Dokumen ini memberikan ringkasan penggunaan Cloud Key Management Service (Cloud KMS) untuk kunci enkripsi yang dikelola pelanggan (CMEK). Dengan menggunakan CMEK Cloud KMS, Anda akan memiliki kepemilikan dan kontrol atas kunci yang melindungi data Anda dalam penyimpanan di Google Cloud.
Perbandingan CMEK dan Google-owned and Google-managed encryption keys
Kunci Cloud KMS yang Anda buat adalah kunci yang dikelola pelanggan. Google Cloud Layanan yang menggunakan kunci Anda dikatakan memiliki integrasi CMEK. Anda dapat mengelola CMEK ini secara langsung, atau melalui Kunci Otomatis Cloud KMS. Faktor-faktor berikut membedakan enkripsi dalam penyimpanan default Google Clouddari kunci yang dikelola pelanggan:
| Jenis kunci | Autokey Cloud KMS | Cloud KMS yang dikelola pelanggan (manual) | Google-owned and Google-managed encryption key (Enkripsi default Google) |
|---|---|---|---|
Dapat melihat metadata utama |
Ya |
Ya |
Tidak |
Kepemilikan kunci1 |
Pelanggan |
Pelanggan |
|
Pembuatan dan penetapan kunci dilakukan secara otomatis. Kontrol manual pelanggan didukung sepenuhnya. |
Pelanggan, hanya kontrol manual |
||
Mendukung persyaratan peraturan untuk kunci yang dikelola pelanggan |
Ya |
Ya |
Tidak |
Berbagi kunci |
Unik untuk pelanggan |
Unik untuk pelanggan |
Data dari beberapa pelanggan biasanya dilindungi oleh kunci enkripsi kunci (KEK) bersama. |
Kontrol rotasi kunci |
Ya |
Ya |
|
Ya |
Ya |
Tidak | |
Ya |
Ya |
Tidak |
|
Pemisahan data logis melalui enkripsi |
Ya |
Ya |
|
Harga |
Bervariasi | Gratis |
1 Pemilik kunci menunjukkan siapa yang memegang hak atas kunci tersebut. Kunci yang Anda miliki memiliki akses yang sangat terbatas atau tidak ada akses oleh Google.
Pengelolaan kunci 2 mencakup tugas-tugas berikut:
- Buat kunci.
- Pilih tingkat perlindungan kunci.
- Menetapkan otoritas untuk pengelolaan kunci.
- Mengontrol akses ke kunci.
- Mengontrol penggunaan kunci.
- Menetapkan dan mengubah periode rotasi kunci, atau memicu rotasi kunci.
- Ubah status kunci.
- Hancurkan versi kunci.
3 Kontrol kunci berarti menetapkan kontrol pada jenis kunci dan cara penggunaan kunci, mendeteksi variasi, dan merencanakan tindakan korektif jika diperlukan. Anda dapat mengontrol kunci Anda, tetapi mendelegasikan pengelolaan kunci kepada pihak ketiga.
Enkripsi default dengan Google-owned and Google-managed encryption keys
Semua data yang disimpan dalam Google Cloud dienkripsi dalam penyimpanan menggunakan sistem pengelolaan kunci yang telah melalui proses hardening yang sama dengan yang digunakan Google Cloud untuk data terenkripsi milik kami. Sistem pengelolaan kunci ini memberikan kontrol akses kunci dan audit yang ketat, serta mengenkripsi data pengguna dalam penyimpanan menggunakan standar enkripsi AES-256. Google Cloud memiliki dan mengontrol kunci yang digunakan untuk mengenkripsi data Anda. Anda tidak dapat melihat atau mengelola kunci ini atau meninjau log penggunaan kunci. Data dari beberapa pelanggan mungkin menggunakan kunci enkripsi kunci (KEK) yang sama. Tidak diperlukan penyiapan, konfigurasi, atau pengelolaan.
Untuk mengetahui informasi selengkapnya tentang enkripsi default di Google Cloud, lihat Enkripsi dalam penyimpanan default.Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)
Kunci enkripsi yang dikelola pelanggan adalah kunci enkripsi yang Anda miliki. Kemampuan ini memungkinkan Anda memiliki kontrol yang lebih besar atas kunci yang digunakan untuk mengenkripsi data dalam penyimpanan di layanan yang didukung, dan menyediakan batas kriptografis di sekitar data Anda. Google Cloud Anda dapat mengelola CMEK langsung di Cloud KMS, atau mengotomatiskan penyediaan dan penetapan menggunakan Cloud KMS Autokey.
