Dokumen ini memberikan ringkasan penggunaan Cloud Key Management Service (Cloud KMS) untuk kunci enkripsi yang dikelola pelanggan (CMEK). Dengan menggunakan CMEK Cloud KMS, Anda akan mendapatkan kepemilikan dan kontrol atas kunci yang melindungi data dalam penyimpanan Anda di Google Cloud.
Perbandingan kunci CMEK dan kunci yang dimiliki Google dan dikelola Google
Kunci Cloud KMS yang Anda buat adalah kunci yang dikelola pelanggan. Layanan Google yang menggunakan kunci Anda dikatakan memiliki integrasi CMEK. Anda dapat mengelola CMEK ini secara langsung atau melalui Autokey Cloud KMS (Pratinjau). Faktor-faktor berikut membedakan enkripsi default Google dalam penyimpanan dengan kunci yang dikelola pelanggan:
| Jenis kunci | Dikelola pelanggan dengan Kunci Otomatis (Pratinjau) | Dikelola pelanggan (manual) | Milik Google dan dikelola Google (default Google) |
|---|---|---|---|
| Dapat melihat metadata kunci | Ya | Ya | Ya |
| Kepemilikan kunci1 | Pelanggan | Pelanggan | |
| Dapat mengelola dan mengontrol2 kunci3 | Pembuatan dan penetapan kunci dilakukan secara otomatis. Kontrol manual pelanggan didukung sepenuhnya. | Pelanggan, kontrol manual saja | |
| Mendukung persyaratan peraturan untuk kunci yang dikelola pelanggan | Ya | Ya | Tidak |
| Berbagi kunci | Unik untuk pelanggan | Unik untuk pelanggan | Data dari beberapa pelanggan biasanya menggunakan kunci enkripsi kunci (KEK) yang sama. |
| Kontrol rotasi kunci | Ya | Ya | Tidak |
| Kebijakan organisasi CMEK | Ya | Ya | Tidak |
| Harga | Bervariasi - untuk informasi selengkapnya, lihat Harga. Tidak ada biaya tambahan untuk Autokey (Pratinjau) | Bervariasi - untuk informasi selengkapnya, lihat Harga | Gratis |
1 Dalam istilah hukum, pemilik kunci menunjukkan siapa yang memegang hak atas kunci tersebut. Kunci yang dimiliki pelanggan memiliki akses yang dibatasi secara ketat atau tidak dapat diakses oleh Google.
2Kontrol atas kunci berarti menyetel kontrol pada jenis kunci dan cara kunci digunakan, mendeteksi varians, dan merencanakan tindakan korektif jika diperlukan. Anda dapat mengontrol kunci, tetapi mendelegasikan pengelolaan kunci kepada pihak ketiga.
3Pengelolaan kunci mencakup kemampuan berikut:
- Membuat kunci.
- Pilih tingkat perlindungan kunci.
- Menetapkan otoritas untuk pengelolaan kunci.
- Mengontrol akses ke kunci.
- Mengontrol penggunaan kunci.
- Tetapkan dan ubah periode rotasi kunci, atau picu rotasi kunci.
- Ubah status kunci.
- Hancurkan versi kunci.
Enkripsi default dengan kunci milik Google dan kunci yang dikelola Google
Semua data yang disimpan dalam Google Cloud dienkripsi saat dalam penyimpanan menggunakan key management system yang di-hardening dan sama dengan yang digunakan Google untuk data terenkripsi milik kami. Sistem pengelolaan kunci ini menyediakan audit dan kontrol akses kunci yang ketat, serta mengenkripsi data dalam penyimpanan menggunakan standar enkripsi AES-256. Google memiliki dan mengontrol kunci yang digunakan untuk mengenkripsi data Anda. Anda tidak dapat melihat atau mengelola kunci ini atau meninjau log penggunaan kunci. Data dari beberapa pelanggan mungkin menggunakan kunci enkripsi kunci (KEK) yang sama. Tidak diperlukan penyiapan, konfigurasi, atau pengelolaan.
Untuk mengetahui informasi selengkapnya tentang enkripsi default di Google Cloud, lihat Enkripsi default dalam penyimpanan.
Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
Kunci enkripsi yang dikelola pelanggan adalah kunci enkripsi yang Anda miliki. Kemampuan ini memungkinkan Anda memiliki kontrol yang lebih besar atas kunci yang digunakan untuk mengenkripsi data dalam penyimpanan dalam layanan Google Cloud yang didukung, dan memberikan batas kriptografis seputar data Anda. Anda dapat mengelola CMEK langsung di Cloud KMS, atau mengotomatiskan penyediaan dan penetapan menggunakan Kunci Otomatis Cloud KMS (Pratinjau).
