Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)

Secara default, Vertex AI Workbench mengenkripsi konten pelanggan dalam penyimpanan. Vertex AI Workbench menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan terintegrasi CMEK, termasuk Vertex AI Workbench. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batas kriptografisnya. Dengan Cloud KMS, Anda juga dapat melacak penggunaan kunci, melihat log audit, dan mengontrol siklus proses kunci. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Vertex AI Workbench mirip dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi Anda, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Halaman ini menjelaskan beberapa manfaat dan batasan khusus penggunaan CMEK dengan Vertex AI Workbench dan menunjukkan cara mengonfigurasi instance baru Vertex AI Workbench untuk menggunakan CMEK.

Untuk mengetahui informasi selengkapnya tentang cara menggunakan CMEK untuk Vertex AI, lihat halaman CMEK Vertex AI.

Manfaat CMEK

Secara umum, CMEK paling berguna saat Anda memerlukan kontrol penuh atas kunci yang digunakan untuk mengenkripsi data Anda. Dengan CMEK, Anda dapat mengelola kunci dalam Cloud Key Management Service. Misalnya, Anda dapat merotasi atau menonaktifkan kunci atau menyiapkan jadwal rotasi menggunakan Cloud KMS API.

Saat Anda menjalankan instance Vertex AI Workbench, instance Anda akan berjalan di mesin virtual (VM) yang dikelola oleh Vertex AI Workbench. Saat Anda mengaktifkan CMEK untuk instance Vertex AI Workbench, Vertex AI Workbench akan menggunakan kunci yang Anda tetapkan, bukan kunci yang dikelola oleh Google, untuk mengenkripsi data pada boot disk VM.

Kunci CMEK tidak mengenkripsi metadata, seperti nama dan region instance, yang berkaitan dengan instance Vertex AI Workbench Anda. Metadata yang berkaitan dengan instance Vertex AI Workbench selalu dienkripsi menggunakan mekanisme enkripsi default Google.

Batasan CMEK

Untuk mengurangi latensi dan mencegah kasus di mana resource bergantung pada layanan yang tersebar di beberapa domain gagal, Google menyarankan agar Anda melindungi instance Vertex AI Workbench regional dengan kunci yang berada di lokasi yang sama.

• Anda dapat mengenkripsi instance Vertex AI Workbench regional menggunakan kunci yang berada di lokasi yang sama atau di lokasi global. Misalnya, Anda dapat mengenkripsi data dalam disk di zona us-west1-a menggunakan kunci yang berada di us-west1 atau global.
• Anda dapat mengenkripsi instance global menggunakan kunci yang berada di lokasi mana pun.
• Mengonfigurasi CMEK untuk Vertex AI Workbench tidak secara otomatis mengonfigurasi CMEK untuk produk Google Cloud lainnya yang Anda gunakan. Agar dapat menggunakan CMEK untuk mengenkripsi data di produk Google Cloud lainnya, Anda harus menyelesaikan konfigurasi tambahan.

Mengonfigurasi CMEK untuk instance Vertex AI Workbench

Bagian berikut menjelaskan cara membuat key ring dan kunci di Cloud Key Management Service, memberikan izin kepada pengenkripsi dan pendekripsi akun layanan untuk mengakses kunci Anda, serta membuat instance Vertex AI Workbench yang menggunakan CMEK.

Sebelum memulai

Sebaiknya gunakan penyiapan yang mendukung pemisahan tugas. Guna mengonfigurasi CMEK untuk Vertex AI Workbench, Anda dapat menggunakan dua project Google Cloud yang terpisah:

• Project Cloud KMS: project untuk mengelola kunci enkripsi Anda
• Project Vertex AI Workbench: project untuk mengakses instance Vertex AI Workbench dan berinteraksi dengan produk Google Cloud lainnya yang Anda perlukan untuk kasus penggunaan Anda

Atau, Anda dapat menggunakan satu project Google Cloud. Untuk melakukannya, gunakan project yang sama untuk semua tugas berikut.

Menyiapkan project Cloud KMS

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

   Buka pemilih project

3. Make sure that billing is enabled for your Google Cloud project.

4. Aktifkan API Cloud KMS.

   Mengaktifkan API

5. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

   Buka pemilih project

6. Make sure that billing is enabled for your Google Cloud project.

7. Aktifkan API Cloud KMS.

   Mengaktifkan API

Menyiapkan project Vertex AI Workbench

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

   Buka pemilih project

3. Make sure that billing is enabled for your Google Cloud project.

4. Aktifkan Notebooks API.

   Mengaktifkan API

5. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

   Buka pemilih project

6. Make sure that billing is enabled for your Google Cloud project.

7. Aktifkan Notebooks API.

   Mengaktifkan API

Menyiapkan Google Cloud CLI

Install the Google Cloud CLI, then initialize it by running the following command:

gcloud init

Membuat key ring dan kunci

Saat Anda membuat key ring dan kunci, perhatikan persyaratan berikut:

• Saat Anda memilih lokasi key ring, gunakan global atau lokasi yang nantinya menjadi tempat instance Vertex AI Workbench Anda berada.

• Pastikan untuk membuat key ring dan kunci di project Cloud KMS Anda.

Untuk membuat key ring dan kunci, lihat Membuat kunci enkripsi simetris.

Memberi Vertex AI Workbench izin

Agar dapat menggunakan CMEK untuk instance Vertex AI Workbench, Anda harus memberikan izin kepada instance Vertex AI Workbench untuk mengenkripsi dan mendekripsi data menggunakan kunci Anda. Anda memberikan izin ini kepada agen layanan project dan akun layanan Compute Engine.

