Mengaktifkan kunci enkripsi yang dikelola pelanggan

Dokumen ini menjelaskan cara mengenkripsi data Knowledge Catalog (sebelumnya Dataplex Universal Catalog) dengan kunci enkripsi yang dikelola pelanggan (CMEK).

Ringkasan

Secara default, Knowledge Catalog mengenkripsi konten pelanggan dalam penyimpanan. Knowledge Catalog menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Knowledge Catalog. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan , lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melacak penggunaan kunci, melihat log audit, dan mengontrol siklus proses kunci. Bukan Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda. Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Knowledge Catalog Anda akan serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Knowledge Catalog menggunakan satu CMEK per lokasi untuk semua resource Knowledge Catalog.

Anda dapat mengonfigurasi kunci CMEK di tingkat organisasi di Knowledge Catalog.

Untuk mengetahui informasi selengkapnya tentang CMEK secara umum, termasuk waktu dan alasan mengaktifkannya, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Manfaat CMEK

CMEK memungkinkan Anda melakukan hal berikut:

• Mengelola operasi siklus proses kunci dan izin akses.
• Melacak penggunaan kunci dengan Key Inventory API dan dasbor Penggunaan Kunci di Cloud KMS, yang memungkinkan Anda melihat hal-hal seperti kunci mana yang melindungi resource mana. Cloud Logging memberi tahu Anda kapan kunci diakses dan oleh siapa.
• Memenuhi persyaratan peraturan tertentu dengan mengelola kunci enkripsi Anda.

Cara kerja CMEK dengan Knowledge Catalog

Administrator enkripsi Knowledge Catalog di project Anda dapat mengonfigurasi CMEK untuk Knowledge Catalog dengan memberikan kunci Cloud KMS. Google Cloud Kemudian, Knowledge Catalog menggunakan kunci Cloud KMS yang ditentukan untuk mengenkripsi semua data, termasuk data yang ada dan resource baru yang dibuat dalam Knowledge Catalog.

Fitur yang didukung

• Knowledge Catalog mendukung enkripsi CMEK untuk fitur berikut:

  • Kualitas data otomatis
  • Pembuatan profil data
  • Data discovery
  • Data Insights
  • Knowledge Catalog
  • Glosarium Bisnis
  • Penelusuran Knowledge Catalog

• Data Lineage tidak menyimpan konten inti pelanggan atau data sensitif, sehingga tidak memerlukan enkripsi CMEK.

• Pelanggan Assured Workloads tidak dapat menggunakan fitur Knowledge Catalog lainnya karena enkripsi CMEK tidak didukung untuk mereka.

• Pelanggan yang tidak menggunakan Assured Workloads dapat menggunakan fitur lain, tetapi data dienkripsi menggunakan enkripsi default Google.

Pertimbangan

• Secara default, setiap organisasi disediakan menggunakan enkripsi default Google.
• Administrator Organisasi dapat beralih ke CMEK di Knowledge Catalog untuk lokasi mana pun.
• Knowledge Catalog mendukung kunci Cloud KMS, kunci Cloud HSM, dan kunci Cloud External Key Manager.
• Rotasi kunci didukung, dan setelah tersedia, versi kunci baru akan otomatis digunakan untuk enkripsi data. Data yang ada juga dienkripsi dengan versi baru ini.
• Knowledge Catalog menyimpan cadangan data selama maksimal 15 hari. Cadangan apa pun yang dibuat setelah Anda mengaktifkan CMEK akan dienkripsi menggunakan kunci KMS yang ditentukan. Data yang dicadangkan sebelum mengaktifkan CMEK akan tetap dienkripsi dengan enkripsi default Google selama maksimal 15 hari.

Batasan

• Beralih ke CMEK adalah proses yang tidak dapat dibatalkan. Setelah memilih CMEK, Anda tidak dapat kembali ke enkripsi default Google.
• Setelah kunci Cloud KMS dikonfigurasi untuk Knowledge Catalog, kunci tersebut tidak dapat diupdate atau diubah.
• Knowledge Catalog hanya mendukung enkripsi tingkat organisasi. Akibatnya, konfigurasi enkripsi ditetapkan di tingkat organisasi untuk lokasi tertentu dan digunakan untuk mengenkripsi data Knowledge Catalog untuk semua project dalam organisasi dan lokasi tersebut. Enkripsi CMEK tidak didukung untuk project tertentu di bawah organisasi atau folder. Menetapkan kebijakan organisasi terkait CMEK memerlukan pertimbangan yang cermat.
• Knowledge Catalog tidak mendukung CMEK di region global.