Layanan yang mendukung CMEK memiliki integrasi CMEK. Integrasi CMEK adalah teknologi enkripsi sisi server yang dapat Anda gunakan sebagai pengganti enkripsi default Google. Setelah CMEK disiapkan, operasi untuk mengenkripsi dan mendekripsi resource akan ditangani oleh agen layanan resource. Karena layanan yang terintegrasi dengan CMEK menangani akses ke resource terenkripsi, enkripsi dan dekripsi dapat berlangsung secara transparan, tanpa upaya pengguna akhir. Pengalaman mengakses resource mirip dengan menggunakan enkripsi default milik Google. Untuk mengetahui informasi selengkapnya tentang integrasi CMEK, lihat Yang disediakan oleh layanan yang terintegrasi dengan CMEK.
Anda dapat menggunakan versi kunci tanpa batas untuk setiap kunci.
Untuk mengetahui apakah layanan mendukung kunci CMEK, lihat daftar layanan yang didukung.
Penggunaan Cloud KMS akan menimbulkan biaya yang terkait dengan jumlah versi kunci dan operasi kriptografi dengan versi kunci tersebut. Untuk mengetahui informasi selengkapnya tentang harga, lihat harga Cloud Key Management Service. Tidak diperlukan pembelian atau komitmen minimum.
Kunci enkripsi yang dikelola pelanggan (CMEK) dengan Kunci Otomatis Cloud KMS
Kunci Otomatis Cloud KMS menyederhanakan pembuatan dan pengelolaan kunci CMEK dengan mengotomatiskan penyediaan dan penetapan. Dengan Autokey, keyring dan kunci dibuat secara on demand sebagai bagian dari pembuatan resource, dan agen layanan yang menggunakan kunci untuk operasi enkripsi dan dekripsi akan otomatis diberi peran Identity and Access Management (IAM) yang diperlukan.
Penggunaan kunci yang dibuat oleh Autokey dapat membantu Anda secara konsisten menyesuaikan dengan standar industri dan praktik yang direkomendasikan untuk keamanan data, termasuk penyelarasan lokasi data kunci, kekhususan kunci, tingkat perlindungan modul keamanan hardware (HSM), jadwal rotasi kunci, dan pemisahan tugas. Autokey membuat kunci yang mengikuti pedoman dan panduan umum khusus untuk jenis resource untuk layanan Google Cloud yang terintegrasi dengan Autokey. Kunci yang dibuat menggunakan fungsi Autokey sama persis ke kunci Cloud HSM (Cloud HSM) lainnya dengan setelan yang sama, termasuk dukungan untuk persyaratan peraturan untuk kunci yang dikelola pelanggan. Untuk mengetahui informasi selengkapnya tentang Kunci otomatis, lihat Ringkasan kunci otomatis.
Kapan kunci yang dikelola pelanggan digunakan
Anda dapat menggunakan kunci atau kunci CMEK yang dibuat secara manual yang dibuat oleh Autokey di layanan yang kompatibel untuk membantu Anda memenuhi sasaran berikut:
Miliki kunci enkripsi Anda.
Kontrol dan kelola kunci enkripsi Anda, termasuk pilihan lokasi, tingkat perlindungan, pembuatan, kontrol akses, rotasi, penggunaan, dan pemusnahan.
Membuat atau mengelola materi kunci Anda di luar Google Cloud.
Tetapkan kebijakan mengenai lokasi penggunaan kunci Anda.
Menghapus data yang dilindungi oleh kunci Anda secara selektif jika terjadi penghentian atau untuk memulihkan peristiwa keamanan (penghancuran kripto).
Gunakan kunci yang unik untuk pelanggan, dengan menetapkan batas kriptografis di sekitar data Anda.
Buat kunci yang unik bagi pelanggan untuk membuat batas kriptografis di sekitar data Anda.
Mencatat log akses administratif dan data ke kunci enkripsi.
Penuhi peraturan saat ini atau di masa mendatang yang mewajibkan salah satu sasaran ini.
Apa yang diberikan oleh layanan yang terintegrasi dengan CMEK
Seperti enkripsi default Google, CMEK adalah enkripsi sisi server, simetris, dan cakupan data pelanggan. Perbedaan dari enkripsi default milik Google adalah perlindungan CMEK menggunakan kunci yang dikontrol pelanggan. Kunci CMEK yang dibuat secara manual atau otomatis menggunakan Kunci Otomatis beroperasi dengan cara yang sama selama integrasi layanan.
