Cloud KMS Autokey menyederhanakan pembuatan dan penggunaan kunci enkripsi yang dikelola pelanggan (CMEK) dengan mengotomatiskan penyediaan dan penetapan. Dengan Autokey, key ring dan kunci dibuat sesuai permintaan. Akun layanan yang menggunakan kunci untuk mengenkripsi dan mendekripsi resource dibuat dan diberi peran Identity and Access Management (IAM) jika diperlukan. Administrator Cloud KMS mempertahankan kontrol dan visibilitas penuh atas kunci yang dibuat oleh Autokey, tanpa perlu merencanakan dan membuat setiap resource terlebih dahulu. Menggunakan Autokey lebih sederhana daripada menyediakan kunci sendiri, dan merupakan pilihan yang direkomendasikan jika kunci yang dibuat oleh Autokey memenuhi semua persyaratan Anda.
Menggunakan kunci yang dibuat oleh Autokey dapat membantu Anda secara konsisten mematuhi standar industri dan praktik yang direkomendasikan untuk keamanan data, termasuk tingkat perlindungan Cloud HSM Multi-tenant, pemisahan tugas, rotasi kunci, lokasi, dan kekhususan kunci. Autokey membuat kunci yang mengikuti panduan umum dan panduan khusus untuk jenis resource bagi Google Cloud layanan yang terintegrasi dengan Cloud KMS Autokey. Setelah dibuat, kunci yang diminta menggunakan fungsi Autokey akan berfungsi sama dengan kunci Cloud HSM lainnya dengan setelan yang sama.
Autokey juga dapat menyederhanakan penggunaan Terraform untuk pengelolaan kunci, sehingga tidak perlu menjalankan infrastruktur sebagai kode dengan hak istimewa pembuatan kunci yang ditingkatkan.
Anda dapat menggunakan Autokey dengan model pengelolaan kunci terpusat (Ketersediaan Umum) atau model pengelolaan kunci yang didelegasikan (Pratinjau). Untuk menggunakan model pengelolaan kunci terpusat, Anda harus memiliki resource organisasi yang berisi resource folder. Dalam model terpusat, Autokey diaktifkan untuk project dalam folder, dan kunci yang dibuat oleh Autokey dibuat dalam project kunci khusus untuk folder tersebut. Dengan model pengelolaan kunci yang didelegasikan, pengelolaan kunci didelegasikan kepada administrator project, yang dapat mengaktifkan Autokey di folder atau project untuk memungkinkan Autokey membuat kunci di project yang sama dengan resource yang dilindunginya.
Untuk mengetahui informasi selengkapnya tentang resource organisasi dan folder, lihat Hierarki resource.
Cloud KMS Autokey tersedia di semua Google Cloud lokasi tempat Cloud HSM tersedia. Untuk mengetahui informasi selengkapnya tentang lokasi Cloud KMS, lihat Lokasi Cloud KMS. Tidak ada biaya tambahan untuk menggunakan Cloud KMS Autokey. Harga kunci yang dibuat menggunakan Autokey sama dengan kunci Cloud HSM lainnya. Untuk mengetahui informasi selengkapnya tentang harga, lihat Harga Cloud Key Management Service.
Cara kerja Autokey
Bagian ini menjelaskan cara kerja Cloud KMS Autokey. Peran pengguna berikut berpartisipasi dalam proses ini:
- Administrator
- Administrator adalah pengguna yang bertanggung jawab mengelola keamanan di tingkat folder atau organisasi.
- Developer Autokey
- Developer Autokey adalah pengguna yang bertanggung jawab membuat resource menggunakan Cloud KMS Autokey.
- Administrator Cloud KMS
- Administrator Cloud KMS adalah pengguna yang bertanggung jawab mengelola resource Cloud KMS. Peran ini memiliki lebih sedikit tanggung jawab saat menggunakan Autokey dibandingkan saat menggunakan kunci yang dibuat secara manual.
