Mengaktifkan kunci enkripsi yang dikelola pelanggan

Dokumen ini menjelaskan cara mengenkripsi data Knowledge Catalog (sebelumnya Dataplex Universal Catalog) dengan kunci enkripsi yang dikelola pelanggan (CMEK).

Ringkasan

Secara default, Knowledge Catalog mengenkripsi konten pelanggan dalam penyimpanan. Knowledge Catalog menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut Enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Knowledge Catalog. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melacak penggunaan kunci, melihat log audit, dan mengontrol siklus proses kunci. Bukan Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda. Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Knowledge Catalog Anda akan serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Knowledge Catalog menggunakan satu CMEK per lokasi untuk semua resource Knowledge Catalog.

Anda dapat mengonfigurasi kunci CMEK di tingkat organisasi dalam Knowledge Catalog.

Untuk mengetahui informasi selengkapnya tentang CMEK secara umum, termasuk waktu dan alasan mengaktifkannya, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Manfaat CMEK

CMEK memungkinkan Anda melakukan hal berikut:

  • Mengelola operasi siklus proses utama dan izin akses.
  • Lacak penggunaan kunci dengan dasbor Penggunaan Kunci dan Key Inventory API di Cloud KMS, yang memungkinkan Anda melihat hal-hal seperti kunci mana yang melindungi resource mana. Cloud Logging memberi tahu Anda kapan kunci diakses dan oleh siapa.
  • Memenuhi persyaratan peraturan tertentu dengan mengelola kunci enkripsi Anda.

Cara kerja CMEK dengan Knowledge Catalog

Administrator enkripsi Knowledge Catalog di Google Cloud project Anda dapat mengonfigurasi CMEK untuk Knowledge Catalog dengan memberikan kunci Cloud KMS. Kemudian, Knowledge Catalog menggunakan kunci Cloud KMS yang ditentukan untuk mengenkripsi semua data, termasuk data yang ada dan resource baru yang dibuat dalam Knowledge Catalog.

Fitur yang didukung

Pertimbangan

  • Secara default, setiap organisasi disediakan menggunakan enkripsi default Google.
  • Administrator Organisasi dapat beralih ke CMEK di Katalog Pengetahuan untuk lokasi mana pun.
  • Knowledge Catalog mendukung kunci Cloud KMS, kunci Cloud HSM, dan kunci Cloud External Key Manager.
  • Rotasi kunci didukung, dan setelah tersedia, versi kunci baru akan otomatis digunakan untuk enkripsi data. Data yang ada juga dienkripsi dengan versi baru ini.
  • Knowledge Catalog menyimpan cadangan data selama maksimum 15 hari. Semua cadangan yang dibuat setelah Anda mengaktifkan CMEK dienkripsi menggunakan kunci KMS yang ditentukan. Data yang dicadangkan sebelum mengaktifkan CMEK tetap dienkripsi dengan enkripsi default Google selama maksimum 15 hari.

Batasan

  • Beralih ke CMEK adalah proses yang tidak dapat diurungkan. Setelah memilih CMEK, Anda tidak dapat kembali ke enkripsi default Google.
  • Setelah dikonfigurasi untuk Knowledge Catalog, kunci Cloud KMS tidak dapat diperbarui atau diubah.
  • Knowledge Catalog hanya mendukung enkripsi tingkat organisasi. Akibatnya, konfigurasi enkripsi ditetapkan di tingkat organisasi untuk lokasi tertentu dan digunakan untuk mengenkripsi data Katalog Pengetahuan untuk semua project dalam organisasi dan lokasi tersebut. Enkripsi CMEK tidak didukung untuk project tertentu dalam organisasi atau folder. Penetapan kebijakan organisasi terkait CMEK memerlukan pertimbangan yang cermat.
  • Knowledge Catalog tidak mendukung CMEK di region global.

