Menggunakan CMEK dengan Google Cloud Serverless untuk Apache Spark

Secara default, Google Cloud Serverless for Apache Spark mengenkripsi konten pelanggan dalam penyimpanan. Serverless for Apache Spark menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut Enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Serverless for Apache Spark. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melacak penggunaan kunci, melihat log audit, dan mengontrol siklus proses kunci. Bukan Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda. Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Serverless untuk Apache Spark Anda akan serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Menggunakan CMEK

Ikuti langkah-langkah di bagian ini untuk menggunakan CMEK guna mengenkripsi data yang ditulis oleh Google Cloud Serverless for Apache Spark ke disk persisten dan bucket penyiapan Dataproc.

Mulai 23 April 2024:

Serverless for Apache Spark juga menggunakan CMEK Anda untuk mengenkripsi argumen tugas batch. Peran IAM Pengenkripsi/Pendekripsi CryptoKey Cloud KMS harus ditetapkan ke akun layanan Agen Layanan Dataproc untuk mengaktifkan perilaku ini. Jika peran Agen Layanan Dataproc tidak dilampirkan ke akun layanan Agen Layanan Dataproc, tambahkan izin serviceusage.services.use ke peran kustom yang dilampirkan ke akun layanan Agen Layanan Dataproc . Cloud KMS API harus diaktifkan di project yang menjalankan resource Serverless for Apache Spark.
batches.list menampilkan kolom unreachable yang mencantumkan batch dengan argumen tugas yang tidak dapat didekripsi. Anda dapat mengeluarkan batches.get permintaan untuk mendapatkan informasi selengkapnya tentang batch yang tidak dapat dijangkau.
Kunci (CMEK) harus berada di lokasi yang sama dengan resource terenkripsi. Misalnya, CMEK yang digunakan untuk mengenkripsi batch yang berjalan di region us-central1 juga harus berada di region us-central1.

Anda dapat menggunakan Cloud Key Management Service untuk membuat dan mengelola key ring dan kunci, atau menggunakan Autokey Cloud KMS untuk penyederhanaan pembuatan otomatis key ring dan kunci.

Menggunakan Autokey Cloud KMS

Aktifkan Autokey di folder yang berisi project Anda.
Buat handle kunci. Saat membuat handle kunci, tentukan dataproc.googleapis.com/Batch atau dataproc.googleapis.com/Session sebagai --resource-type. Autokey membuat kunci dan menetapkannya ke handle kunci.
Berikan izin ke akun layanan dan konfigurasi batch atau beban kerja sesi Anda dengan mengikuti langkah 4 dan 5 di bagian Membuat dan menggunakan kunci secara manual di bawah. Saat Anda mengirimkan workload, tentukan nama resource handle kunci, bukan nama resource kunci, di kolom kmsKey.

Membuat dan menggunakan kunci secara manual

Ikuti langkah-langkah berikut untuk membuat kunci Cloud KMS secara manual dan menggunakannya dengan Serverless for Apache Spark.

Buat kunci menggunakan Cloud Key Management Service (Cloud KMS).

Salin nama resource.

Nama resource dibuat sebagai berikut:

projects/PROJECT_ID/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME

Aktifkan akun layanan Agen Layanan Compute Engine, Dataproc, dan Cloud Storage untuk menggunakan kunci Anda:
1. Lihat Melindungi resource menggunakan kunci Cloud KMS > Peran yang Diperlukan untuk menetapkan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS ke akun layanan Agen Layanan Compute Engine. Jika akun layanan ini tidak tercantum di halaman IAM di konsol Google Cloud , klik Include Google-provided role grants untuk mencantumkannya.
2. Tetapkan peran Cloud KMS CryptoKey Encrypter/Decrypter ke akun layanan Agen Layanan Dataproc. Anda dapat menggunakan Google Cloud CLI untuk menetapkan peran:
```
 gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
 --member serviceAccount:service-PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com \
 --role roles/cloudkms.cryptoKeyEncrypterDecrypter
```
  Ganti kode berikut:
  
  KMS_PROJECT_ID: ID project Google Cloud yang menjalankan Cloud KMS. Project ini juga dapat berupa project yang menjalankan resource Dataproc.
  
  PROJECT_NUMBER: nomor project (bukan project ID) dari Google Cloud project Anda yang menjalankan resource Dataproc.
3. Aktifkan Cloud KMS API di project yang menjalankan resource Serverless untuk Apache Spark.
4. Jika peran Agen Layanan Dataproc tidak dilampirkan ke akun layanan Agen Layanan Dataproc, tambahkan izin serviceusage.services.use ke peran kustom yang dilampirkan ke akun layanan Agen Layanan Dataproc. Jika peran Agen Layanan Dataproc dilampirkan ke akun layanan Agen Layanan Dataproc, Anda dapat melewati langkah ini.
5. Ikuti langkah-langkah untuk menambahkan kunci Anda di bucket.
Saat Anda mengirimkan workload batch:
1. Tentukan kunci Anda dalam parameter batch kmsKey.
2. Tentukan nama bucket Cloud Storage Anda di parameter batch stagingBucket.
Saat Anda membuat sesi interaktif atau template sesi:
1. Tentukan kunci Anda dalam parameter kmsKey sesi.
2. Tentukan nama bucket Cloud Storage Anda di parameter stagingBucket sesi.

Menggunakan CMEK dengan Google Cloud Serverless untuk Apache Spark Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Menggunakan CMEK

Menggunakan Autokey Cloud KMS

Membuat dan menggunakan kunci secara manual

Menggunakan CMEK dengan Google Cloud Serverless untuk Apache Spark