Layanan cloud yang memiliki integrasi CMEK menggunakan kunci yang Anda buat di Cloud KMS untuk melindungi resource Anda.
Layanan yang terintegrasi dengan Cloud KMS menggunakan enkripsi simetris.
Tingkat perlindungan kunci berada dalam kontrol Anda.
Semua kunci adalah AES-GCM 256-bit.
Materi kunci tidak pernah keluar dari batas sistem Cloud KMS.
Kunci simetris Anda digunakan untuk mengenkripsi dan mendekripsi dalam model enkripsi amplop.
Layanan yang terintegrasi dengan CMEK melacak kunci dan resource
Resource yang dilindungi CMEK memiliki kolom metadata yang menyimpan nama kunci yang mengenkripsinya. Umumnya, ini akan terlihat oleh pelanggan dalam metadata resource.
Pelacakan kunci memberi tahu Anda resource apa saja yang dilindungi oleh kunci.
Kunci dapat dicantumkan menurut project.
Layanan terintegrasi CMEK menangani akses resource
Entity utama yang membuat atau melihat resource dalam layanan yang terintegrasi dengan CMEK tidak memerlukan Encrypter/Decrypter Cloud KMS CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) untuk CMEK yang digunakan untuk melindungi resource.
Setiap resource project memiliki akun layanan khusus yang disebut agen layanan yang melakukan enkripsi dan dekripsi dengan kunci yang dikelola pelanggan. Setelah Anda memberikan akses kepada agen layanan ke CMEK, agen layanan tersebut akan menggunakan kunci tersebut untuk melindungi resource pilihan Anda.
Jika pemohon ingin mengakses resource yang dienkripsi dengan kunci yang dikelola pelanggan, agen layanan akan otomatis mencoba mendekripsi resource yang diminta. Jika agen layanan memiliki izin untuk mendekripsi menggunakan kunci, dan Anda belum menonaktifkan atau menghancurkan kunci, agen layanan akan menyediakan enkripsi dan dekripsi penggunaan kunci. Jika tidak, permintaan akan gagal.
Tidak ada akses pemohon tambahan yang diperlukan, dan karena agen layanan menangani enkripsi dan dekripsi di latar belakang, pengalaman pengguna untuk mengakses resource serupa dengan menggunakan enkripsi default Google.
Menggunakan Kunci Otomatis untuk CMEK
Untuk setiap folder tempat Anda ingin menggunakan Autokey, ada proses penyiapan satu kali. Anda dapat memilih folder untuk digunakan dengan dukungan Kunci Otomatis, dan project kunci terkait tempat Autokey menyimpan kunci untuk folder tersebut. Untuk informasi selengkapnya tentang cara mengaktifkan Kunci Otomatis, lihat Mengaktifkan Kunci Otomatis Cloud KMS.
Dibandingkan dengan membuat kunci CMEK secara manual, Kunci Otomatis tidak memerlukan langkah-langkah penyiapan berikut:
Administrator kunci tidak perlu membuat key ring atau kunci secara manual, atau menetapkan hak istimewa kepada agen layanan yang mengenkripsi dan mendekripsi data. Agen layanan Cloud KMS melakukan tindakan ini atas nama mereka.
Developer tidak perlu merencanakan di awal untuk meminta kunci sebelum pembuatan resource. Aplikasi dapat meminta kunci itu sendiri dari Kunci Otomatis sesuai kebutuhan, sambil tetap mempertahankan pemisahan tugas.
Saat menggunakan Kunci Otomatis, hanya ada satu langkah: developer meminta kunci sebagai bagian dari pembuatan resource. Kunci yang ditampilkan konsisten untuk jenis resource yang diinginkan.
Kunci CMEK yang dibuat dengan Kunci Otomatis berfungsi dengan cara yang sama seperti kunci yang dibuat secara manual untuk fitur berikut:
Layanan yang terintegrasi dengan CMEK berperilaku dengan cara yang sama.
Administrator kunci dapat terus memantau semua kunci yang dibuat dan digunakan melalui dasbor Cloud KMS serta pelacakan penggunaan kunci.
Kebijakan organisasi berfungsi dengan cara yang sama seperti Kunci Otomatis seperti dengan kunci CMEK yang dibuat secara manual.