Layanan yang mendukung CMEK memiliki integrasi CMEK. Integrasi CMEK adalah teknologi enkripsi sisi server yang dapat Anda gunakan sebagai pengganti enkripsi defaultGoogle Cloud. Setelah CMEK disiapkan, operasi untuk mengenkripsi dan mendekripsi resource ditangani oleh agen layanan resource. Karena layanan yang terintegrasi dengan CMEK menangani akses ke resource terenkripsi, enkripsi dan dekripsi dapat dilakukan secara transparan, tanpa upaya pengguna akhir. Pengalaman mengakses resource serupa dengan menggunakan enkripsi default Google Cloud. Untuk mengetahui informasi selengkapnya tentang integrasi CMEK, lihat Layanan yang terintegrasi dengan CMEK.
Anda dapat menggunakan versi kunci tanpa batas untuk setiap kunci.
Untuk mempelajari apakah suatu layanan mendukung CMEK, lihat daftar layanan yang didukung.
Penggunaan Cloud KMS menimbulkan biaya yang terkait dengan jumlah versi kunci dan operasi kriptografis dengan versi kunci tersebut. Untuk mengetahui informasi selengkapnya tentang harga, lihat Harga Cloud Key Management Service. Tidak ada pembelian atau komitmen minimum yang diperlukan.
Kunci enkripsi yang dikelola pelanggan (CMEK) dengan Autokey Cloud KMS
Autokey Cloud KMS menyederhanakan pembuatan dan pengelolaan CMEK dengan mengotomatiskan penyediaan dan penetapan. Dengan Autokey, keyring dan kunci dibuat sesuai permintaan sebagai bagian dari pembuatan resource, dan agen layanan yang menggunakan kunci untuk operasi enkripsi dan dekripsi secara otomatis diberi peran Identity and Access Management (IAM) yang diperlukan.
Menggunakan kunci yang dibuat oleh Autokey dapat membantu Anda secara konsisten mematuhi standar industri dan praktik yang direkomendasikan untuk keamanan data, termasuk keselarasan lokasi data-kunci, kekhususan kunci, tingkat perlindungan hardware multi-tenant (HSM), jadwal rotasi kunci, dan pemisahan tugas. Autokey membuat kunci yang mengikuti pedoman umum dan pedoman khusus untuk jenis resource bagi layanan yang terintegrasi dengan Autokey. Google Cloud Kunci yang dibuat menggunakan fungsi Autokey berfungsi sama dengan kunci Cloud HSM lainnya dengan setelan yang sama, termasuk dukungan untuk persyaratan peraturan terkait kunci yang dikelola pelanggan. Untuk mengetahui informasi selengkapnya tentang Autokey, lihat Ringkasan Autokey.
Kapan harus menggunakan kunci enkripsi yang dikelola pelanggan
Anda dapat menggunakan CMEK yang dibuat secara manual atau kunci yang dibuat oleh Autokey di layanan yang kompatibel untuk membantu Anda mencapai tujuan berikut:Miliki kunci enkripsi Anda sendiri.
Kontrol dan kelola kunci enkripsi Anda, termasuk pilihan lokasi, tingkat perlindungan, pembuatan, kontrol akses, rotasi, penggunaan, dan penghancuran.
Buat materi kunci di Cloud KMS atau impor materi kunci yang dikelola di luar Google Cloud.
Tetapkan kebijakan terkait tempat kunci Anda harus digunakan.
Menghapus data yang dilindungi oleh kunci Anda secara selektif dalam kasus penghentian penggunaan atau untuk memulihkan peristiwa keamanan (penghancuran kriptografi).
Buat dan gunakan kunci yang unik untuk pelanggan, dengan membuat batas kriptografi di sekitar data Anda.
Mencatat log akses administratif dan data ke kunci enkripsi.
Memenuhi peraturan saat ini atau mendatang yang mewajibkan salah satu sasaran ini.
