Customer-managed encryption keys (CMEK) memungkinkan Anda melindungi data di layanan yang didukung Google Cloud dengan kunci kriptografi yang Anda kontrol di Cloud KMS. Anda dapat mengonfigurasi rotasi kunci otomatis sesuai jadwal yang ditetapkan, atau Anda dapat merotasi kunci secara manual. Dokumen ini menjelaskan apa yang terjadi dalam layanan terintegrasi CMEK saat kunci Cloud KMS yang mendasarinya dirotasi.
Cara kerja rotasi kunci dengan CMEK
Saat Anda merotasi kunci di Cloud KMS, Cloud KMS akan membuat versi baru dari kunci tersebut. Versi kunci baru menjadi versi utama dan dapat digunakan untuk mengenkripsi kunci enkripsi data (DEK) yang melindungi data Anda. Versi kunci sebelumnya tetap aktif dan tersedia untuk mendekripsi DEK yang dienkripsi dengan versi kunci tersebut. Proses ini memastikan Anda selalu dapat mengakses data lama.
Layanan terintegrasi CMEK yang berbeda menangani rotasi kunci secara berbeda, tetapi ada tiga pola utama:
- Versi kunci baru melindungi semua data: Saat layanan mendeteksi bahwa versi kunci baru telah menjadi versi utama, layanan akan otomatis mengenkripsi ulang DEK yang dienkripsi dengan versi kunci sebelumnya. DEK yang melindungi data baru dan data yang sudah ada dienkripsi dengan versi kunci utama saat ini. Enkripsi ulang DEK yang sudah ada mungkin memerlukan waktu untuk diselesaikan, tetapi versi kunci sebelumnya tidak lagi digunakan.
- Versi kunci baru digunakan ke depannya: Saat layanan mendeteksi bahwa versi kunci baru telah menjadi versi utama, permintaan enkripsi berikutnya akan menggunakan versi kunci baru. DEK yang melindungi data untuk resource ini menggunakan campuran versi kunci saat ini dan sebelumnya.
- Versi kunci baru tidak digunakan: Layanan terus mengenkripsi DEK dengan versi kunci asli yang dikonfigurasi saat resource dibuat, terlepas dari apakah ada versi kunci utama baru.
Perilaku khusus layanan setelah rotasi kunci
Tabel berikut menunjukkan perilaku rotasi khusus layanan untuk resource yang dapat dilindungi dengan CMEK. Tabel berikut menjelaskan detail rotasi untuk setiap jenis resource atau kumpulan jenis resource:- Dapat mewarisi kunci: Apakah resource dapat mewarisi kunci dari resource induk.
- Dapat menggunakan kunci unik: Apakah resource dapat menggunakan kunci uniknya sendiri, yang tidak diwarisi dari resource induk.
- Dapat mengubah kunci: Apakah Anda dapat memilih CMEK baru untuk melindungi resource saat Anda memperbarui resource.
- Data baru: Apakah DEK baru dienkripsi dengan versi kunci utama atau versi kunci asli yang menjadi versi utama saat CMEK dikonfigurasi untuk resource.
- Data yang sudah ada: Apakah DEK yang sudah ada dienkripsi ulang dengan versi kunci utama atau tetap dienkripsi dengan versi kunci asli yang menjadi versi utama saat CMEK dikonfigurasi untuk resource.
| Layanan dan Resource | Dapat mewarisi kunci | Dapat menggunakan kunci unik | Dapat mengubah kunci | Data baru | Data yang sudah ada |
|---|---|---|---|---|---|
Application Integration
|
Tidak | Ya | Ya | Menggunakan versi kunci utama baru | Menggunakan versi kunci asli |
Cloud Storage
|
Tidak | Ya | Ya | Menggunakan versi kunci utama baru | Menggunakan versi kunci utama baru |
Cloud Storage
|
Ya | Ya | Tidak | Tidak berlaku: resource ini tidak dapat diubah. | Menggunakan versi kunci asli |
Customer Experience Insights
|
Ya | Tidak | Tidak | Tidak diketahui | Tidak diketahui |
Filestore
|
Tidak | Ya | Tidak | Menggunakan versi kunci utama baru | Menggunakan versi kunci asli |
Firestore
|
Tidak | Ya | Tidak | Menggunakan versi kunci utama baru | Menggunakan versi kunci utama baru |
Gemini Code Assist
|
Tidak | Ya | Tidak | Menggunakan versi kunci asli | Menggunakan versi kunci asli |
Pub/Sub
|
Tidak | Ya | Ya | Menggunakan versi kunci utama baru | Menggunakan versi kunci asli |
Speech-to-Text
|
Tidak | Ya | Ya | Menggunakan versi kunci utama baru | Menggunakan versi kunci asli |
Speech-to-Text
|
Ya | Tidak | Ya | Menggunakan versi kunci utama baru | Menggunakan versi kunci asli |
Langkah berikutnya
- Pelajari cara merotasi kunci.
- Baca ringkasan Customer-managed encryption keys (CMEK).