Secara default, Data Studio mengenkripsi konten pelanggan dalam penyimpanan. Data Studio menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut Enkripsi default Google.
Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Data Studio. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melihat log audit dan mengontrol siklus proses kunci. Bukan Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda. Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.
Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Data Studio Anda akan serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).
Dengan CMEK, Anda dapat menggunakan kunci kriptografis Anda sendiri untuk mengenkripsi data Data Studio Pro dalam penyimpanan. Penggunaan CMEK memberi Anda kontrol tambahan atas data Anda dan membantu Anda memenuhi peraturan kepatuhan internal atau eksternal.
CMEK dan penyimpanan yang dikelola pelanggan
Jika mengaktifkan CMEK, Anda juga harus mengaktifkan opsi penyimpanan yang dikelola pelanggan di Data Studio Pro, yang memungkinkan Anda menggunakan Cloud Storage dan BigQuery untuk menyimpan data di project Data Studio Pro. Google CloudData Studio Pro menggunakan kunci Cloud Key Management Service Anda untuk melindungi resource seperti konfigurasi laporan dan sumber data serta email terjadwal. Untuk ekstrak data dan upload file yang disimpan di project Google Cloud Anda, Anda dapat melindungi data dengan menerapkan CMEK ke resource penyimpanan Google Cloud Anda.
Sebelum memulai
Untuk mengaktifkan dan menggunakan CMEK, Anda harus memenuhi prasyarat berikut:
- Anda hanya dapat mengaktifkan CMEK saat membuat langganan Data Studio Pro baru.
- Untuk mengaktifkan CMEK, Anda juga harus mengaktifkan dan mengonfigurasi penyimpanan yang dikelola pelanggan. Untuk penyimpanan yang dikelola pelanggan, Anda harus menyediakan bucket Cloud Storage dan set data BigQuery dalam project Google Cloud Anda agar Data Studio Pro dapat menggunakannya untuk menyimpan ekstrak data dan upload file. Untuk melindungi data yang disimpan dalam resource ini, Anda dapat menerapkan konfigurasi CMEK padanya.
- Untuk mengaktifkan CMEK, Anda juga harus mengaktifkan dan mengonfigurasi lokasi data.
- Anda harus memiliki kunci enkripsi simetris di Cloud KMS untuk digunakan dengan CMEK. Kunci ini harus berada di region yang sama dengan yang Anda pilih untuk lokasi data.
- Anda harus memiliki peran IAM yang diperlukan untuk membuat kunci di Cloud KMS. Untuk mengetahui informasi selengkapnya, lihat Peran yang diperlukan.
Mengaktifkan CMEK untuk langganan
Anda hanya dapat mengaktifkan CMEK saat membuat langganan Data Studio Pro baru. Anda tidak dapat mengaktifkan CMEK untuk langganan Pro yang sudah ada.
Untuk mengaktifkan CMEK, ikuti langkah-langkah berikut saat Anda membuat langganan Data Studio Pro baru:
- Saat diminta, pilih Gunakan kunci enkripsi yang dikelola pelanggan.
- Masukkan atau tempel nama resource kunci ke kolom Key resource name.
- Berikan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS di Cloud KMS kepada akun layanan Data Studio Pro yang ditampilkan di antarmuka pengguna.
- Klik Berikutnya untuk melanjutkan penyiapan langganan.
Yang dienkripsi dengan CMEK
Jika Anda mengaktifkan CMEK untuk langganan Data Studio Pro, enkripsi konten pelanggan akan ditangani dengan dua cara:
- Data yang dienkripsi oleh Data Studio Pro menggunakan kunci Cloud KMS Anda: Data Studio Pro menggunakan kunci yang Anda tentukan untuk mengenkripsi data seperti konfigurasi laporan dan sumber data serta email terjadwal.
- Data yang disimpan di project Google Cloud Anda: Mengaktifkan CMEK mengharuskan Anda menggunakan penyimpanan yang dikelola pelanggan. Jenis data berikut disimpan di resource Cloud Storage dan BigQuery yang Anda berikan:
- Ekstraksi data
- Upload file CSV dan Excel. Resource ini dienkripsi menggunakan konfigurasi CMEK apa pun yang Anda terapkan padanya di Cloud Storage dan BigQuery. Data Studio Pro tidak otomatis menerapkan CMEK ke resource ini saat Anda mengaktifkan CMEK untuk langganan Anda.