• Jika CMEK diaktifkan untuk Knowledge Catalog, fitur berikut tidak akan berfungsi:

  • Penelusuran metadata lintas organisasi

• Sebelum mengonfigurasi CMEK di Knowledge Catalog, nonaktifkan Data Catalog (tidak digunakan lagi) API di semua project.

• Saat mengaktifkan CMEK di Knowledge Catalog, jangan migrasikan project ke atau dari organisasi CMEK. Mengubah penempatan organisasi project akan mengakibatkan hilangnya metadata yang disimpan Knowledge Catalog secara permanen untuk project tersebut.

Mengupgrade konfigurasi CMEK yang ada

Jika Anda mengaktifkan CMEK di Knowledge Catalog sebelum 7 November 2025, jalankan perintah berikut untuk memperluas cakupan CMEK ke Knowledge Catalog dan penelusuran Knowledge Catalog:

  gcloud dataplex encryption-config update organizations/ORG_ID/locations/LOCATION/encryptionConfigs/default --enable-metastore-encryption

• Ganti ORG_ID dengan ID organisasi yang berisi kunci.
• Ganti LOCATION dengan lokasi organisasi yang berisi kunci.

Saat data dienkripsi, Anda mungkin mengalami masalah ketersediaan Knowledge Catalog.

Jika Anda mengaktifkan CMEK untuk pertama kalinya setelah 7 November 2025, Metastore dan Penelusuran Knowledge Catalog akan disertakan dalam cakupan CMEK secara default.

Melindungi kunci enkripsi Anda

Untuk memastikan akses berkelanjutan ke data yang dienkripsi oleh CMEK, ikuti praktik terbaik berikut:

• Pastikan kunci CMEK Anda tetap diaktifkan dan dapat diakses. Jika kunci dinonaktifkan atau dihancurkan, data Knowledge Catalog tidak dapat diakses. Jika kunci tidak tersedia selama lebih dari 30 hari, data yang dienkripsi dengan kunci tersebut akan otomatis dihapus dan tidak dapat dipulihkan.
• Jika kunci Cloud KMS dihancurkan dan tidak dapat dipulihkan, semua data Knowledge Catalog terkait akan hilang secara permanen.
• Jika Cloud KMS tidak tersedia untuk sementara, Knowledge Catalog akan terus mendukung operasi penuh berdasarkan upaya terbaik hingga satu jam. Setelah periode ini, data akan menjadi tidak dapat diakses untuk sementara sebagai tindakan perlindungan.
• Saat menggunakan Cloud EKM, perlu diketahui bahwa Google tidak mengontrol ketersediaan kunci yang dikelola secara eksternal. Ketidaktersediaan kunci jangka pendek akan mengakibatkan data tidak dapat diakses untuk sementara. Ketidaktersediaan kunci yang berlanjut selama 30 hari akan mengakibatkan kehilangan data secara permanen.

Ketersediaan Knowledge Catalog

Bagian berikut menguraikan proses dan dampak operasional yang diharapkan saat Anda mengaktifkan CMEK untuk organisasi Knowledge Catalog.

Penyediaan infrastruktur awal

Setelah Anda menyimpan konfigurasi enkripsi, Knowledge Catalog akan menyiapkan infrastruktur yang diperlukan. Proses ini biasanya memerlukan waktu 6 hingga 8 jam. Selama fase penyediaan ini, Anda tetap memiliki akses penuh ke semua fitur dan fungsi Knowledge Catalog, dan data tetap dienkripsi melalui enkripsi yang dikelola Google. Jika kebijakan organisasi constraints/gcp.restrictNonCmekServices ditetapkan, permintaan pembuatan resource akan gagal hingga fase penyediaan selesai.

