Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mengonfigurasi Key Access Justifications dengan Cloud HSM

Halaman ini menjelaskan cara mengonfigurasi Key Access Justifications dengan Cloud HSM untuk Assured Workloads' paket kontrol Japan Regions.

Selama langkah-langkah untuk membuat folder Assured Workloads baru untuk Japan Regions, Anda memiliki opsi untuk membuat project baru dan key ring untuk kunci kriptografi Anda. Kunci Cloud HSM dapat ditambahkan ke key ring ini, dan Anda juga dapat mengonfigurasi kebijakan Key Access Justifications untuk mengontrol akses ke setiap kunci.

Sebelum memulai

Kemampuan untuk menggunakan Key Access Justifications dengan kunci Cloud HSM hanya tersedia untuk paket kontrol Japan Regions di Assured Workloads.
Pastikan administrator Anda telah memberi Anda salah satu peran Identity and Access Management (IAM) yang diperlukan untuk membuat dan mengelola kebijakan Key Access Justifications dan kunci Cloud HSM itu sendiri.

Izin IAM yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk membuat dan mengelola kunci Cloud HSM dan kebijakan Key Access Justifications-nya, minta administrator Anda untuk memberi Anda peran IAM Admin Cloud KMS (roles/cloudkms.admin) di project yang berisi key ring. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk membuat dan mengelola kunci Cloud HSM dan kebijakan Key Access Justifications-nya. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk membuat dan mengelola kunci Cloud HSM dan kebijakan Key Access Justifications-nya:

cloudkms.cryptoKeys.create
cloudkms.cryptoKeys.update
cloudkms.cryptoKeys.get

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Mengonfigurasi kunci Cloud HSM dengan Key Access Justifications

Untuk mengonfigurasi Key Access Justifications dengan kunci Cloud HSM, Anda dapat menyertakan kebijakan akses kunci sebagai parameter saat membuat kunci, atau Anda dapat memperbarui kunci dengan kebijakan setelah kunci dibuat.

Membuat kunci dan kebijakan baru

REST

Buat kunci dan kebijakan baru menggunakan cryptoKeys.create metode:

POST https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME

Dalam permintaan, ganti nilai placeholder berikut:

PROJECT_ID: Project ID yang berisi key ring tempat Anda ingin menambahkan kunci—misalnya, 919698201234.
LOCATION: Lokasi key ring—misalnya, us-west1.
KEY_RING: Nama key ring yang Anda tentukan saat Anda membuat project pengelolaan kunci dan key ring folder Assured Workloads Anda—misalnya, my-key-ring.
KEY_NAME: Nama kunci HSM yang ingin Anda buat—misalnya, my-hsm-key.

Isi permintaan:

{
  "purpose": "PURPOSE",
  "versionTemplate": {
    "protectionLevel": "HSM",
    "algorithm": "ALGORITHM"
  },
  "keyAccessJustificationsPolicy": {
    "allowedAccessReasons": [
      ALLOWED_ACCESS_REASONS
    ]
  }
}

Dalam isi permintaan, ganti nilai placeholder berikut:

PURPOSE: Tujuan kunci. Untuk mengetahui daftar tujuan kunci yang berbeda, lihat Tujuan kunci—misalnya, ENCRYPT_DECRYPT.
ALGORITHM: Algoritma kriptografi yang akan digunakan. Untuk mengetahui daftar algoritma yang tersedia, lihat Algoritma Cloud KMS—misalnya, GOOGLE_SYMMETRIC_ENCRYPTION.
ALLOWED_ACCESS_REASONS: Kebijakan Key Access Justifications yang menentukan nol atau lebih kode justifikasi yang diizinkan untuk mengakses kunci enkripsi—misalnya, ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"].

