan boot disk akan berhasil didekripsi dan dimuat.