Yang disediakan oleh layanan terintegrasi CMEK
Seperti enkripsi default Like Google Cloud, CMEK adalah enkripsi sisi server, simetris, dan amplop data pelanggan. Perbedaannya dengan enkripsi default Google Cloud's adalah bahwa perlindungan CMEK menggunakan kunci yang dikontrol pelanggan. CMEK yang dibuat secara manual atau otomatis menggunakan Autokey beroperasi dengan cara yang sama selama integrasi layanan.
Layanan cloud yang memiliki integrasi CMEK menggunakan kunci yang Anda buat di Cloud KMS untuk melindungi resource Anda.
Layanan yang terintegrasi dengan Cloud KMS menggunakan enkripsi simetris.
Anda memilih tingkat perlindungan kunci.
Semua kunci adalah AES-GCM 256-bit.
Materi kunci tidak pernah keluar dari batas sistem Cloud KMS.
Kunci simetris Anda digunakan untuk mengenkripsi dan mendekripsi dalam model enkripsi amplop.
Layanan yang terintegrasi dengan CMEK melacak kunci dan resource
Resource yang dilindungi CMEK memiliki kolom metadata yang menyimpan nama kunci yang mengenkripsinya. Umumnya, hal ini akan terlihat oleh pelanggan di metadata resource.
Pelacakan kunci memberi tahu Anda resource yang dilindungi kunci, untuk layanan yang mendukung pelacakan kunci.
Kunci dapat dicantumkan berdasarkan project.
Layanan yang terintegrasi dengan CMEK menangani akses resource
Principal yang membuat atau melihat resource di layanan yang terintegrasi dengan CMEK tidak memerlukan
Pengenkripsi/Pendekripsi CryptoKey Cloud KMS
(roles/cloudkms.cryptoKeyEncrypterDecrypter) untuk CMEK yang digunakan untuk melindungi
resource.
Setiap resource project memiliki akun layanan khusus yang disebut agen layanan yang melakukan enkripsi dan dekripsi dengan kunci yang dikelola pelanggan. Setelah Anda memberikan akses agen layanan ke CMEK, agen layanan tersebut akan menggunakan kunci tersebut untuk melindungi resource pilihan Anda.
Saat pemohon ingin mengakses resource yang dienkripsi dengan kunci yang dikelola pelanggan, agen layanan akan otomatis mencoba mendekripsi resource yang diminta. Jika agen layanan memiliki izin untuk mendekripsi menggunakan kunci tersebut, dan Anda belum menonaktifkan atau menghancurkan kunci tersebut, agen layanan akan menyediakan penggunaan kunci untuk mengenkripsi dan mendekripsi. Jika tidak, permintaan akan gagal.
Tidak diperlukan akses pemohon tambahan, dan karena agen layanan menangani enkripsi dan dekripsi di latar belakang, pengalaman pengguna untuk mengakses resource serupa dengan menggunakan enkripsi default Google Cloud.
Menggunakan Autokey untuk CMEK
Untuk setiap folder tempat Anda ingin menggunakan Autokey, ada proses penyiapan satu kali. Anda dapat memilih folder untuk dikerjakan dengan dukungan Autokey, dan project kunci terkait tempat Autokey menyimpan kunci untuk folder tersebut. Untuk mengetahui informasi selengkapnya tentang cara mengaktifkan Autokey, lihat Mengaktifkan Autokey Cloud KMS.
Dibandingkan dengan membuat CMEK secara manual, Autokey tidak memerlukan langkah-langkah penyiapan berikut:
Administrator kunci tidak perlu membuat keyring atau kunci secara manual atau menetapkan hak istimewa kepada agen layanan yang mengenkripsi dan mendekripsi data. Agen layanan Cloud KMS melakukan tindakan ini atas nama mereka.
Developer tidak perlu merencanakan terlebih dahulu untuk meminta kunci sebelum pembuatan resource. Mereka dapat meminta kunci sendiri dari Autokey sesuai kebutuhan, sekaligus tetap mempertahankan pemisahan tugas.
Saat Anda menggunakan Autokey, hanya ada satu langkah: developer meminta kunci sebagai bagian dari pembuatan resource. Kunci yang ditampilkan konsisten untuk jenis resource yang dimaksud.
CMEK yang Anda buat dengan Autokey berperilaku sama dengan kunci yang dibuat secara manual untuk fitur berikut:
Layanan yang terintegrasi dengan CMEK berperilaku sama.
Administrator kunci dapat terus memantau semua kunci yang dibuat dan digunakan melalui dasbor Cloud KMS dan pelacakan penggunaan kunci.