Agen layanan berikut juga berpartisipasi dalam proses ini:
- Agen layanan Cloud KMS
- Agen layanan untuk Cloud KMS dalam project kunci tertentu. Autokey bergantung pada agen layanan ini yang memiliki hak istimewa yang ditingkatkan untuk membuat kunci dan key ring Cloud KMS serta menetapkan kebijakan IAM pada kunci, yang memberikan izin enkripsi dan dekripsi untuk setiap agen layanan resource.
- Agen layanan resource
- Agen layanan untuk layanan tertentu dalam project resource tertentu. Agen layanan ini harus memiliki izin enkripsi dan dekripsi pada kunci Cloud KMS apa pun sebelum dapat menggunakan kunci tersebut untuk perlindungan CMEK pada resource. Autokey membuat agen layanan resource jika diperlukan dan memberinya izin yang diperlukan untuk menggunakan kunci Cloud KMS.
Administrator mengaktifkan Cloud KMS Autokey
Pengaktifan Autokey mengikuti salah satu jalur berikut berdasarkan model pengelolaan kunci yang Anda pilih:
- Model pengelolaan kunci terpusat: Aktifkan Autokey di folder. Project kunci terpusat dibuat untuk menyimpan kunci yang melindungi resource yang dibuat di project lain dalam folder.
- Model pengelolaan kunci yang didelegasikan (Pratinjau): Anda dapat mengaktifkan Autokey di project individual atau untuk semua project dalam folder untuk menggunakan Autokey project yang sama.
Mengaktifkan pengelolaan kunci terpusat
Sebelum dapat menggunakan Autokey untuk pengelolaan kunci terpusat di folder, administrator harus menyelesaikan tugas penyiapan satu kali berikut:
Aktifkan Cloud KMS Autokey di folder dan identifikasi project Cloud KMS yang akan berisi resource Autokey untuk folder tersebut.
Buat agen layanan Cloud KMS, lalu berikan hak istimewa pembuatan dan penetapan kunci kepada agen layanan.
Setelah konfigurasi ini selesai, developer yang dapat membuat resource yang kompatibel dengan Autokey di project mana pun dalam folder tersebut kini dapat memicu pembuatan kunci Cloud HSM Multi-tenant sesuai permintaan. Untuk melihat petunjuk penyiapan lengkap untuk Cloud KMS Autokey, lihat Mengaktifkan Cloud KMS Autokey.
Mengaktifkan pengelolaan kunci yang didelegasikan
Sebelum dapat menggunakan Autokey untuk pengelolaan kunci yang didelegasikan, administrator harus menyelesaikan tugas penyiapan satu kali berikut:
- Aktifkan Cloud KMS Autokey di project atau folder.
- Aktifkan Cloud KMS API di project atau project dalam folder tersebut.
Saat Cloud KMS Autokey diaktifkan di project untuk pengelolaan kunci yang didelegasikan, agen layanan Cloud KMS akan dibuat untuk Anda jika diperlukan. Anda tidak perlu membuat agen layanan secara manual. Setiap pengguna dengan izin untuk membuat resource yang kompatibel dengan Autokey dapat meminta kunci baru sesuai permintaan. Untuk melihat petunjuk penyiapan lengkap untuk Cloud KMS Autokey, lihat Mengaktifkan Cloud KMS Autokey.
Developer Autokey menggunakan Cloud KMS Autokey
Setelah Autokey berhasil diaktifkan untuk project, developer Autokey dapat membuat resource yang dilindungi menggunakan kunci yang dibuat untuk mereka sesuai permintaan. Hal ini berlaku untuk project dalam folder tempat Autokey diaktifkan untuk pengelolaan kunci terpusat dan project tempat Autokey diaktifkan untuk pengelolaan kunci yang didelegasikan dan project yang sama. Detail proses pembuatan resource bergantung pada resource yang Anda buat, tetapi prosesnya mengikuti alur ini:
Developer Autokey mulai membuat resource di layanan yang kompatibel Google Cloud Selama pembuatan resource, developer meminta kunci baru dari agen layanan Autokey.