Pengelolaan kunci
Sebagai administrator keamanan atau kepatuhan, Anda dapat melakukan tugas pengelolaan kunci menggunakan Cloud KMS. Data Studio Pro memanggil Cloud KMS untuk semua operasi enkripsi dan dekripsi.
Anda dapat melakukan tugas pengelolaan kunci berikut:
- Pencabutan kunci: Anda dapat mencabut akses Data Studio Pro ke kunci untuk membuat data Anda langsung tidak tersedia.
- Audit: Anda dapat memeriksa log akses kunci di Cloud KMS untuk mengaudit setiap operasi saat kunci Anda digunakan untuk mengenkripsi atau mendekripsi data.
Rotasi kunci
Saat Anda merotasi kunci, Cloud KMS akan membuat versi baru kunci yang digunakan untuk mengenkripsi aset baru. Aset yang ada tidak dienkripsi ulang dan tetap dilindungi oleh versi kunci yang digunakan untuk mengenkripsinya. Data Studio Pro tidak mendukung enkripsi ulang aset yang ada dengan versi kunci baru.
Karena versi kunci sebelumnya masih diperlukan untuk mengakses aset yang ada yang dienkripsi dengannya, Anda tidak boleh menghapus atau menonaktifkan versi kunci sebelumnya kecuali jika tujuan Anda adalah menghapus akses ke aset tersebut secara permanen. Menghapus atau menonaktifkan versi kunci yang melindungi data akan membuat data tersebut tidak dapat diakses.
Jika kunci CMEK Anda tidak tersedia—misalnya, jika Anda menonaktifkan atau menghapus kunci—Data Studio Pro akan menampilkan pesan error, bukan menampilkan laporan atau sumber data yang menggunakan data terenkripsi. Data apa pun yang disimpan dalam memori akan dihapus dalam waktu 15 menit setelah mendeteksi kunci yang dinonaktifkan. Halaman beranda Data Studio tetap dapat diakses karena tidak berisi konten pelanggan.
Kuota Cloud KMS dan Data Studio
Saat Anda menggunakan CMEK di Data Studio, project Anda dapat memakai kuota permintaan kriptografis Cloud KMS. Setiap kali Data Studio Pro menggunakan salah satu kunci Anda untuk mengenkripsi atau mendekripsi data, operasi tersebut dihitung dalam kuota project Anda.
Operasi enkripsi dan dekripsi yang menggunakan kunci CMEK memengaruhi kuota Cloud KMS dengan cara berikut:
- Untuk kunci software CMEK yang dihasilkan di Cloud KMS, tidak ada kuota Cloud KMS yang digunakan.
- Untuk kunci hardware CMEK—terkadang disebut kunci Cloud HSM —operasi enkripsi dan dekripsi akan mengurangi kuota Cloud HSM dalam project yang berisi kunci tersebut.
- Untuk kunci eksternal CMEK—terkadang disebut kunci Cloud EKM —operasi enkripsi dan dekripsi akan mengurangi kuota Cloud EKM dalam project yang berisi kunci tersebut.
Untuk informasi selengkapnya, lihat kuota Cloud KMS.
Batasan CMEK
CMEK memiliki batasan berikut:
- Anda hanya dapat mengaktifkan CMEK saat membuat langganan Data Studio Pro baru. Anda tidak dapat mengaktifkan atau menonaktifkan CMEK untuk langganan yang ada.
- Anda hanya dapat memindahkan konten dari project yang diaktifkan CMEK ke project lain yang memiliki langganan Data Studio Pro yang aktif.
- Jika Anda melakukan downgrade dari Data Studio Pro ke Data Studio versi tanpa biaya, atau jika langganan Anda dibatalkan, fitur CMEK akan terus berfungsi selama masa tenggang 30 hari. Setelah itu, sumber data yang dibuat menggunakan CMEK akan dihapus.
- Jika Anda mendowngrade dari Data Studio Pro ke Data Studio versi tanpa biaya, atau jika langganan Anda dibatalkan, Anda harus menunggu 30 hari sebelum dapat menggunakan kembali project yang sama untuk membuat langganan Data Studio Pro baru. Google Cloud