Mengaktifkan Kunci Otomatis Cloud KMS

Halaman ini menunjukkan cara mengaktifkan dan mengonfigurasi Kunci Otomatis Cloud KMS untuk pengelolaan kunci terpusat di folder resource atau untuk pengelolaan kunci yang didelegasikan di project (Pratinjau). Untuk mengetahui informasi selengkapnya tentang Autokey, lihat Ringkasan Autokey. Dokumen ini ditujukan untuk administrator.

Sebelum memulai

Sebelum dapat mengaktifkan Autokey Cloud KMS untuk pengelolaan kunci terpusat menggunakan project kunci khusus untuk semua project dalam folder, Anda harus memiliki hal berikut:

• Resource organisasi yang berisi folder tempat Anda ingin mengaktifkan Autokey. Jika tidak memiliki folder tempat Anda ingin mengaktifkan Autokey, Anda dapat membuat folder resource baru. Mengaktifkan Autokey di folder ini akan mengaktifkan Autokey untuk semua project resource dalam folder tersebut.

• Jika Anda memiliki project resource yang ingin menggunakan pengelolaan kunci terpusat dengan Autokey, tetapi project tersebut tidak berada di dalam folder tempat Anda akan mengaktifkan Autokey, Anda dapat memindahkan project resource yang ada ke folder baru.

Sebelum dapat mengaktifkan Autokey untuk project (Pratinjau) guna mengaktifkan pengelolaan kunci yang didelegasikan dan kunci project yang sama, Anda harus memiliki salah satu hal berikut:

• Project Google Cloud tempat Anda ingin mengaktifkan Autokey dan tempat izin keyHandles.create tidak diblokir oleh kebijakan penolakan IAM.
• Folder Google Cloud tempat Anda ingin mengaktifkan Autokey, yang berisi setidaknya satu project yang izin keyHandles.create-nya tidak diblokir oleh kebijakan penolakan IAM.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk mengaktifkan dan mengonfigurasi Autokey, minta administrator untuk memberi Anda peran IAM berikut pada folder, project, atau resource induk:

• Admin Kunci Otomatis Cloud KMS (roles/cloudkms.autokeyAdmin)
• Service Usage Admin (roles/serviceusage.serviceUsageAdmin)
• Untuk mengaktifkan Autokey terpusat:
  • Folder IAM Admin (roles/resourcemanager.folderIamAdmin)
  • Pengguna Akun Penagihan (roles/billing.user)

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk mengaktifkan dan mengonfigurasi Autokey. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Tentukan cara Anda ingin mengaktifkan Autokey

Anda dapat mengaktifkan Autokey sebagai bagian dari strategi infrastruktur sebagai kode dengan menggunakan Terraform untuk melakukan perubahan konfigurasi yang diperlukan. Jika Anda ingin menggunakan Terraform untuk mengaktifkan Autokey, lihat Mengaktifkan Autokey menggunakan Terraform di halaman ini. Jika Anda tidak ingin menggunakan Terraform, mulailah dengan mengikuti petunjuk di bagian berikutnya.

Menyiapkan Autokey untuk pengelolaan kunci terpusat

Saat menggunakan Autokey untuk pengelolaan kunci terpusat dalam folder, Anda harus memilih project kunci tunggal yang akan berisi semua kunci yang dibuat oleh Autokey dalam folder tersebut. Jika Anda menggunakan model pengelolaan kunci yang didelegasikan (Pratinjau), Anda tidak memerlukan project kunci khusus; lanjutkan dari Mengaktifkan Autokey untuk pengelolaan kunci yang didelegasikan.

Sebaiknya buat project kunci baru untuk menyimpan resource Cloud KMS yang dibuat oleh Autokey. Anda harus membuat project utama di dalam resource organisasi Anda. Jika sudah memiliki project kunci yang ingin digunakan untuk kunci yang dibuat oleh Autokey, Anda dapat melewati bagian Buat project kunci dan melanjutkan dari Konfigurasi project kunci Autokey di halaman ini.

Project kunci dapat dibuat di dalam folder yang sama tempat Anda berencana mengaktifkan Autokey. Anda tidak boleh membuat resource lain di dalam project kunci. Jika Anda mencoba membuat resource yang dilindungi oleh Autokey di project kunci, Autokey akan menolak permintaan kunci baru.