  • Jika CMEK diaktifkan untuk Knowledge Catalog, fitur berikut tidak akan berfungsi:

    • Penelusuran metadata lintas organisasi

  • Sebelum mengonfigurasi CMEK di Knowledge Catalog, nonaktifkan Data Catalog API (tidak digunakan lagi) di semua project.

  • Saat Anda mengaktifkan CMEK di Knowledge Catalog, jangan memigrasikan project ke dalam atau ke luar organisasi CMEK. Memodifikasi penempatan organisasi project akan mengakibatkan hilangnya metadata yang disimpan di Katalog Pengetahuan secara permanen untuk project tersebut.

Mengupgrade konfigurasi CMEK yang ada

Jika Anda mengaktifkan CMEK di Knowledge Catalog sebelum 7 November 2025, jalankan perintah berikut untuk memperluas cakupan CMEK ke penelusuran Knowledge Catalog dan Knowledge Catalog:

  gcloud dataplex encryption-config update organizations/ORG_ID/locations/LOCATION/encryptionConfigs/default --enable-metastore-encryption
  • Ganti ORG_ID dengan ID organisasi yang berisi kunci.
  • Ganti LOCATION dengan lokasi organisasi yang berisi kunci.

Jika data dienkripsi, Anda mungkin mendapatkan masalah ketersediaan Katalog Pengetahuan.

Jika Anda mengaktifkan CMEK untuk pertama kalinya setelah 7 November 2025, Knowledge Catalog Metastore dan Search disertakan dalam cakupan CMEK secara default.

Melindungi kunci enkripsi Anda

Untuk memastikan akses berkelanjutan ke data yang dienkripsi oleh CMEK, ikuti praktik terbaik berikut:

  • Pastikan kunci CMEK Anda tetap diaktifkan dan dapat diakses. Jika kunci dinonaktifkan atau dihancurkan, data Knowledge Catalog tidak dapat diakses. Jika kunci tidak tersedia selama lebih dari 30 hari, data yang dienkripsi dengan kunci tersebut akan otomatis dihapus dan tidak dapat dipulihkan.
  • Jika kunci Cloud KMS dihancurkan dan tidak dapat dipulihkan, semua data Katalog Pengetahuan terkait akan hilang secara permanen.
  • Jika Cloud KMS tidak tersedia untuk sementara, Knowledge Catalog akan terus mendukung operasi penuh berdasarkan upaya terbaik hingga satu jam. Setelah periode ini, data akan menjadi tidak dapat diakses untuk sementara sebagai tindakan perlindungan.
  • Saat menggunakan Cloud EKM, perlu diketahui bahwa Google tidak mengontrol ketersediaan kunci yang dikelola secara eksternal. Tidak tersedianya kunci jangka pendek mengakibatkan data tidak dapat diakses untuk sementara. Ketidaktersediaan kunci yang berlanjut selama 30 hari akan menyebabkan hilangnya data secara permanen.

Ketersediaan Knowledge Catalog

Bagian berikut menguraikan proses dan dampak operasional yang diharapkan saat Anda mengaktifkan CMEK untuk organisasi Knowledge Catalog Anda.

Penyediaan infrastruktur awal

Setelah Anda menyimpan konfigurasi enkripsi, Knowledge Catalog akan menyiapkan infrastruktur yang diperlukan. Proses ini biasanya memerlukan waktu 6 hingga 8 jam. Selama fase penyediaan ini, Anda tetap memiliki akses penuh ke semua fitur dan fungsi Knowledge Catalog, dan data tetap dienkripsi melalui enkripsi yang dikelola Google. Jika kebijakan organisasi constraints/gcp.restrictNonCmekServices ditetapkan, permintaan pembuatan resource akan gagal hingga fase penyediaan selesai.

Enkripsi data dan ketersediaan API

Setelah penyediaan infrastruktur, Knowledge Catalog mulai mengenkripsi data yang ada yang disimpan dalam organisasi. Untuk memastikan integritas data dan mencegah potensi inkonsistensi selama proses enkripsi ini, metode Dataplex API tidak tersedia untuk sementara. Pembatasan ini mencegah operasi pembaruan data. Saat Anda pertama kali mengaktifkan CMEK untuk Knowledge Catalog, semua data yang ada akan dienkripsi. Operasi satu kali ini diperkirakan memerlukan waktu hingga dua jam.

