Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Melakukan orientasi ke Cloud HSM untuk Google Workspace

Halaman ini menjelaskan cara mengaktifkan Cloud HSM for Google Workspace (CHGWS), layanan kunci enkripsi untuk Google Workspace yang ditawarkan oleh Cloud Key Management Service (Cloud KMS). Cloud HSM untuk Google Workspace memberikan kontrol privasi yang ditingkatkan untuk Google Workspace, membantu Anda mencapai standar peraturan seperti DISA IL5 dan meningkatkan keamanan data. Cloud HSM adalah layanan pengelolaan kunci yang sesuai standar, sangat tersedia, dan terkelola sepenuhnya yang dioperasikan dalam skala cloud dengan kunci yang didukung hardware yang disimpan di HSM (modul keamanan hardware) yang mematuhi FIPS 140-2 Level 3.

CHGWS kompatibel dengan kunci Multi-tenant Cloud HSM dan Single-tenant Cloud HSM.

Untuk mengetahui informasi selengkapnya, lihat Cloud HSM untuk Google Workspace.

Sebelum memulai

Sebelum mengaktifkan Cloud HSM untuk Google Workspace, selesaikan prasyarat berikut:

Siapkan Google Workspace.
Aktifkan Enkripsi Sisi Klien (CSE) Google Workspace di Google Workspace Anda.
Konfigurasi Penyedia Identitas (IdP) Anda di CSE Google Workspace. Catat Client ID untuk IdP Anda. Jika Anda menggunakan Google Identity Platform, temukan Client ID di Google Cloud project Anda.
Opsional: Jika Anda mengizinkan akses ke konten yang dienkripsi CSE di aplikasi platform selain web (seperti seluler atau desktop), tambahkan ID klien untuk platform tersebut di setelan IdP Anda di Konsol Admin Google Workspace. Catat semua ID klien untuk IdP ini. Jika Anda menggunakan Google Identity Platform, temukan client ID ini di project Anda. Google Cloud Untuk Penyedia Identitas lainnya, buat client ID ini secara terpisah.

Lokasi yang kompatibel

Anda dapat menyimpan kunci Cloud KMS di lokasi regional atau multi-regional mana pun dalam area geografis Amerika Serikat atau Eropa. Cloud HSM untuk Google Workspace mendukung kunci Cloud HSM Multi-tenant dan Cloud HSM Single-tenant. Untuk menemukan lokasi tertentu, buka Lokasi Cloud KMS dan filter menurut jenis HSM Anda.

Cloud HSM untuk Google Workspace secara otomatis menyediakan endpoint di salah satu multi-region berikut yang paling dekat dengan lokasi kunci Anda:

us
eur3

Menyiapkan Google Cloud project untuk Cloud KMS

Endpoint Cloud HSM untuk Google Workspace mengandalkan kunci Cloud KMS untuk operasi kriptografi. Siapkan project baru Google Cloud untuk menghosting kunci Cloud KMS.

Buat Google Cloud project. Ini adalah project utama Anda. Catat project ID dan nomor project; Anda memerlukan keduanya untuk menyelesaikan penyiapan.

Penting: Sebaiknya gunakan project Google Cloudkhusus yang hanya berisi kunci CHGWS. Tindakan ini memberi Anda kontrol yang lebih besar atas penagihan. Untuk mengetahui informasi selengkapnya, lihat Mengelola penagihan.
Aktifkan penagihan pada project yang Anda buat.
Aktifkan Cloud KMS API di Google Cloud project kunci Anda.

Mengaktifkan API
Di Google Cloud konsol, klik terminal Activate Cloud Shell.
Pastikan Anda berada di project yang benar dengan membandingkan project ID Anda dengan project ID di prompt Cloud Shell.
Dengan menggunakan Cloud Shell, buat akun layanan Cloud HSM untuk Google Workspace:
```
gcloud beta services identity create \
    --service=cloudkmskacls-pa.googleapis.com
```
Catat identitas layanan yang dibuat oleh perintah ini. Anda memerlukan nama identitas layanan pada langkah berikutnya.

Berikan peran CHGWS key Service Agent ke akun layanan yang Anda buat:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \
    --role=roles/cloudkmskacls.serviceAgent

Ganti kode berikut:

PROJECT_ID: Project ID project utama Anda.
PROJECT_NUMBER: Nomor project dari project utama Anda.