Jika Anda mungkin ingin bermigrasi ke Assured Workloads pada masa mendatang, buat project utama di dalam folder yang sama dengan resource yang dilindungi oleh kunci tersebut.

Jika organisasi Anda menggunakan batasan kebijakan organisasi constraints/gcp.restrictCmekCryptoKeyProjects untuk memastikan bahwa semua CMEK berasal dari project kunci yang ditentukan, Anda harus menambahkan project kunci ke daftar project yang diizinkan. Untuk mengetahui informasi selengkapnya tentang kebijakan organisasi CMEK, lihat Kebijakan organisasi CMEK.

Membuat project utama

Menyiapkan project kunci Autokey

Mengaktifkan Autokey Cloud KMS di folder resource

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/autokeyConfig?updateMask=keyProject" \
    --request "PATCH" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --data '{"key_project": "projects/PROJECT_ID"}'

Menyiapkan agen layanan Cloud KMS

Agen layanan Cloud KMS untuk project kunci membuat kunci dan menerapkan binding kebijakan IAM selama pembuatan resource, atas nama administrator Cloud KMS manusia. Agar dapat membuat dan menetapkan kunci, agen layanan Cloud KMS memerlukan izin administrator Cloud KMS.

1. Buat agen layanan Cloud KMS:

   gcloud beta services identity create --service=cloudkms.googleapis.com \
       --project=PROJECT_NUMBER
   

   Ganti PROJECT_NUMBER dengan nomor project project utama.

   Outputnya mirip dengan hal berikut ini:

   Service identity created: service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
   

   Output perintah menunjukkan bahwa akun layanan Cloud EKM (dengan subdomain gcp-sa-ekms) telah dibuat. Namun, perintah ini juga membuat agen layanan Cloud KMS (dengan subdomain gcp-sa-cloudkms), yang merupakan agen layanan yang akan Anda gunakan nanti dalam petunjuk ini.

2. Berikan izin administrator Cloud KMS kepada agen layanan:

   gcloud projects add-iam-policy-binding PROJECT_NUMBER \
       --role=roles/cloudkms.admin \
       --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com
   

   Ganti PROJECT_NUMBER dengan nomor project project utama.

Mengaktifkan Autokey untuk pengelolaan kunci yang didelegasikan

Saat Anda menggunakan Autokey untuk pengelolaan kunci yang didelegasikan, Autokey akan membuat kunci Anda di dalam project yang sama dengan resource yang dilindunginya. Project yang mendukung pengelolaan kunci yang didelegasikan dengan Autokey dapat berada dalam folder tempat Autokey diaktifkan untuk pengelolaan kunci terpusat. Jika Autokey diaktifkan di project, konfigurasi Autokey tingkat project akan menggantikan konfigurasi Autokey di folder induk.

Untuk mengaktifkan Autokey untuk setiap project, selesaikan langkah-langkah berikut:

1. Dengan menggunakan REST API, buat AutokeyConfig untuk project tempat Anda ingin mengaktifkan Autokey:

   curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/autokeyConfig?updateMask=key_project_resolution_mode" \
       --request "PATCH" \
       --header "authorization: Bearer TOKEN" \
       --header "content-type: application/json" \
       --data '{"key_project_resolution_mode": "RESOURCE_PROJECT"}'
   

   Ganti PROJECT_ID dengan ID project tempat Anda ingin mengaktifkan Autokey.

2. Di gcloud CLI, aktifkan Cloud KMS API di project:

   gcloud services enable cloudkms.googleapis.com
   

Untuk mengaktifkan Autokey bagi semua project dalam folder, selesaikan langkah-langkah berikut:

1. Dengan menggunakan REST API, buat AutokeyConfig untuk folder tempat Anda ingin mengaktifkan Autokey untuk menggunakan pengelolaan kunci yang didelegasikan:

   curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/autokeyConfig?updateMask=key_project_resolution_mode" \
       --request "PATCH" \
       --header "authorization: Bearer TOKEN" \
       --header "content-type: application/json" \
       --data '{"key_project_resolution_mode": "RESOURCE_PROJECT"}'
   

   Ganti FOLDER_ID dengan ID folder tempat Anda ingin mengaktifkan Autokey. Perintah ini mengaktifkan Autokey project yang sama untuk semua project dalam folder.

