Menggunakan kunci enkripsi yang dikelola pelanggan

Secara default, Google Cloud otomatis mengenkripsi data saat dalam penyimpanan menggunakan kunci enkripsi yang dikelola oleh Google. Jika Anda memiliki persyaratan kepatuhan atau peraturan khusus terkait kunci yang melindungi data, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk instance notebooks yang dikelola Vertex AI Workbench.

Halaman ini menjelaskan beberapa manfaat dan batasan khusus penggunaan CMEK dengan notebook terkelola dan menunjukkan cara mengonfigurasi instance notebook terkelola baru untuk menggunakan CMEK.

Untuk informasi tentang CMEK secara umum, termasuk waktu dan alasan mengaktifkannya, lihat Kunci enkripsi yang dikelola pelanggan.

Manfaat CMEK

Secara umum, CMEK paling berguna saat Anda memerlukan kontrol penuh atas kunci yang digunakan untuk mengenkripsi data Anda. Dengan CMEK, Anda dapat mengelola kunci dalam Cloud Key Management Service. Misalnya, Anda dapat merotasi atau menonaktifkan kunci atau menyiapkan jadwal rotasi menggunakan Cloud KMS API.

Saat Anda menjalankan instance notebook terkelola, instance Anda berjalan di infrastruktur komputasi yang dikelola oleh Google. Saat Anda mengaktifkan CMEK untuk instance notebook terkelola, Vertex AI Workbench akan menggunakan kunci yang Anda tetapkan, bukan kunci yang dikelola oleh Google, untuk mengenkripsi data pengguna Anda.

Kunci CMEK tidak mengenkripsi metadata, seperti nama dan region instance, yang terkait dengan instance notebook terkelola Anda. Metadata yang terkait dengan instance notebook terkelola selalu dienkripsi menggunakan mekanisme enkripsi default Google.

Batasan CMEK

Untuk mengurangi latensi dan mencegah kasus di mana resource yang bergantung pada layanan yang tersebar di beberapa domain gagal, Google merekomendasikan agar Anda melindungi instance notebook yang dikelola regional dengan kunci di lokasi yang sama.

  • Anda dapat mengenkripsi instance notebook terkelola regional menggunakan kunci di lokasi yang sama atau di lokasi global. Misalnya, Anda dapat mengenkripsi data pengguna di region us-west1 menggunakan kunci di us-west1 atau global.
  • Mengonfigurasi CMEK untuk notebook terkelola tidak mengonfigurasi CMEK secara otomatis untuk produk Google Cloud lain yang Anda gunakan. Agar dapat menggunakan CMEK untuk mengenkripsi data di produk Google Cloud lainnya, Anda harus menyelesaikan konfigurasi tambahan.

Mengonfigurasi CMEK untuk instance notebook terkelola

Bagian berikut menjelaskan cara membuat key ring dan kunci di Cloud Key Management Service, memberikan izin bagi pengenkripsi dan pendekripsi akun layanan untuk kunci Anda, serta membuat instance notebook terkelola yang menggunakan CMEK.

Sebelum memulai

Sebaiknya gunakan penyiapan yang mendukung pemisahan tugas. Guna mengonfigurasi CMEK untuk notebook terkelola, Anda dapat menggunakan dua project Google Cloud yang terpisah:

  • Project Cloud KMS: project untuk mengelola kunci enkripsi Anda
  • Project notebook terkelola: project untuk mengakses instance notebook terkelola dan berinteraksi dengan produk Google Cloud lain yang diperlukan untuk kasus penggunaan Anda

Atau, Anda dapat menggunakan satu project Google Cloud. Untuk melakukannya, gunakan project yang sama untuk semua tugas berikut.

Menyiapkan project Cloud KMS

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  3. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  4. Aktifkan API Cloud KMS.

    Mengaktifkan API

    5.

  5. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  6. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  7. Aktifkan API Cloud KMS.

    Mengaktifkan API

    8.

Menyiapkan project notebook terkelola

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  3. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  4. Aktifkan Notebooks API.

    Mengaktifkan API

    5.

  5. Di konsol Google Cloud, pada halaman pemilih project, pilih atau buat project Google Cloud.

    Buka pemilih project

  6. Pastikan penagihan telah diaktifkan untuk project Google Cloud Anda.

  7. Aktifkan Notebooks API.

    Mengaktifkan API

    8.

Menyiapkan Google Cloud CLI

gcloud CLI diperlukan untuk beberapa langkah di halaman ini, dan bersifat opsional untuk langkah lainnya.