Agen layanan Autokey menerima permintaan developer dan menyelesaikan langkah-langkah berikut:
- Buat key ring di project di lokasi yang dipilih, kecuali jika key ring tersebut sudah ada.
- Buat kunci di key ring dengan perincian yang sesuai untuk jenis resource, kecuali jika kunci tersebut sudah ada.
- Buat akun layanan per project, per layanan, kecuali jika akun layanan tersebut sudah ada.
- Berikan izin enkripsi dan dekripsi akun layanan per project, per layanan pada kunci.
- Berikan detail kunci kepada developer agar mereka dapat menyelesaikan pembuatan resource.
Dengan detail kunci yang berhasil ditampilkan oleh agen layanan Autokey, developer dapat langsung menyelesaikan pembuatan resource yang dilindungi.
Cloud KMS Autokey membuat kunci yang memiliki atribut yang dijelaskan di bagian berikutnya. Alur pembuatan kunci ini mempertahankan pemisahan tugas. Administrator Cloud KMS terus memiliki visibilitas dan kontrol penuh atas kunci yang dibuat oleh Autokey.
Untuk mulai menggunakan Autokey setelah mengaktifkannya, lihat Membuat resource yang dilindungi menggunakan Cloud KMS Autokey.
Tentang kunci yang dibuat oleh Autokey
Kunci yang dibuat oleh Cloud KMS Autokey memiliki atribut berikut:
- Tingkat perlindungan: HSM.
- Algoritma: AES-256 GCM.
Periode rotasi: Satu tahun.
Setelah kunci dibuat oleh Autokey, administrator Cloud KMS dapat mengedit periode rotasi dari default.
- Pemisahan tugas:
- Akun layanan untuk layanan secara otomatis diberi izin enkripsi dan dekripsi pada kunci.
- Izin administrator Cloud KMS berlaku seperti biasa untuk kunci yang dibuat oleh Autokey. Administrator Cloud KMS dapat melihat, memperbarui, mengaktifkan atau menonaktifkan, dan menghancurkan kunci yang dibuat oleh Autokey. Administrator Cloud KMS tidak diberi izin enkripsi dan dekripsi.
- Developer Autokey hanya dapat meminta pembuatan dan penetapan kunci. Mereka tidak dapat melihat atau mengelola kunci.
- Kekhususan atau perincian: Kunci yang dibuat oleh Autokey memiliki perincian yang bervariasi menurut jenis resource. Untuk mengetahui detail khusus layanan tentang perincian kunci, lihat Layanan yang kompatibel di halaman ini.
Lokasi: Autokey membuat kunci di lokasi yang sama dengan resource yang akan dilindungi.
Jika perlu membuat resource yang dilindungi CMEK di lokasi tempat Cloud HSM tidak tersedia, Anda harus membuat CMEK secara manual.
- Status versi kunci: Kunci yang baru dibuat yang diminta menggunakan Autokey dibuat sebagai versi kunci utama dalam status diaktifkan.
- Penamaan key ring: Semua kunci yang dibuat oleh Autokey dibuat dalam
key ring yang disebut
autokeydi project Autokey di lokasi yang dipilih. Key ring di project Autokey Anda dibuat saat an Autokey developer meminta kunci pertama di lokasi tertentu. - Penamaan kunci: Kunci yang dibuat oleh Autokey mengikuti konvensi penamaan ini:
PROJECT_NUMBER-SERVICE_SHORT_NAME-RANDOM_HEX - Ekspor kunci: Seperti semua kunci Cloud KMS, kunci yang dibuat oleh Autokey tidak dapat diekspor.
- Pelacakan kunci: Seperti semua kunci Cloud KMS yang digunakan dalam layanan terintegrasi CMEK yang kompatibel dengan pelacakan kunci, kunci yang dibuat oleh Autokey dilacak di dasbor Cloud KMS.