2. Di gcloud CLI, aktifkan Cloud KMS API di setiap project tempat Anda ingin menggunakan Autokey untuk pengelolaan kunci yang didelegasikan:

   gcloud services enable cloudkms.googleapis.com
   

   Anda dapat mengaktifkan Cloud KMS API di setiap project sekaligus, atau mengaktifkan API di setiap project sesuai kebutuhan. Developer Anda tidak dapat menggunakan Autokey di project hingga Cloud KMS API diaktifkan untuk project tersebut.

Mengaktifkan Autokey menggunakan Terraform

Pengelolaan kunci terpusat dengan Terraform

Contoh Terraform berikut mengotomatiskan langkah-langkah penyiapan berikut:

• Buat folder resource
• Membuat project utama
• Memberikan izin pengguna
• Menyiapkan agen layanan Cloud KMS
• Mengaktifkan Autokey

Anda harus membuat project resource secara terpisah dalam folder resource.

variable "organization_ID" {
  description = "Your Google Cloud Org ID"
  type        = string
  default     = "ORGANIZATION_ID"
}

variable "billing_account" {
  description = "Your Google Cloud Billing Account ID"
  type        = string
  default     = "BILLING_ACCOUNT_ID"
}

/* List the users who should have the authority to enable and configure
   Autokey at a folder level */
variable "autokey_folder_admins" {
  type    = list(string)
  default = [AUTOKEY_ADMIN_USER_IDS]
}

/* List the users who should have the authority to protect their resources
   with Autokey */
variable "autokey_folder_users" {
  type    = list(string)
  default = [AUTOKEY_DEVELOPER_USER_IDS]
}

/* List the users who should have the authority to manage crypto operations in
   the Autokey key project */
variable "autokey_project_kms_admins" {
  type    = list(string)
  default = [KEY_PROJECT_ADMIN_USER_IDS]
}

/* The project ID to use for the key project. The project ID must be 6 to 30
   characters with lowercase letters, digits, hyphens. The project ID must start
   with a letter. Trailing hyphens are prohibited */
variable "key_management_project_ID" {
  description = "Sets the project ID for the Key Management Project. This project will contain the Key Rings and Keys generated by Cloud KMS Autokey"
  type        = string
  default     = "KEY_PROJECT_ID"
}

# Create a new folder
resource "google_folder" "autokey_folder" {
  parent       = "organizations/${var.organization_ID}"
  display_name = "autokey_folder"
}

# Set permissions for key admins to use Autokey in this folder
resource "google_folder_iam_binding" "autokey_folder_admin" {
  folder  = google_folder.autokey_folder.name
  role    = "roles/cloudkms.autokeyAdmin"
  members = var.autokey_folder_admins
}

# Set permissions for users to protect resources with Autokey in this folder
resource "google_folder_iam_binding" "autokey_folder_users" {
  folder  = google_folder.autokey_folder.name
  role    = "roles/cloudkms.autokeyUser"
  members = var.autokey_folder_users
}

# Create a key project to store keys created by Autokey
 resource "google_project" "key_management_project" {
  project_id      = var.key_management_project_ID
  name            = var.key_management_project_ID
  billing_account = var.billing_account
  folder_id       = google_folder.autokey_folder.name
}

output "project_number" {
  value = google_project.key_management_project.number
}

# Grant role for Cloud KMS admins to use Autokey in the key project
resource "google_project_iam_binding" "autokey_project_admin" {
  project    = google_project.key_management_project.project_id
  role       = "roles/cloudkms.admin"
  members    = var.autokey_project_kms_admins
  depends_on = [ google_project.key_management_project ]
}

# Enable the Cloud KMS API in the key project
resource "google_project_service" "enable_api" {
  service                    = "cloudkms.googleapis.com"
  project                    = google_project.key_management_project.project_id
  disable_on_destroy         = false
  disable_dependent_services = false
  depends_on                 = [google_project.key_management_project]
}

# Create Cloud KMS service agent
resource "google_project_service_identity" "KMS_Service_Agent" {
  provider   = google-beta
  service    = "cloudkms.googleapis.com"
  project    = google_project.key_management_project.project_id
  depends_on = [google_project.key_management_project]
}

/* Grant role for the Cloud KMS service agent to use delegated
   Cloud KMS administrator permissions */
resource "google_project_iam_member" "autokey_project_admin" {
  project = google_project.key_management_project.project_id
  role    = "roles/cloudkms.admin"
  member  = "serviceAccount:service-${google_project.key_management_project.number}@gcp-sa-cloudkms.iam.gserviceaccount.com"
}