Kebijakan organisasi berfungsi dengan cara yang sama dengan Autokey seperti halnya dengan CMEK yang dibuat secara manual.
Untuk ringkasan Autokey, lihat Ringkasan Autokey. Untuk mengetahui informasi selengkapnya tentang cara membuat resource yang dilindungi CMEK dengan Autokey, lihat Membuat resource yang dilindungi menggunakan Autokey Cloud KMS.
Membuat CMEK secara manual
Saat membuat CMEK secara manual, Anda harus merencanakan dan membuat key ring, kunci, dan lokasi resource sebelum dapat membuat resource yang dilindungi. Kemudian, Anda dapat menggunakan kunci untuk melindungi resource.
Untuk mengetahui langkah-langkah persisnya dalam mengaktifkan CMEK, lihat dokumentasi untuk layanan Google Cloud yang relevan. Beberapa layanan, seperti GKE, memiliki beberapa integrasi CMEK untuk melindungi berbagai jenis data yang terkait dengan layanan tersebut. Anda dapat mengikuti langkah-langkah yang serupa dengan berikut ini:
Buat key ring Cloud KMS atau pilih key ring yang sudah ada. Saat membuat key ring, pilih lokasi yang secara geografis dekat dengan resource yang Anda lindungi. Key ring dapat berada di project yang sama dengan resource yang Anda lindungi atau di project yang berbeda. Menggunakan project yang berbeda memberi Anda kontrol yang lebih besar atas peran IAM dan membantu mendukung pemisahan tugas.
Anda membuat atau mengimpor kunci Cloud KMS di key ring yang dipilih. Kunci ini adalah CMEK.
Anda memberikan peran IAM Pengenkripsi/Pendekripsi CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) di CMEK kepada akun layanan untuk layanan tersebut.Saat membuat resource, konfigurasi resource untuk menggunakan CMEK. Misalnya, Anda dapat mengonfigurasi tabel BigQuery untuk melindungi data saat istirahat di tabel.
Agar pemohon mendapatkan akses ke data, mereka tidak memerlukan akses langsung ke CMEK.
Selama agen layanan memiliki peran CryptoKey Encrypter/Decrypter, layanan dapat mengenkripsi dan mendekripsi datanya. Jika Anda mencabut peran ini, atau jika Anda menonaktifkan atau menghancurkan CMEK, data tersebut tidak dapat diakses.
Kepatuhan CMEK
Beberapa layanan memiliki integrasi CMEK, dan memungkinkan Anda mengelola kunci sendiri. Beberapa layanan menawarkan kepatuhan CMEK, yang berarti data sementara dan kunci sementara tidak pernah ditulis ke disk. Untuk mengetahui daftar lengkap layanan yang terintegrasi dan sesuai, lihat Layanan yang kompatibel dengan CMEK.
Pelacakan penggunaan kunci
Pelacakan penggunaan kunci menunjukkan resource Google Cloud dalam organisasi Anda yang dilindungi oleh CMEK Anda. Dengan menggunakan pelacakan penggunaan kunci, Anda dapat melihat resource, project, dan produk Google Cloud unik yang dilindungi yang menggunakan kunci tertentu, serta apakah kunci sedang digunakan. Untuk informasi selengkapnya tentang pelacakan penggunaan kunci, lihat Melihat penggunaan kunci
Kebijakan organisasi CMEK
Google Cloud menawarkan batasan kebijakan organisasi untuk membantu memastikan penggunaan CMEK yang konsisten di seluruh resource organisasi. Batasan ini memberikan kontrol kepada Administrator Organisasi untuk mewajibkan penggunaan CMEK dan untuk menentukan batasan dan kontrol pada kunci Cloud KMS yang digunakan untuk perlindungan CMEK, termasuk:
Batasan pada kunci Cloud KMS yang digunakan untuk perlindungan CMEK
Batasan pada tingkat perlindungan kunci yang diizinkan
Batasan pada lokasi CMEK
Kontrol untuk penghancuran versi kunci
Langkah berikutnya
- Lihat daftar layanan dengan integrasi CMEK.
- Lihat daftar layanan yang kompatibel dengan CMEK.
- Lihat daftar jenis resource yang dapat memiliki pelacakan penggunaan kunci.
- Lihat daftar layanan yang didukung oleh Autokey.