Menerapkan Autokey
Jika ingin menerapkan penggunaan Autokey dalam folder atau project, Anda dapat melakukannya dengan menggabungkan kontrol akses IAM dengan kebijakan organisasi CMEK. Cara kerjanya adalah dengan menghapus izin pembuatan kunci dari principal selain agen layanan Autokey, lalu mewajibkan semua resource dilindungi oleh CMEK menggunakan project kunci Autokey. Untuk mengetahui petunjuk mendetail tentang cara menerapkan penggunaan Autokey, lihat Menerapkan penggunaan Autokey.
Layanan yang kompatibel
Tabel berikut mencantumkan layanan yang kompatibel dengan Cloud KMS Autokey:
| Layanan | Resource yang dilindungi | Perincian kunci |
|---|---|---|
| Artifact Registry |
Autokey membuat kunci selama pembuatan Repositori, yang digunakan untuk semua artefak yang disimpan. |
Satu kunci per resource |
| BigQuery |
Autokey membuat kunci default untuk set data. Tabel, model, kueri, dan tabel sementara dalam set data menggunakan kunci default set data. Autokey tidak membuat kunci untuk resource BigQuery selain set data. Untuk melindungi resource yang bukan bagian dari set data, Anda harus membuat kunci default sendiri di tingkat project atau organisasi. |
Satu kunci per resource |
| Bigtable |
Autokey membuat kunci untuk cluster. Autokey tidak membuat kunci untuk resource Bigtable selain cluster. Bigtable hanya kompatibel dengan Cloud KMS Autokey saat membuat resource menggunakan Terraform atau Google Cloud SDK. |
Satu kunci per cluster |
| AlloyDB untuk PostgreSQL |
AlloyDB untuk PostgreSQL hanya kompatibel dengan Cloud KMS Autokey saat membuat resource menggunakan Terraform atau REST API. |
Satu kunci per resource |
| Cloud Run |
|
Satu kunci per lokasi dalam project |
| Cloud SQL |
Autokey tidak membuat kunci untuk resource Cloud SQL
Cloud SQL hanya kompatibel dengan Cloud KMS Autokey saat membuat resource menggunakan Terraform atau REST API. |
Satu kunci per resource |
| Cloud Storage |
Objek dalam
bucket penyimpanan menggunakan kunci default bucket. Autokey tidak membuat
kunci untuk |
Satu kunci per bucket |
| Compute Engine |
Snapshot menggunakan kunci untuk disk yang Anda buat snapshot-nya.
Autokey tidak membuat kunci untuk |
Satu kunci per resource |
| Memorystore untuk Redis |
Memorystore untuk Redis hanya kompatibel dengan Cloud KMS Autokey saat membuat resource menggunakan Terraform atau REST API. |
Satu kunci per resource |
| Pub/Sub |
|
Satu kunci per resource |
| Secret Manager |
Secret Manager hanya kompatibel dengan Cloud KMS Autokey saat membuat resource menggunakan Terraform atau REST API. |
Satu kunci per lokasi dalam project |
| Secure Source Manager |
|
Satu kunci per resource |
| Spanner |
Spanner hanya kompatibel dengan Cloud KMS Autokey saat membuat resource menggunakan Terraform atau REST API. |
Satu kunci per resource |
| Dataflow |
|
Satu kunci per resource |
| Managed Service untuk Apache Spark |
|
Untuk resource Cluster, SessionTemplate, dan WorkflowTemplate resources: Satu kunci per resource Untuk resource Batch dan Sesi: Satu kunci per lokasi dalam project |
Batasan
- Gcloud CLI tidak tersedia untuk resource Autokey.
- Handle kunci tidak ada di Inventaris Aset Cloud.
Langkah berikutnya
- Untuk mulai menggunakan Cloud KMS Autokey, administrator harus mengaktifkan Cloud KMS Autokey.
- Untuk menggunakan Cloud KMS Autokey setelah diaktifkan, developer dapat membuat resource yang dilindungi CMEK menggunakan Autokey.
- Pelajari tentang praktik terbaik CMEK.