/* Enable AutokeyConfig for centralized key management in this folder */
resource "google_kms_autokey_config" "autokey_config" {
  provider    = google-beta
  folder      = google_folder.autokey_folder.folder_id
  key_project = "projects/${google_project.key_management_project.project_id}"
  key_project_resolution_mode = "DEDICATED_KEY_PROJECT"
  # For folder scope, valid values are: DEDICATED_KEY_PROJECT, RESOURCE_PROJECT, DISABLED
  # With DEDICATED_KEY_PROJECT, define the key_project as well. With RESOURCE_PROJECT,
  #   omit key_project. Keys will be created in the same project as the protected resource.
}

Ganti kode berikut:

• BILLING_ACCOUNT_ID: ID akun penagihan Google Cloud Anda. ID akun penagihan adalah nilai alfanumerik 18 karakter yang dipisahkan dengan tanda hubung—misalnya, 010101-F0FFF0-10XX01.
• AUTOKEY_ADMIN_USER_IDS: daftar alamat email untuk pengguna yang harus memiliki peran roles/cloudkms.autokeyAdmin—misalnya, "Ariel@example.com", "Charlie@example.com".
• AUTOKEY_DEVELOPER_USER_IDS: daftar alamat email untuk pengguna yang harus memiliki peran roles/cloudkms.autokeyUser—misalnya, "Kalani@example.com", "Mahan@example.com".
• KEY_PROJECT_ADMIN_USER_IDS: daftar alamat email untuk pengguna yang harus memiliki peran roles/cloudkms.admin—misalnya, "Sasha@example.com", "Nur@example.com".
• KEY_PROJECT_ID: ID yang akan digunakan untuk project kunci khusus—misalnya, autokey-key-project. Jika Anda menentukan project utama, key_project_resolution_mode harus berupa DEDICATED_KEY_PROJECT.

Pengelolaan kunci yang didelegasikan dengan Terraform

Untuk mengaktifkan Autokey di semua project dalam folder untuk pengelolaan kunci yang didelegasikan, gunakan resource folder_config yang mirip dengan berikut ini:

/* Enable AutokeyConfig on a folder */
resource "google_kms_autokey_config" "folder_config" {
  provider    = google-beta
  folder      = google_folder.autokey_folder.name
  key_project_resolution_mode = "RESOURCE_PROJECT"
  # For folder scope, valid values are: DEDICATED_KEY_PROJECT, RESOURCE_PROJECT, DISABLED
  # With DEDICATED_KEY_PROJECT, define the key_project as well. With RESOURCE_PROJECT,
  #   omit key_project. Keys will be created in the same project as the protected resource.
}

Untuk mengaktifkan Autokey di setiap project untuk pengelolaan kunci yang didelegasikan, gunakan resource autokey_config_project yang mirip dengan berikut ini:

/* To set autokey config for a project */
resource "google_kms_autokey_config" "autokey_config_project" {
  provider = google-beta
  project = "projects/${google_project.key_management_project.project_id}"
  key_project_resolution_mode = "RESOURCE_PROJECT"
  # For project scope, valid values are: RESOURCE_PROJECT, DISABLED
}

Menerapkan penggunaan Autokey

Jika ingin menerapkan penggunaan Autokey dalam folder, Anda dapat melakukannya dengan menggabungkan kontrol akses IAM dengan kebijakan organisasi CMEK. Hal ini dilakukan dengan menghapus izin pembuatan kunci dari prinsipal selain agen layanan Cloud KMS, lalu mewajibkan semua resource dilindungi oleh CMEK menggunakan project kunci Autokey.

Untuk menerapkan penggunaan Autokey dalam folder, selesaikan langkah-langkah berikut:

1. Menghapus akses untuk membuat kunci secara manual di project kunci. Jika kunci tidak dapat dibuat secara manual, maka hanya kunci yang dibuat oleh Autokey yang dapat dibuat di project ini. Untuk mengetahui informasi selengkapnya tentang cara mengontrol akses, lihat Kontrol akses dengan IAM.

2. Tetapkan kebijakan organisasi di folder untuk mewajibkan agar resource dilindungi dengan CMEK menggunakan batasan constraints/gcp.restrictNonCmekServices. Untuk mengetahui informasi selengkapnya, lihat Mewajibkan perlindungan CMEK.