Untuk ringkasan tentang Kunci otomatis, lihat Ringkasan kunci otomatis. Untuk mengetahui informasi selengkapnya tentang cara membuat resource yang dilindungi CMEK dengan Kunci Otomatis, lihat Membuat resource yang dilindungi menggunakan Kunci Otomatis Cloud KMS.
Membuat kunci CMEK secara manual
Saat Anda membuat kunci CMEK secara manual, key ring, kunci, dan lokasi resource harus direncanakan dan dibuat sebelum pembuatan resource. Anda kemudian dapat menggunakan kunci untuk melindungi resource.
Guna mengetahui langkah-langkah yang tepat untuk mengaktifkan CMEK, lihat dokumentasi untuk layanan Google Cloud yang relevan. Beberapa layanan, seperti GKE, memiliki beberapa integrasi CMEK untuk melindungi berbagai jenis data yang terkait dengan layanan tersebut. Anda dapat mengikuti langkah-langkah yang serupa dengan berikut ini:
Buat key ring Cloud KMS atau pilih key ring yang ada. Saat membuat key ring, pilih lokasi yang secara geografis dekat dengan resource yang Anda lindungi. Key ring dapat berada dalam project yang sama dengan resource yang Anda lindungi atau dalam project yang berbeda. Menggunakan project yang berbeda memberi Anda kontrol yang lebih besar atas peran IAM dan membantu mendukung pemisahan tugas.
Anda membuat atau mengimpor kunci Cloud KMS di key ring yang dipilih. Kunci ini adalah kunci CMEK.
Anda memberikan peran IAM CryptoKey Encrypter/Decrypter (
roles/cloudkms.cryptoKeyEncrypterDecrypter) pada kunci CMEK ke akun layanan untuk layanan tersebut.Saat membuat resource, konfigurasikan resource untuk menggunakan kunci CMEK. Misalnya, Anda dapat mengonfigurasi cluster GKE untuk menggunakan CMEK guna melindungi data dalam penyimpanan pada boot disk node.
Agar pemohon dapat mengakses data, ia tidak memerlukan akses langsung ke kunci CMEK.
Selama agen layanan memiliki peran CryptoKey Encrypter/Decrypter, layanan dapat mengenkripsi dan mendekripsi datanya. Jika Anda mencabut peran ini, atau menonaktifkan atau menghancurkan kunci CMEK, data tersebut tidak dapat diakses.
Kepatuhan CMEK
Beberapa layanan memiliki integrasi CMEK, dan memungkinkan Anda mengelola kunci sendiri. Sebagai gantinya, beberapa layanan menawarkan kepatuhan CMEK, yang berarti data sementara dan kunci efemeral tidak pernah ditulis ke disk. Untuk daftar lengkap layanan terintegrasi dan yang mematuhi kebijakan, lihat Layanan yang kompatibel dengan CMEK.
Pelacakan penggunaan kunci
Pelacakan penggunaan kunci menunjukkan resource Google Cloud dalam organisasi Anda yang dilindungi oleh kunci CMEK Anda. Dengan menggunakan pelacakan penggunaan kunci, Anda dapat melihat resource, project yang dilindungi, dan produk unik Google Cloud yang menggunakan kunci tertentu, serta apakah kunci sedang digunakan. Untuk informasi selengkapnya tentang pelacakan penggunaan kunci, lihat Melihat penggunaan kunci
Kebijakan organisasi CMEK
Google Cloud menawarkan batasan kebijakan organisasi untuk membantu memastikan konsistensi penggunaan CMEK di seluruh resource organisasi. Batasan ini memberikan kontrol kepada Administrator Organisasi untuk mewajibkan penggunaan CMEK dan menentukan batasan serta kontrol pada kunci Cloud KMS yang digunakan untuk perlindungan CMEK, termasuk:
Batas kunci Cloud KMS yang digunakan untuk perlindungan CMEK
Batasan pada tingkat perlindungan kunci yang diizinkan
Batasan pada lokasi kunci CMEK
Kontrol pemusnahan versi kunci
Guna mengetahui informasi selengkapnya tentang kebijakan organisasi untuk CMEK, lihat kebijakan organisasi CMEK.
Langkah selanjutnya
- Lihat daftar layanan dengan integrasi CMEK.
- Lihat daftar Layanan yang sesuai dengan CMEK.
- Lihat daftar jenis resource yang dapat memiliki pelacakan penggunaan kunci.
- Lihat daftar layanan yang didukung oleh Autokey.