Untuk menemukan akun tertentu untuk project Vertex AI Workbench Anda, gunakan konsol Google Cloud.

1. Di konsol Google Cloud, buka halaman IAM.

   Buka IAM

2. Pilih Sertakan pemberian peran yang disediakan Google.

3. Temukan anggota yang cocok dengan format alamat email berikut. Catat alamat email, dan gunakan di langkah-langkah berikut.

   • Alamat email agen layanan project Anda terlihat seperti berikut:

     service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com

   • Alamat email akun layanan Compute Engine terlihat seperti berikut:

     service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com

   Ganti NOTEBOOKS_PROJECT_NUMBER dengan nomor project untuk project Vertex AI Workbench Anda.

   Untuk memberikan izin kepada akun ini untuk mengenkripsi dan mendekripsi data menggunakan kunci Anda, Anda dapat menggunakan konsol Google Cloud atau Google Cloud CLI.

   Konsol

   1. Di konsol Google Cloud, buka halaman Key management.

      Buka Key management

   2. Pilih project Cloud KMS Anda.

   3. Klik nama key ring yang Anda buat di Membuat key ring dan kunci. Halaman Detail key ring akan terbuka.

   4. Centang kotak untuk kunci yang Anda buat di Membuat key ring dan kunci. Jika panel info yang dilabeli dengan nama kunci Anda belum terbuka, klik Tampilkan panel info.

   5. Di panel info, klik person_add Tambah anggota. Dialog Tambah anggota ke "KEY_NAME" akan terbuka. Dalam dialog ini, lakukan hal berikut:

      1. Di kolom New members, masukkan alamat email agen layanan project Anda:

         service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com

      2. Di daftar Pilih peran, klik Cloud KMS, lalu pilih peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS.

      3. Klik Simpan.

   6. Ulangi langkah-langkah ini untuk agen layanan Compute Engine:

      service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com

   gcloud

   1. Untuk memberikan izin kepada agen layanan project Anda guna mengenkripsi dan mendekripsi data menggunakan kunci Anda, jalankan perintah berikut:

      gcloud kms keys add-iam-policy-binding KEY_NAME \
        --keyring=KEY_RING_NAME \
        --location=REGION \
        --project=KMS_PROJECT_ID \
        --member=serviceAccount:service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com \
        --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

      Ganti kode berikut:

      • KEY_NAME: nama kunci yang Anda buat di Membuat key ring dan kunci
      • KEY_RING_NAME: key ring yang Anda buat di Membuat key ring dan kunci
      • REGION: region tempat Anda membuat key ring
      • KMS_PROJECT_ID: ID project Cloud KMS Anda
      • NOTEBOOKS_PROJECT_NUMBER: nomor project dari project Vertex AI Workbench Anda, yang telah Anda catat di bagian sebelumnya sebagai bagian dari alamat email akun layanan.

   2. Untuk memberikan izin akun layanan Compute Engine untuk mengenkripsi dan mendekripsi data menggunakan kunci Anda, jalankan perintah berikut:

      gcloud kms keys add-iam-policy-binding KEY_NAME \
        --keyring=KEY_RING_NAME \
        --location=REGION \
        --project=KMS_PROJECT_ID \
        --member=serviceAccount:service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \
        --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Membuat instance Vertex AI Workbench dengan CMEK

Setelah memberikan izin kepada instance Vertex AI Workbench untuk mengenkripsi dan mendekripsi data menggunakan kunci, Anda dapat membuat instance Vertex AI Workbench yang mengenkripsi data menggunakan kunci ini.

Contoh berikut menunjukkan cara mengenkripsi dan mendekripsi data menggunakan kunci Anda melalui konsol Google Cloud.

Untuk membuat instance Vertex AI Workbench dengan kunci enkripsi yang dikelola pelanggan:

1. Di konsol Google Cloud, buka halaman Instance.

   Buka Instance

2. Klik add_box Buat baru.

3. Dalam dialog Instance baru, klik Opsi lanjutan.

4. Pada dialog Buat instance, di bagian Detail, berikan informasi berikut untuk instance baru Anda:

   • Nama: nama untuk instance baru Anda
   • Region: region tempat kunci dan key ring Anda berada
   • Zona: zona dalam region yang Anda pilih

5. Di bagian Disk, di Enkripsi, pilih Kunci enkripsi yang dikelola pelanggan (CMEK).

6. Klik Pilih kunci yang dikelola pelanggan.

   • Jika kunci yang dikelola pelanggan yang ingin Anda gunakan ada dalam daftar, pilih kunci tersebut.

   • Jika kunci yang dikelola pelanggan yang ingin Anda gunakan tidak ada dalam daftar, masukkan ID resource untuk kunci yang dikelola pelanggan. ID resource untuk kunci yang dikelola pelanggan akan terlihat seperti berikut:

     projects/NOTEBOOKS_PROJECT_NUMBER/locations/global/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME

     Ganti kode berikut:

     • NOTEBOOKS_PROJECT_NUMBER: ID project Vertex AI Workbench Anda
     • KEY_RING_NAME: key ring yang Anda buat di Membuat key ring dan kunci
     • KEY_NAME: nama kunci yang Anda buat di Membuat key ring dan kunci

7. Selesaikan dialog pembuatan instance selanjutnya, lalu klik Buat.

Langkah selanjutnya

• Pelajari lebih lanjut tentang CMEK di Google Cloud.
• Pelajari cara menggunakan CMEK dengan produk Google Cloud lainnya.