3. Tetapkan kebijakan organisasi di folder untuk mewajibkan agar kunci yang digunakan untuk CMEK harus berasal dari project kunci Autokey menggunakan batasan constraints/gcp.restrictCmekCryptoKeyProjects. Untuk mengetahui informasi selengkapnya, lihat Membatasi penggunaan kunci Cloud KMS untuk CMEK.

Menonaktifkan Autokey

Autokey Cloud KMS diaktifkan dan dinonaktifkan di tingkat folder. Peran yang sama yang dapat mengaktifkan Autokey untuk folder dapat menonaktifkan Autokey untuk folder tersebut. Untuk menonaktifkan Autokey di folder, Anda harus menghapus AutokeyConfig untuk menghapus pengaitan antara folder dan project kunci Autokey.

Setelah konfigurasi Autokey di folder dihapus, agen layanan Cloud KMS tidak dapat lagi membuat kunci untuk developer saat mereka membuat resource di folder. Menghapus link antara folder dan project utama akan menonaktifkan Autokey di folder; namun, sebaiknya Anda juga menghapus binding IAM untuk peran roles/cloudkms.autokeyAdmin dan roles/cloudkms.autokeyUser.

Menonaktifkan Autokey tidak akan memengaruhi kunci yang ada di project kunci. Anda dapat terus menggunakan kunci ini untuk melindungi resource Anda.

Hapus AutokeyConfig

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/autokeyConfig?updateMask=keyProject" \
    --request "PATCH" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --data '{}'

Mencabut peran Autokey

1. Opsional: Mencabut peran roles/cloudkms.autokeyAdmin:

   gcloud resource-manager folders remove-iam-policy-binding \
       FOLDER_ID --role=roles/cloudkms.autokeyAdmin \
       --member=user:USER_EMAIL
   

   Ganti kode berikut:

   • FOLDER_ID: ID folder tempat Anda menonaktifkan Autokey.
   • USER_EMAIL: alamat email pengguna yang izinnya untuk mengelola Autokey ingin Anda batalkan.

2. Opsional: Batalkan peran roles/cloudkms.autokeyUser di tingkat folder:

   gcloud resource-manager folders remove-iam-policy-binding \
       FOLDER_ID --role=roles/cloudkms.autokeyUser \
       --member=user:USER_EMAIL
   

   Ganti kode berikut:

   • FOLDER_ID: ID folder tempat Anda menonaktifkan Autokey.
   • USER_EMAIL: alamat email pengguna yang ingin Anda batalkan izinnya untuk menggunakan Autokey.

3. Opsional: Mencabut peran roles/cloudkms.autokeyUser di tingkat project:

   gcloud projects remove-iam-policy-binding RESOURCE_PROJECT_NUMBER \
       --role=roles/cloudkms.autokeyUser \
       --member=user:USER_EMAIL
   

   Ganti kode berikut:

   • RESOURCE_PROJECT_NUMBER: nomor project dari project resource dalam folder tempat Anda menonaktifkan Autokey.
   • USER_EMAIL: alamat email pengguna yang ingin Anda batalkan izinnya untuk menggunakan Autokey.

4. Opsional: Jika Anda tidak berencana untuk terus menggunakan project kunci untuk Autokey bagi folder lain, batalkan peran roles/cloudkms.admin untuk agen layanan Cloud KMS:

   gcloud projects remove-iam-policy-binding KEY_PROJECT_NUMBER \
       --role=roles/cloudkms.admin \
       --member=serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-cloudkms.iam.gserviceaccount.com
   

   Ganti KEY_PROJECT_NUMBER dengan ID numerik project utama.

5. Opsional: Jika Anda tidak berencana untuk terus menggunakan kunci yang dibuat di dalam project kunci, batalkan peran roles/cloudkms.admin untuk administrator Cloud KMS:

   gcloud projects remove-iam-policy-binding KEY_PROJECT_NUMBER \
       --role=roles/cloudkms.admin \
       --member=user:KEY_ADMIN_EMAIL
   

   Ganti kode berikut:

   • KEY_PROJECT_NUMBER: nomor project dari project kunci.
   • USER_EMAIL: alamat email pengguna yang ingin Anda batalkan izinnya untuk menggunakan Autokey.

Langkah berikutnya

• Pelajari lebih lanjut kapan harus menggunakan Autokey.
• Pelajari lebih lanjut cara kerja Autokey.
• Developer Autokey Anda kini dapat membuat resource yang dilindungi menggunakan Autokey.