Enkripsi data dan ketersediaan API

Setelah penyediaan infrastruktur, Knowledge Catalog akan mulai mengenkripsi data yang ada dan disimpan dalam organisasi. Untuk memastikan integritas data dan mencegah potensi inkonsistensi selama proses enkripsi ini, metode Dataplex API tidak tersedia untuk sementara. Pembatasan ini mencegah operasi update data. Saat Anda mengaktifkan CMEK untuk Knowledge Catalog, semua data yang ada akan dienkripsi. Operasi satu kali ini diperkirakan memerlukan waktu hingga dua jam.

Operasi pasca-enkripsi

Setelah enkripsi data yang ada berhasil diselesaikan, metode Dataplex API akan tersedia sepenuhnya. Membuat atau mengubah data dalam Knowledge Catalog akan otomatis dienkripsi menggunakan CMEK yang dikonfigurasi, tanpa gangguan operasional atau batasan API.

Membuat kunci dan mengaktifkan CMEK

Petunjuk berikut menjelaskan cara membuat kunci dan mengaktifkan CMEK untuk Knowledge Catalog. Anda dapat menggunakan kunci yang dibuat langsung di Cloud KMS atau kunci yang dikelola secara eksternal yang Anda sediakan dengan Cloud EKM.

1. Di Google Cloud project tempat Anda ingin mengelola kunci, lakukan hal berikut:

   1. Aktifkan Cloud Key Management Service API.

   2. Buat key ring Cloud KMS di lokasi tempat Anda ingin menggunakannya.

   3. Buat kunci menggunakan salah satu opsi berikut:

      • Buat kunci Cloud KMS.
      • Buat kunci eksternal.

2. Buat dan tampilkan akun layanan yang dikelola Google:

   gcloud beta services identity create \
       --service=dataplex.googleapis.com \
       --organization=ORG_ID
   

   Ganti ORG_ID dengan ID organisasi yang berisi kunci.

   Jika Anda diminta untuk menginstal komponen perintah beta Google Cloud CLI, masukkan Y.

   Perintah services identity gcloud CLI membuat atau mendapatkan akun layanan khusus yang dikelola Google yang dapat digunakan Knowledge Catalog untuk mengakses kunci Cloud KMS.

   ID akun layanan diformat sebagai service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com. Akun layanan khusus CMEK juga dibuat, diformat sebagai service-org-ORG_ID@gcp-sa-dataplex-cmek.iam.gserviceaccount.com. Akun layanan khusus CMEK digunakan untuk mengenkripsi dan mendekripsi data yang disimpan di Knowledge Catalog. Jika Anda menggunakan Kontrol Layanan VPC untuk kunci Cloud KMS, Anda harus memberikan akses ke akun layanan khusus CMEK menggunakan aturan masuk.

3. Berikan peran IAM Pengenkripsi/Pendekripsi CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) ke akun layanan Knowledge Catalog. Berikan izin ini pada kunci yang Anda buat.

   Konsol

   1. Buka halaman Key management.

      Buka Pengelolaan kunci

   2. Klik key ring.

   3. Dalam daftar kunci yang tersedia, klik kunci yang Anda buat.

   4. Klik tab Permissions.

   5. Klik Grant access.

   6. Di panel Grant access yang terbuka, ikuti langkah-langkah berikut untuk memberikan akses ke akun layanan Knowledge Catalog:

      1. Di Add principals, masukkan akun layanan service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.
      2. Di Assign roles, pilih peran Cloud KMS CryptoKey Encrypter/Decrypter.
      3. Klik Save.

   gcloud

   Berikan peran cloudkms.cryptoKeyEncrypterDecrypter ke akun layanan:

   gcloud kms keys add-iam-policy-binding KEY_NAME \
       --location=LOCATION \
       --keyring KEY_RING \
       --project=KEY_PROJECT_ID \
       --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \
       --role roles/cloudkms.cryptoKeyEncrypterDecrypter
   

   Ganti kode berikut:

   • KEY_NAME: adalah nama kunci
   • LOCATION: adalah lokasi
   • KEY_RING: adalah key ring
   • KEY_PROJECT_ID: adalah ID project kunci

4. Tetapkan peran Dataplex Encryption Admin untuk Anda sendiri.

   Konsol

   Ikuti petunjuk untuk memberikan peran IAM.

   gcloud

   gcloud organizations add-iam-policy-binding ORG_ID \
       --member='user:USER_EMAIL' \
       --role='roles/dataplex.encryptionAdmin'
   

   Ganti kode berikut:

   • ORG_ID: adalah ID organisasi yang berisi kunci.
   • USER_EMAIL: adalah alamat email pengguna.

