Tentang Cloud KMS
Apa itu Cloud KMS? Apa kegunaannya?
Cloud Key Management Service (Cloud KMS) adalah key management service yang dihosting di cloud yang memungkinkan Anda mengelola enkripsi untuk layanan cloud seperti saat Anda mengelolanya di sistem lokal. Anda dapat membuat, menggunakan, merotasi, dan menghancurkan kunci kriptografi. Cloud KMS terintegrasi dengan Identity and Access Management (IAM) dan Cloud Audit Logs sehingga Anda dapat mengelola izin atas kunci individual, dan memantau cara penggunaannya.
Dapatkah saya menyimpan rahasia?
Cloud KMS menyimpan kunci dan metadata tentang kunci, dan tidak memiliki API penyimpanan data umum. Secret Manager direkomendasikan untuk menyimpan dan mengakses data sensitif untuk digunakan di Google Cloud.
Apakah ada SLA?
Ya, lihat Perjanjian Tingkat Layanan Cloud KMS.
Bagaimana cara memberikan masukan produk?
Hubungi tim engineering di cloudkms-feedback@google.com.
Bagaimana cara memberikan masukan dokumentasi?
Saat melihat dokumentasi Cloud KMS, klik Kirim masukan di dekat bagian kanan atas halaman. Formulir masukan akan terbuka.
Jika saya memerlukan bantuan, apa saja opsi saya?
Kami mengundang pengguna untuk memposting pertanyaan mereka di Stack Overflow. Selain komunitas Stack Overflow yang aktif, tim kami secara aktif memantau postingan Stack Overflow dan menjawab pertanyaan dengan tag google-cloud-kms.
Kami juga menawarkan berbagai tingkat dukungan, bergantung pada kebutuhan Anda. Untuk opsi dukungan tambahan, lihat Google Cloud Paket Dukungan kami.
Apakah Cloud KMS memiliki kuota?
Ya. Untuk mengetahui informasi tentang kuota, termasuk cara melihat atau meminta kuota tambahan, lihat Kuota Cloud KMS.
Tidak ada batasan jumlah kunci, key ring, atau versi kunci. Selain itu, tidak ada batasan jumlah kunci per key ring dan versi kunci per kunci.
Di negara mana saya dapat menggunakan Cloud KMS?
Anda dapat menggunakan Cloud KMS di negara mana pun tempat layanan Google Cloud didukung.
Kunci
Apakah rotasi kunci mengenkripsi ulang data? Jika tidak, mengapa?
Rotasi kunci tidak otomatis mengenkripsi ulang data. Saat Anda mendekripsi data, Cloud KMS mengetahui versi kunci mana yang akan digunakan untuk dekripsi. Selama versi kunci tidak dinonaktifkan atau dihancurkan, Cloud KMS dapat mendekripsi data yang dilindungi dengan kunci tersebut.
Mengapa saya tidak dapat menghapus kunci atau key ring?
Untuk mencegah konflik nama resource, resource key ring dan kunci TIDAK DAPAT dihapus. Versi kunci juga tidak dapat dihapus, tetapi materi versi kunci dapat dihancurkan sehingga resource tidak dapat digunakan lagi. Untuk mengetahui informasi selengkapnya, lihat Masa aktif objek. Penagihan didasarkan pada jumlah versi kunci aktif; jika Anda menghancurkan semua materi versi kunci aktif, tidak ada biaya untuk cincin kunci, kunci, dan versi kunci yang tersisa.
Otorisasi dan autentikasi
Bagaimana cara mengautentikasi ke Cloud KMS API?
Cara klien melakukan autentikasi dapat sedikit berbeda, bergantung pada platform tempat kode dijalankan. Untuk mengetahui detailnya, lihat Mengakses API.
Peran IAM apa yang harus saya gunakan?
Untuk menerapkan prinsip hak istimewa terendah, pastikan akun pengguna dan layanan di organisasi Anda hanya memiliki izin yang diperlukan untuk menjalankan fungsi yang dimaksud. Untuk mengetahui informasi selengkapnya, lihat Pemisahan tugas.
Seberapa cepat izin IAM dihapus?
Penghapusan izin akan berlaku dalam waktu kurang dari satu jam.
Lain-lain
Apa yang dimaksud dengan data terautentikasi tambahan, dan kapan saya harus menggunakannya?
Data autentikasi tambahan (AAD) adalah string apa pun yang Anda teruskan ke Cloud KMS sebagai bagian dari permintaan enkripsi atau dekripsi. Fitur ini digunakan sebagai pemeriksaan integritas dan dapat membantu melindungi data Anda dari serangan confused deputy. Untuk mengetahui informasi selengkapnya, lihat Data autentikasi tambahan.
Apakah log akses data diaktifkan secara default? Bagaimana cara mengaktifkan log akses data?
Log akses data tidak diaktifkan secara default. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan log akses data.
Bagaimana hubungan kunci Cloud KMS dengan kunci akun layanan?
Kunci akun layanan digunakan untuk autentikasi layanan-ke-layanan dalam Google Cloud. Kunci akun layanan tidak terkait dengan kunci Cloud KMS.
Bagaimana hubungan kunci Cloud KMS dengan kunci API?
Kunci API adalah string terenkripsi sederhana yang dapat digunakan saat memanggil API tertentu yang tidak memerlukan akses ke data pengguna pribadi. Kunci API melacak permintaan API yang terkait dengan project Anda untuk kuota dan penagihan. Kunci API tidak terkait dengan kunci Cloud KMS.
Apakah Anda memiliki detail tambahan tentang HSM yang digunakan oleh Cloud HSM?
Semua perangkat HSM diproduksi oleh Marvell (sebelumnya Cavium). Sertifikat FIPS untuk perangkat ada di situs NIST.