Contoh permintaan dan isi permintaan berikut hanya mengizinkan justifikasi akses untuk beberapa alasan:

POST https://cloudkms.googleapis.com/v1/projects/919698201234/locations/us-west1/keyRings/my-key-ring/cryptoKeys?crypto_key_id=my-hsm-key

{
  "purpose": "ENCRYPT_DECRYPT",
  "versionTemplate": {
    "protectionLevel": "HSM",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "keyAccessJustificationsPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Memperbarui kebijakan kunci yang ada

REST

Perbarui kunci yang ada di Cloud KMS menggunakan metode cryptoKeys.patch:

PATCH https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME?update_mask=keyAccessJustificationsPolicy

Dalam permintaan, ganti nilai placeholder berikut:

PROJECT_ID: Project ID project yang berisi key ring untuk kunci—misalnya, 919698201234.
LOCATION: Lokasi key ring—misalnya, us-west1.
KEY_RING: Nama key ring yang Anda tentukan saat Anda membuat project pengelolaan kunci dan key ring folder Assured Workloads Anda—misalnya, my-key-ring.
KEY_NAME: Nama kunci HSM yang ingin Anda perbarui—misalnya, my-hsm-key.

Isi permintaan:

{
  "purpose": "PURPOSE",
  "versionTemplate": {
    "protectionLevel": "HSM",
    "algorithm": "ALGORITHM"
  },
  "keyAccessJustificationsPolicy": {
    "allowedAccessReasons": [
      ALLOWED_ACCESS_REASONS
    ]
  }
}

Dalam isi permintaan, ganti nilai placeholder berikut:

PURPOSE: Tujuan kunci. Untuk mengetahui daftar tujuan kunci yang berbeda, lihat Tujuan kunci—misalnya, ENCRYPT_DECRYPT.
ALGORITHM: Algoritma kriptografi yang akan digunakan. Untuk mengetahui daftar algoritma yang tersedia, lihat Algoritma Cloud KMS—misalnya, GOOGLE_SYMMETRIC_ENCRYPTION.
ALLOWED_ACCESS_REASONS: Kebijakan Key Access Justifications yang menentukan nol atau lebih kode justifikasi yang diizinkan untuk mengakses kunci enkripsi—misalnya, ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"].

Contoh permintaan dan isi permintaan berikut hanya mengizinkan justifikasi akses untuk beberapa alasan:

PATCH https://cloudkms.googleapis.com/v1/projects/919698201234/locations/us-west1/keyRings/my-key-ring/cryptoKeys/my-hsm-key?keyAccessJustificationsPolicy

{
  "purpose": "ENCRYPT_DECRYPT",
  "versionTemplate": {
    "protectionLevel": "HSM",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "keyAccessJustificationsPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Mendapatkan kebijakan Key Access Justifications untuk kunci

REST

Dapatkan metadata tentang kunci yang ada di Cloud KMS menggunakan metode cryptoKeys.get:

GET https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME

Dalam parameter permintaan, ganti nilai placeholder berikut dengan nilai Anda sendiri:

PROJECT_ID: Project ID yang berisi key ring untuk kunci—misalnya, 919698201234.
LOCATION: Lokasi key ring—misalnya, us-west1.
KEY_RING: Nama key ring yang Anda tentukan saat Anda membuat project pengelolaan kunci dan key ring folder Assured Workloads Anda—misalnya, my-key-ring.
KEY_NAME: Nama kunci HSM yang ingin Anda dapatkan—misalnya, my-hsm-key.

Contoh permintaan berikut mendapatkan metadata tentang kunci di Cloud KMS:

GET https://cloudkms.googleapis.com/v1/projects/919698201234/locations/us-west1/keyRings/my-key-ring/cryptoKeys/my-hsm-key

Isi respons berisi metadata tentang kunci Anda, termasuk keyAccessJustificationsPolicy. Contoh:

{
  "purpose": "ENCRYPT_DECRYPT",
  "versionTemplate": {
    "protectionLevel": "HSM",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "keyAccessJustificationsPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Langkah berikutnya

Anda juga dapat Menetapkan kebijakan Key Access Justifications default (Pratinjau).