5. Konfigurasikan Knowledge Catalog untuk menggunakan kunci CMEK Anda.

   Konsol

   1. Di Google Cloud konsol, buka halaman Knowledge Catalog.

      Buka Knowledge Catalog

   2. Klik Settings.

   3. Di Select region for CMEK, pilih region. Region yang Anda pilih harus cocok dengan lokasi kunci Cloud KMS.

   4. Di Select encryption key, pilih kunci yang Anda buat.

   5. Klik Save.

      Proses enkripsi data memerlukan waktu untuk diselesaikan. Setelah proses selesai, pesan berikut akan muncul: Data Encryption is complete. Your selected CMEK key is now protecting your data.

   gcloud

   1. Tetapkan konfigurasi enkripsi di Knowledge Catalog:

      gcloud dataplex encryption-config create default \
          --location=LOCATION \
          --organization=ORG_ID \
          --key=KEY_RESOURCE_ID
      

      Ganti kode berikut:

      • ORG_ID: adalah ID organisasi yang berisi kunci.
      • KEY_RESOURCE_ID: ID resource kunci - misalnya, projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. Ganti PROJECT_ID dengan ID project kunci.

   2. Periksa apakah proses enkripsi telah selesai:

      gcloud dataplex encryption-config describe default \
          --location=LOCATION \
          --organization=ORG_ID
      

   Proses enkripsi data memerlukan waktu untuk diselesaikan. Setelah proses selesai, pesan berikut akan muncul: encryptionState: COMPLETED.

Logging dan pemantauan

Audit permintaan Knowledge Catalog ke Cloud KMS dengan mengaktifkan logging audit untuk Cloud KMS API.

Kebijakan organisasi CMEK

Google Cloud menyediakan batasan kebijakan organisasi untuk menerapkan penggunaan CMEK dan mengontrol kunci Cloud KMS yang diizinkan dalam organisasi Anda. Batasan ini membantu memastikan bahwa data dalam Knowledge Catalog dilindungi secara konsisten oleh CMEK.

• constraints/gcp.restrictNonCmekServices menerapkan penggunaan CMEK wajib untuk resource Knowledge Catalog.

  • Menambahkan dataplex.googleapis.com ke daftar nama Google Cloud layanan dan menetapkan batasan ke Deny akan melarang pembuatan resource Knowledge Catalog yang tidak memiliki perlindungan CMEK.

  • Jika kunci Cloud KMS tidak ditentukan untuk lokasi yang diminta dalam setelan enkripsi CMEK, permintaan untuk membuat resource dalam Knowledge Catalog akan gagal.

  • Kebijakan ini divalidasi di tingkat project resource individual.

• constraints/gcp.restrictCmekCryptoKeyProjects membatasi pemilihan kunci Cloud KMS untuk CMEK ke hierarki resource yang ditentukan.

  • Dengan mengonfigurasi daftar indikator hierarki resource (project, folder, atau organisasi) dan menetapkan batasan ke Allow, Knowledge Catalog dibatasi untuk menggunakan kunci CMEK hanya dari lokasi yang ditentukan.

  • Jika kunci Cloud KMS dari project yang tidak diizinkan diberikan, permintaan untuk membuat resource yang dilindungi CMEK di Knowledge Catalog akan gagal.

  • Kebijakan ini divalidasi di tingkat project resource selama pembuatan resource.

  • Kebijakan ini divalidasi di tingkat organisasi saat mengonfigurasi setelan enkripsi CMEK.

  • Untuk mencegah inkonsistensi, pastikan konfigurasi tingkat project selaras dengan kebijakan di seluruh organisasi.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi kebijakan organisasi, lihat Kebijakan organisasi CMEK.

Langkah berikutnya

• Pelajari CMEK lebih lanjut.