Instal Google Cloud CLI, lalu initialize dengan menjalankan perintah berikut: 

gcloud init

Membuat key ring dan kunci

Saat Anda membuat key ring dan kunci, perhatikan persyaratan berikut:

  • Saat Anda memilih lokasi key ring, gunakan global atau lokasi tempat instance notebook terkelola Anda berada.

  • Pastikan untuk membuat key ring dan kunci di project Cloud KMS Anda.

Untuk membuat key ring dan kunci, lihat Membuat kunci enkripsi simetris.

Memberikan izin notebook terkelola

Jika menyiapkan instance dengan akses pengguna tunggal, Anda harus memberikan izin project instance notebook terkelola untuk mengenkripsi dan mendekripsi data menggunakan kunci. Anda memberikan izin ini kepada agen layanan project. Alamat email agen layanan ini terlihat seperti ini:

service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com

Ganti NOTEBOOKS_PROJECT_NUMBER dengan nomor project untuk project instance notebook terkelola Anda.

Catat alamat email agen layanan Anda. Anda akan menggunakannya dalam langkah-langkah berikut untuk memberikan izin project instance notebook terkelola guna mengenkripsi dan mendekripsi data menggunakan kunci Anda. Anda dapat memberikan izin menggunakan konsol Google Cloud atau menggunakan Google Cloud CLI.

Konsol

  1. Di konsol Google Cloud, buka halaman Kunci kriptografis.

    Buka Kunci kriptografis

  2. Pilih project Cloud KMS Anda.

  3. Klik nama key ring yang Anda buat di Membuat key ring dan kunci. Halaman Detail key ring akan terbuka.

  4. Centang kotak untuk kunci yang Anda buat di Membuat key ring dan kunci. Jika panel info yang dilabeli dengan nama kunci Anda belum terbuka, klik Tampilkan panel info.

  5. Di panel info, klik  Tambah anggota. Dialog Tambah anggota ke "KEY_NAME" akan terbuka. Dalam dialog ini, lakukan hal berikut:

    1. Di kolom New members, masukkan alamat email agen layanan yang Anda catat di bagian sebelumnya.

    2. Di daftar Pilih peran, klik Cloud KMS, lalu pilih peran Pengenkripsi/Pendekripsi CriptoKey Cloud KMS.

    3. Klik Simpan.

gcloud

  1. Jalankan perintah berikut guna memberikan izin kepada agen layanan untuk mengenkripsi dan mendekripsi data menggunakan kunci Anda:

    gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring=KEY_RING_NAME \
    --location=REGION \
    --project=KMS_PROJECT_ID \
    --member=serviceAccount:EMAIL_ADDRESS \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

    Ganti kode berikut:

    • KEY_NAME: nama kunci yang Anda buat di Membuat key ring dan kunci
    • KEY_RING_NAME: key ring yang Anda buat di Membuat key ring dan kunci
    • REGION: region tempat Anda membuat key ring
    • KMS_PROJECT_ID: ID project Cloud KMS Anda
    • EMAIL_ADDRESS: alamat email agen layanan yang Anda catat di bagian sebelumnya

Membuat instance notebook terkelola dengan CMEK

Setelah memberikan izin instance notebook terkelola untuk mengenkripsi dan mendekripsi data menggunakan kunci, Anda dapat membuat instance notebook terkelola yang mengenkripsi data menggunakan kunci ini. Ikuti langkah-langkah berikut:

  1. Di Konsol Google Cloud, buka halaman Managed notebooks.

    Buka Managed notebooks

  2. Klik  News notebook.

  3. Di kolom Notebook name, masukkan nama instance Anda.

  4. Klik daftar Region, lalu pilih region untuk instance Anda.

  5. Klik Setelan lanjutan.

  6. Di bagian Disk encryption, pilih Customer-managed encryption key (CMEK).

  7. Klik Pilih kunci yang dikelola pelanggan.

    • Jika kunci yang dikelola pelanggan yang ingin Anda gunakan ada dalam daftar, pilih kunci tersebut.

    • Jika kunci yang dikelola pelanggan yang ingin Anda gunakan tidak ada dalam daftar, masukkan ID resource untuk kunci yang dikelola pelanggan. ID resource untuk kunci yang dikelola pelanggan akan terlihat seperti ini:

        projects/NOTEBOOKS_PROJECT_NUMBER/locations/global/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME

      Ganti kode berikut:

  8. Selesaikan dialog Create a Managed notebook selanjutnya sesuai kebutuhan Anda.

  9. Klik Create.

  10. Vertex AI Workbench membuat instance notebook terkelola berdasarkan properti yang Anda tentukan dan otomatis memulai instance tersebut. Saat instance siap digunakan, Vertex AI Workbench akan mengaktifkan link Open JupyterLab.

Langkah selanjutnya