Kunci enkripsi yang dikelola pelanggan (CMEK) memungkinkan Anda melindungi data Layanan Pencadangan dan DR menggunakan kunci kriptografi yang Anda kontrol melalui Cloud Key Management Service (Cloud KMS). Saat menggunakan CMEK, Anda mengelola kunci di Cloud Key Management Service, dan Anda dapat mengontrol siapa yang dapat mengaksesnya dengan mengelola izin Identity and Access Management pada kunci tersebut. Jika Anda menonaktifkan untuk sementara atau menghancurkan kunci CMEK secara permanen, data yang dilindungi oleh kunci tersebut tidak akan dapat diakses.
Layanan Backup and DR menggunakan CMEK untuk melindungi data cadangan yang disimpan di vault cadangan.
Anda hanya dapat mengonfigurasi CMEK di brankas cadangan saat Anda membuatnya. Anda tidak dapat mengaktifkan atau menonaktifkan CMEK di brankas cadangan yang ada.
Untuk mengetahui informasi selengkapnya tentang CMEK secara umum, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).
Izin yang diperlukan untuk menggunakan CMEK
Sebelum mulai menggunakan CMEK, Anda harus:
Aktifkan Cloud Key Management Service API di project yang akan menyimpan kunci CMEK Anda.
Buat key ring dan kunci Cloud Key Management Service. Saat membuat kunci, pastikan Anda memilih lokasi yang cocok dengan lokasi vault cadangan Anda. Vault cadangan di region harus menggunakan kunci dari region yang sama. Vault cadangan multi-regional harus menggunakan kunci dari multi-region yang sama.
Jika belum dibuat, buat identitas agen layanan Backup and DR Service. Agen layanan otomatis dibuat setelah brankas cadangan pertama dibuat dalam project. Jika perlu memberikan izin kepada agen layanan sebelum membuat brankas cadangan, Anda dapat memicu pembuatannya dengan perintah berikut:
gcloud beta services identity create --service=backupdr.googleapis.com --project=PROJECT_ID
PROJECT_IDdengan ID project Anda.
Saat Anda mengaktifkan CMEK untuk vault cadangan, Layanan Pencadangan dan DR memerlukan izin untuk menggunakan kunci CMEK Anda guna mengenkripsi dan mendekripsi data. Izin ini harus diberikan kepada agen layanan Backup and DR Service.
Penting untuk membedakan antara dua akun layanan berbeda yang digunakan oleh Layanan Pencadangan dan DR:
- Agen layanan Backup and DR Service: Ini adalah akun layanan tingkat project yang digunakan untuk mengelola resource Backup and DR Service dan untuk mengakses kunci Cloud Key Management Service saat CMEK diaktifkan di vault cadangan. Agen layanan ini memerlukan peran
roles/cloudkms.cryptoKeyEncrypterDecrypterpada kunci CMEK. - Akun layanan vault cadangan: Ini adalah akun layanan unik per vault yang Anda beri izin untuk mengakses dan mencadangkan workload sumber (seperti instance Compute Engine). Akun layanan ini tidak digunakan untuk enkripsi CMEK data dalam vault cadangan.
Untuk menggunakan CMEK dengan Layanan Pencadangan dan DR, Anda harus memberikan peran
Cloud KMS CryptoKey Encrypter/Decrypter
(roles/cloudkms.cryptoKeyEncrypterDecrypter) kepada agen layanan
Layanan Pencadangan dan DR. Agen layanan ini adalah akun layanan yang digunakan oleh Layanan Pencadangan dan DR untuk mengakses resource atas nama Anda, termasuk mengakses kunci Cloud Key Management Service Anda selama operasi enkripsi dan dekripsi.
Agen layanan Backup and DR Service diberi nama dalam format berikut:
service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com
Ganti VAULT_PROJECT_NUMBER dengan nomor project dari project yang berisi brankas cadangan Anda.
Anda dapat memberikan peran ini pada saat pembuatan vault cadangan menggunakan
konsol Google Cloud jika Anda memiliki izin untuk memberikan peran IAM, atau Anda dapat
memberikannya terlebih dahulu menggunakan perintah gcloud kms keys add-iam-policy-binding:
gcloud kms keys add-iam-policy-binding KEY_NAME \
--location=KMS_LOCATION \
--keyring=KEY_RING \
--member=serviceAccount:service-VAULT_PROJECT_NUMBER@gcp-sa-backupdr.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Izin untuk mencadangkan resource yang dilindungi CMEK
Jika Anda mencadangkan resource yang dienkripsi dengan kunci CMEK lain, seperti instance Compute Engine dengan disk yang dienkripsi CMEK, izin tambahan diperlukan. Agen layanan dari layanan resource
sumber memerlukan izin untuk menggunakan kunci yang melindungi resource
sumber. Misalnya, untuk mencadangkan instance Compute Engine yang dienkripsi CMEK, Agen Layanan Compute Engine project instance sumber harus memiliki peran roles/cloudkms.cryptoKeyEncrypterDecrypter pada kunci Cloud Key Management Service yang digunakan untuk mengenkripsi disk instance. Dalam sebagian besar kasus, izin ini sudah ada agar workload sumber dapat beroperasi.
Rotasi kunci dan kemampuan pemulihan cadangan Cloud Key Management Service
Pencadangan Backup and DR Service mengandalkan ketersediaan kunci Cloud Key Management Service Backup and DR Service mungkin tidak dapat mengakses resource yang dilindungi oleh kunci tersebut.
Jika Backup and DR Service tidak dapat mengakses kunci CMEK Anda:
- Cadangan baru ke vault cadangan yang mendukung CMEK akan gagal.
- Pemulihan dari vault cadangan yang mendukung CMEK gagal.
- Anda tidak dapat membuat brankas cadangan baru yang menggunakan kunci yang tidak tersedia.
Jika Anda telah menonaktifkan kunci yang digunakan untuk cadangan, mengaktifkannya kembali akan memulihkan akses ke data cadangan. Jika Anda telah menghancurkan versi kunci, semua cadangan yang dienkripsi dengan versi kunci tersebut akan hilang secara permanen.
Harga
Layanan Pencadangan dan DR tidak mengenakan biaya tambahan apa pun untuk penggunaan CMEK. Namun, Anda akan dikenai biaya untuk penggunaan kunci di Cloud Key Management Service. Untuk mengetahui informasi selengkapnya, lihat Harga Cloud Key Management Service.