Operasi pasca-enkripsi

Setelah enkripsi data yang ada berhasil diselesaikan, metode Dataplex API akan tersedia sepenuhnya. Data yang dibuat atau diubah dalam Knowledge Catalog dienkripsi secara otomatis menggunakan CMEK yang dikonfigurasi, tanpa gangguan operasional atau batasan API.

Membuat kunci dan mengaktifkan CMEK

Petunjuk berikut menjelaskan cara membuat kunci dan mengaktifkan CMEK untuk Knowledge Catalog. Anda dapat menggunakan kunci yang dibuat langsung di Cloud KMS atau kunci yang dikelola secara eksternal yang Anda sediakan dengan Cloud EKM.

  1. Di project Google Cloud tempat Anda ingin mengelola kunci, lakukan tindakan berikut:

    1. Aktifkan Cloud Key Management Service API.

    2. Buat key ring Cloud KMS di lokasi tempat Anda ingin menggunakannya.

    3. Buat kunci menggunakan salah satu opsi berikut:

  2. Buat dan tampilkan akun layanan yang dikelola Google:

    gcloud beta services identity create \
    --service=dataplex.googleapis.com \
    --organization=ORG_ID

    Ganti ORG_ID dengan ID organisasi yang berisi kunci.

    Jika Anda diminta untuk menginstal komponen perintah beta Google Cloud CLI, masukkan Y.

    Perintah gcloud CLI services identity membuat atau mendapatkan akun layanan yang dikelola Google tertentu yang dapat digunakan Knowledge Catalog untuk mengakses kunci Cloud KMS.

    ID akun layanan diformat sebagai service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com. Akun layanan khusus CMEK juga dibuat, diformat sebagai service-org-ORG_ID@gcp-sa-dataplex-cmek.iam.gserviceaccount.com. Akun layanan khusus CMEK digunakan untuk mengenkripsi dan mendekripsi data yang disimpan di Knowledge Catalog. Jika Anda menggunakan Kontrol Layanan VPC untuk kunci Cloud KMS, Anda harus memberikan akses ke akun layanan khusus CMEK menggunakan aturan ingress.

  3. Berikan peran IAM CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) ke akun layanan Knowledge Catalog. Beri izin ini pada kunci yang Anda buat.

    Konsol

    1. Buka halaman Key management.

      Buka Pengelolaan kunci

    2. Klik key ring.

    3. Dalam daftar kunci yang tersedia, klik kunci yang Anda buat.

    4. Klik tab Permissions.

    5. Klik Grant access.

    6. Di panel Berikan akses yang terbuka, ikuti langkah-langkah berikut untuk memberikan akses ke akun layanan Knowledge Catalog:

      1. Di Add principals, masukkan service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com akun layanan.
      2. Di Tetapkan peran, pilih peran Cloud KMS CryptoKey Encrypter/Decrypter.
      3. Klik Simpan.

    gcloud

    Berikan peran cloudkms.cryptoKeyEncrypterDecrypter kepada akun layanan:

    gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location=LOCATION \
    --keyring KEY_RING \
    --project=KEY_PROJECT_ID \
    --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter

    Ganti kode berikut:

    • KEY_NAME: adalah nama kunci
    • LOCATION: lokasi
    • KEY_RING: key ring
    • KEY_PROJECT_ID: ID project utama

  4. Tetapkan peran Dataplex Encryption Admin untuk diri Anda sendiri.

    Konsol

    Ikuti petunjuk untuk memberikan peran IAM.

    gcloud 

    gcloud organizations add-iam-policy-binding ORG_ID \
    --member='user:USER_EMAIL' \
    --role='roles/dataplex.encryptionAdmin'

    Ganti kode berikut:

    • ORG_ID: ID organisasi yang berisi kunci.
    • USER_EMAIL: alamat email pengguna.