Mengelola endpoint layanan CHGWS

Bagian berikut menunjukkan cara menyiapkan dan mengelola endpoint CHGWS Anda.

Menyiapkan kunci Cloud KMS

Siapkan resource Cloud KMS untuk endpoint layanan kunci CHGWS Anda.

Buat key ring di salah satu wilayah yang didukung:
```
gcloud kms keyrings create KEY_RING --location LOCATION
```
- Ganti KEY_RING dengan nama yang ingin Anda gunakan untuk ring kunci CHGWS—misalnya, CHGWS_KEY_RING.
- Ganti LOCATION dengan lokasi tempat Anda ingin membuat key ring—misalnya, us.
Buat kunci Cloud HSM.
Cloud HSM multi-tenant
Untuk membuat kunci dengan tingkat perlindungan hsm:
gcloud kms keys create KEY_NAME \ --protection-level "hsm" \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
Ganti kode berikut:
- KEY_NAME: Nama yang ingin Anda gunakan untuk kunci—misalnya, CHGWS_KEY.
- KEY_RING: Nama dering kunci Anda—misalnya, CHGWS_KEY_RING.
- LOCATION: Lokasi tempat Anda membuat key ring—misalnya, us.
- ROTATION_PERIOD: Frekuensi yang Anda inginkan untuk merotasi kunci Anda—misalnya, 7d.
- NEXT_ROTATION_TIME: Tanggal dan waktu saat rotasi kunci berikutnya terjadi—misalnya, 2024-03-20T01:00:00.
Cloud HSM tenant tunggal
Untuk membuat kunci dengan level perlindungan hsm_single_tenant, Anda harus terlebih dahulu menyediakan instance Single-tenant Cloud HSM di lokasi yang sama.
1. Buat dan sediakan instance Single-tenant Cloud HSM: Ikuti petunjuk dalam panduan Membuat dan mengelola instance Single-tenant Cloud HSM. Catat ID Instance yang disediakan. Anda akan menggunakannya di langkah berikutnya.
2. Buat kunci:
  
  gcloud kms keys create KEY_NAME \ --protection-level "hsm_single_tenant" \ --keyring KEY_RING \ --location LOCATION \ --purpose "encryption" \ --crypto-key-backend "projects/PROJECT_ID/locations/LOCATION/singleTenantHsmInstances/INSTANCE_NAME" \ --rotation-period ROTATION_PERIOD \ --next-rotation-time NEXT_ROTATION_TIME
  
  Ganti kode berikut:
  
  KEY_NAME: Nama yang ingin Anda gunakan untuk kunci—misalnya, CHGWS_KEY.
  
  KEY_RING: Nama dering kunci Anda—misalnya, CHGWS_KEY_RING.
  
  LOCATION: Lokasi tempat Anda membuat key ring—misalnya, us.
  
  PROJECT_ID: Project ID project utama Anda.
  
  INSTANCE_NAME: Nama instance Cloud HSM Single-tenant tempat Anda ingin membuat kunci.
  
  ROTATION_PERIOD: Frekuensi yang Anda inginkan untuk merotasi kunci Anda—misalnya, 7d.
  
  NEXT_ROTATION_TIME: Tanggal dan waktu saat rotasi kunci berikutnya terjadi—misalnya, 2024-03-20T01:00:00.
Untuk mengetahui detail selengkapnya tentang opsi pembuatan kunci, lihat Membuat kunci.

Meminta aktivasi dan pembuatan endpoint

Untuk meminta aktivasi dan pembuatan endpoint, hubungi perwakilan akun Anda untuk mendapatkan bantuan terkait pengiriman permintaan aktivasi endpoint. Dalam permintaan, sertakan informasi berikut:

Detail Google Workspace
- ID Google Workspace: ID Google Workspace Anda. Temukan ID Google Workspace Anda dengan mengikuti petunjuk di Menemukan ID pelanggan Anda.
- Alamat email administrator Google Workspace: Berikan daftar alamat email administrator yang dipisahkan koma.
Detail Penyedia Identitas (IdP)
- Detail Penyedia Identitas (IdP) Utama:
  - URL Set Kunci Web JSON (JWKS) IdP: Untuk Google Identity Platform, gunakan https://www.googleapis.com/oauth2/v3/certs.
  - Penerbit token JSON Web Token (JWT): Untuk Google Identity Platform, gunakan https://accounts.google.com.
  - Audiens JWT: Client ID IdP Anda untuk aplikasi web.
  - Audiens JWT tambahan: Opsional. Berikan client ID untuk aplikasi platform non-web jika dikonfigurasi. Untuk Google Identity Platform, gunakan client ID yang diberikan di Jika Anda akan menggunakan identitas Google untuk CSE.
- Detail IdP tamu: Opsional. Selesaikan bagian ini jika Anda menggunakan IdP tamu.
  - URL JWKS IdP Tamu: URL JWKS IdP tamu Anda.
  - Penerbit token JWT tamu: Penerbit token JWT IdP tamu Anda.
  - Audiens JWT tamu: Client ID IdP tamu Anda untuk aplikasi web, kecuali Google Meet.
  - Audiens JWT tambahan tamu: Opsional. Jika Anda mengonfigurasi client ID web Google Meet atau client ID aplikasi platform non-web lainnya, berikan client ID untuk masing-masing aplikasi. Untuk Google Identity Platform, gunakan client ID yang diberikan di Jika Anda akan menggunakan identitas Google untuk CSE.
Penting: Pastikan URL JWKS IdP Anda dapat diakses secara publik. Konfirmasi nilai Penerbit Token JWT dan Audiens JWT dengan administrator IdP Anda.
Detail utama CSE
- ID Project Google Cloud: PROJECT_ID
- Nomor Project Google Cloud: PROJECT_NUMBER
- Nama key ring Cloud KMS: KEY_RING
- Lokasi keyring Cloud KMS: LOCATION
- Nama kunci Cloud KMS: KEY_NAME
- Tingkat perlindungan kunci Cloud KMS: harus berupa hsm atau hsm_single_tenant
- URL Dasar CHGWS: Opsional. Daftar URL untuk mengaktifkan migrasi utama. Jika Anda menyiapkan CHGWS untuk pertama kalinya di Google Workspace ini, biarkan kolom ini kosong.
Detail Tambahan
- Nama Pelanggan: Berikan nama pelanggan.
- Jumlah pengguna yang diharapkan: Berikan jumlah pengguna yang diharapkan di instance Google Workspace Anda.

Mengonfigurasi endpoint CHGWS di CSE Google Workspace

Konfigurasi CSE Google Workspace untuk menggunakan URL CHGWS yang dibuat saat Anda membuat endpoint CHGWS. Ikuti petunjuk di Menambahkan dan mengelola layanan kunci enkripsi untuk enkripsi sisi klien.

Endpoint migrasi

CHGWS memberikan fleksibilitas untuk memindahkan layanan kunci enkripsi Anda ke atau dari CHGWS. Untuk memulai migrasi CHGWS, hubungi perwakilan akun Anda untuk mendapatkan bantuan dalam mengirimkan permintaan migrasi. Dalam permintaan, sertakan informasi berikut:

ID Endpoint: ID endpoint CHGWS.
URL Dasar CHGWS: Daftar URL untuk mengaktifkan migrasi kunci CHGWS.
- Jika Anda bermigrasi ke Cloud HSM untuk Google Workspace, berikan URL dasar setiap endpoint CHGWS yang Anda migrasikan.
- Jika Anda bermigrasi dari Cloud HSM for Google Workspace, berikan URL dasar endpoint CHGWS yang ingin Anda migrasikan.

Jika Anda melakukan migrasi antara dua endpoint Cloud HSM untuk Google Workspace yang berbeda, kirimkan dua permintaan terpisah: satu dari endpoint sebelumnya dan yang lainnya ke endpoint baru.

Menghapus atau menonaktifkan endpoint

Operasi penghapusan atau penonaktifan di endpoint Cloud HSM untuk Google Workspace tidak didukung secara langsung. Namun, Anda dapat menonaktifkan endpoint Cloud HSM untuk Google Workspace dengan menonaktifkan semua versi kunci Cloud KMS pendukung.

Untuk setiap versi kunci Cloud KMS yang mendukung endpoint, jalankan perintah berikut:
```
gcloud kms keys versions disable KEY_VERSION --keyring \
    KEY_RING --location LOCATION --key KEY_NAME
```
Ganti kode berikut:
- KEY_VERSION: Versi kunci yang ingin Anda nonaktifkan—misalnya, 1.
- KEY_RING: Nama key ring—misalnya, CHGWS_KEY_RING.
- LOCATION: Lokasi tempat Anda ingin menonaktifkan—misalnya, us.
- KEY_NAME: Nama kunci—misalnya, CHGWS_KEY.