  5. Konfigurasi Knowledge Catalog untuk menggunakan kunci CMEK Anda.

    Konsol

    1. Di konsol Google Cloud , buka halaman Knowledge Catalog.

      Buka Knowledge Catalog

    2. Klik Setelan.

    3. Di Pilih region untuk CMEK, pilih region. Region yang Anda pilih harus cocok dengan lokasi kunci Cloud KMS.

    4. Di Pilih kunci enkripsi, pilih kunci yang Anda buat.

    5. Klik Simpan.

      Proses enkripsi data memerlukan waktu beberapa saat untuk diselesaikan. Setelah proses selesai, pesan berikut akan muncul: Data Encryption is complete. Your selected CMEK key is now protecting your data.

    gcloud

    1. Tetapkan konfigurasi enkripsi di Knowledge Catalog:

      gcloud dataplex encryption-config create default \
    --location=LOCATION \
    --organization=ORG_ID \
    --key=KEY_RESOURCE_ID

      Ganti kode berikut:

      • ORG_ID: ID organisasi yang berisi kunci.
      • KEY_RESOURCE_ID: the key resource ID - for example, projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. Ganti PROJECT_ID dengan project ID utama.

    2. Pastikan proses enkripsi selesai:

      gcloud dataplex encryption-config describe default \
    --location=LOCATION \
    --organization=ORG_ID

    Proses enkripsi data memerlukan waktu beberapa saat untuk diselesaikan. Setelah proses selesai, pesan berikut akan muncul: encryptionState: COMPLETED.

Logging dan pemantauan

Audit permintaan Katalog Pengetahuan ke Cloud KMS dengan mengaktifkan logging audit untuk Cloud KMS API.

Kebijakan organisasi CMEK

Google Cloud menyediakan batasan kebijakan organisasi untuk menerapkan penggunaan CMEK dan mengontrol kunci Cloud KMS yang diizinkan dalam organisasi Anda. Batasan ini membantu memastikan bahwa data dalam Knowledge Catalog dilindungi secara konsisten oleh CMEK.

  • constraints/gcp.restrictNonCmekServices menerapkan penggunaan CMEK wajib untuk resource Knowledge Catalog.

    • Menambahkan dataplex.googleapis.com ke daftar nama layanan Google Cloud dan menyetel batasan ke Deny akan melarang pembuatan resource Knowledge Catalog yang tidak memiliki perlindungan CMEK.

    • Jika kunci Cloud KMS tidak ditentukan untuk lokasi yang diminta dalam setelan enkripsi CMEK, permintaan untuk membuat resource dalam Knowledge Catalog akan gagal.

    • Kebijakan ini divalidasi di tingkat project resource individual.

  • constraints/gcp.restrictCmekCryptoKeyProjects membatasi pemilihan kunci Cloud KMS untuk CMEK ke hierarki resource yang ditentukan.

    • Dengan mengonfigurasi daftar indikator hierarki resource (project, folder, atau organisasi) dan menetapkan batasan ke Allow, Knowledge Catalog dibatasi untuk menggunakan kunci CMEK hanya dari lokasi yang ditentukan.

    • Jika kunci Cloud KMS dari project yang tidak diizinkan diberikan, permintaan untuk membuat resource yang dilindungi CMEK di Knowledge Catalog akan gagal.

    • Kebijakan ini divalidasi di tingkat project resource selama pembuatan resource.

    • Kebijakan ini divalidasi di tingkat organisasi saat mengonfigurasi setelan enkripsi CMEK.

    • Untuk mencegah inkonsistensi, pastikan konfigurasi tingkat project selaras dengan kebijakan di seluruh organisasi.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi kebijakan organisasi, lihat Kebijakan organisasi CMEK.

Langkah berikutnya

  • Pelajari CMEK lebih lanjut.