Mengaktifkan endpoint

Jika Anda telah menonaktifkan endpoint CHGWS dengan menonaktifkan semua versi kunci dari kunci Cloud KMS pendukung, Anda dapat mengaktifkan kembali endpoint CHGWS. Untuk mengaktifkan kembali endpoint, aktifkan semua versi aktif kunci Cloud KMS pendukung menggunakan perintah gcloud CLI berikut:

Untuk setiap versi kunci Cloud KMS yang mendukung endpoint, jalankan perintah berikut:
```
gcloud kms keys versions enable KEY_VERSION --keyring \
    KEY_RING --location LOCATION --key KEY_NAME
```
Ganti kode berikut:
- KEY_VERSION: Versi kunci yang ingin Anda aktifkan—misalnya, 1.
- KEY_RING: Nama key ring—misalnya, CHGWS_KEY_RING.
- LOCATION: Lokasi tempat Anda ingin mengaktifkan—misalnya, us.
- KEY_NAME: Nama kunci—misalnya, CHGWS_KEY.

Mengelola penagihan untuk CHGWS

Penagihan dimulai segera setelah Anda diberi endpoint CHGWS yang diminta dalam permintaan aktivasi Anda. Mulai saat itu, biaya langganan berulang untuk Cloud HSM for Google Workspace akan terus dikenakan selama penagihan tetap diaktifkan di project, meskipun Anda menonaktifkan endpoint CHGWS. Google Cloud Bagian ini menjelaskan cara Anda dapat menghentikan penagihan biaya untuk Cloud HSM for Google Workspace dan cara melanjutkannya.

Menonaktifkan/Mengaktifkan penagihan project

Anda dapat menonaktifkan penagihan untuk project yang berisi kunci Cloud KMS Anda untuk Cloud HSM for Google Workspace. Menonaktifkan penagihan akan menghentikan semua layanan yang dapat ditagih dalam project. Setelah penagihan tingkat project dinonaktifkan, biaya langganan Cloud HSM untuk Google Workspace akan berhenti dalam waktu 24 jam.

Jika ingin melanjutkan penggunaan Cloud HSM untuk Google Workspace, Anda dapat mengaktifkan kembali penagihan di project. Setelah penagihan diaktifkan kembali, biaya langganan Anda akan dilanjutkan dan endpoint CHGWS serta kunci Cloud KMS Anda akan berfungsi normal kembali.

Meminta penonaktifan atau pengaktifan manual

Jika Anda perlu menonaktifkan endpoint CHGWS sambil menjaga resource project lainnya tetap aktif, ajukan permintaan yang serupa dengan permintaan aktivasi. Berikan detail Google Workspace, ID endpoint CHGWS, dan detail relevan lainnya, lalu jelaskan persyaratan Anda. Tiket manual dapat memerlukan waktu 48 jam untuk diselesaikan oleh tim CHGWS. Setelah permintaan selesai, biaya langganan Cloud HSM untuk Google Workspace akan berhenti dalam waktu 24 jam.

Anda dapat mengaktifkan kembali endpoint CHGWS dan penagihannya dengan membuat permintaan serupa.

Menghapus atau memulihkan project

Anda dapat menghapus project yang berisi kunci Cloud KMS untuk Cloud HSM for Google Workspace. Menghapus project akan menghentikan semua layanan dalam project tersebut. Anda dapat memulihkan project yang dihapus dalam waktu 30 hari setelah penghapusan. Namun, kunci Cloud KMS dalam project tidak dapat dipulihkan, sehingga semua dokumen dan data lain yang dienkripsi dengan kunci dalam project yang dipulihkan tetap dihapus permanen secara kriptografis. Memulihkan project yang dihapus akan melanjutkan biaya langganan Cloud HSM untuk Google Workspace meskipun kunci Cloud KMS tetap tidak dapat dipulihkan.

Langkah berikutnya

Pelajari lebih lanjut Cloud HSM untuk Google Workspace.
Pelajari Cloud Key Management Service lebih lanjut.
Pelajari cara menambahkan dan mengelola layanan kunci enkripsi untuk enkripsi sisi klien.