Halaman ini menjelaskan setiap jenis resource di Cloud KMS. Anda dapat mempelajari lebih lanjut hierarki resource.
Kunci
Kunci Cloud KMS adalah objek bernama yang berisi satu atau beberapa versi kunci, beserta metadata untuk kunci tersebut. Kunci ada di tepat satu key ring yang terkait dengan lokasi tertentu.
Anda dapat mengizinkan dan menolak akses ke kunci menggunakan izin dan peran Identity and Access Management (IAM). Anda tidak dapat mengelola akses ke versi kunci.
Menonaktifkan atau menghancurkan kunci juga akan menonaktifkan atau menghancurkan setiap versi kunci.
Bagian berikut membahas properti kunci.
Bergantung pada konteksnya, properti kunci ditampilkan dalam format yang berbeda.
- Saat menggunakan Google Cloud CLI atau Cloud Key Management Service API, properti ditampilkan sebagai string huruf kapital, seperti
SOFTWARE. - Saat menggunakan konsol Google Cloud , properti ditampilkan sebagai string dengan kapitalisasi awal, seperti Software.
Di bagian berikut, setiap format ditampilkan di tempat yang sesuai.
Jenis
Jenis kunci menentukan apakah kunci digunakan untuk operasi kriptografi simetris atau asimetris.
Dalam enkripsi atau penandatanganan simetris, kunci yang sama digunakan untuk mengenkripsi dan mendekripsi data atau untuk menandatangani dan memverifikasi tanda tangan.
Dalam penandatanganan atau enkripsi asimetris, kunci terdiri dari kunci publik dan kunci pribadi. Kunci pribadi dengan kunci publik yang sesuai disebut pasangan kunci.
- Kunci pribadi adalah data sensitif, dan diperlukan untuk mendekripsi data atau untuk penandatanganan, bergantung pada tujuan yang dikonfigurasi untuk kunci.
- Kunci publik tidak dianggap sensitif, dan diperlukan untuk mengenkripsi data atau untuk memverifikasi tanda tangan, bergantung pada tujuan yang dikonfigurasi untuk kunci.
Jenis kunci adalah salah satu komponen tujuan kunci, dan tidak dapat diubah setelah kunci dibuat.
Tujuan
Tujuan kunci menunjukkan jenis operasi kriptografi yang dapat digunakan untuk kunci tersebut—misalnya, Symmetric encrypt/decrypt atau Asymmetric signing. Anda memilih tujuan saat membuat kunci, dan semua versi kunci memiliki tujuan yang sama. Tujuan kunci tidak dapat diubah setelah kunci dibuat. Untuk mengetahui informasi selengkapnya tentang tujuan kunci, lihat Tujuan kunci.
Level perlindungan
Tingkat perlindungan kunci menentukan lingkungan penyimpanan kunci saat tidak digunakan. Tingkat perlindungan adalah salah satu dari berikut ini:
- Software (
SOFTWARE) - HSM multi-tenant (
HSM) - HSM satu tenant (
HSM_SINGLE_TENANT) - Eksternal (
EXTERNAL) - External_VPC (
EXTERNAL_VPC)
Tingkat perlindungan kunci tidak dapat diubah setelah kunci dibuat.
Versi utama
Kunci dapat memiliki beberapa versi kunci yang aktif dan diaktifkan sekaligus. Kunci enkripsi simetris memiliki versi kunci utama, yang merupakan versi kunci yang digunakan secara default untuk mengenkripsi data jika Anda tidak menentukan versi kunci.
Kunci asimetris tidak memiliki versi utama; Anda harus menentukan versi saat menggunakan kunci.
Untuk kunci simetris dan asimetris, Anda dapat menggunakan versi kunci yang diaktifkan untuk mengenkripsi dan mendekripsi data atau untuk menandatangani dan memvalidasi tanda tangan.
Versi kunci
Setiap versi kunci berisi materi kunci yang digunakan untuk enkripsi atau penandatanganan. Setiap
versi diberi nomor versi, dimulai dari 1. Merotasi kunci akan membuat versi kunci baru. Anda dapat mempelajari lebih lanjut cara merotasi kunci.
Untuk mendekripsi data atau memverifikasi tanda tangan, Anda harus menggunakan versi kunci yang sama yang digunakan untuk mengenkripsi atau menandatangani data. Untuk menemukan ID resource versi kunci, lihat Mengambil ID resource kunci.
Anda dapat menonaktifkan atau menghancurkan versi kunci tertentu tanpa memengaruhi versi lainnya. Anda juga dapat menonaktifkan atau menghancurkan semua versi kunci untuk kunci tertentu.
Anda tidak dapat mengontrol akses ke versi kunci secara terpisah dari izin yang berlaku pada kunci. Memberikan akses ke kunci akan memberikan akses ke semua versi kunci yang diaktifkan.
Untuk alasan keamanan, tidak ada Google Cloud principal yang dapat melihat atau mengekspor materi kunci kriptografi mentah yang diwakili oleh versi kunci. Sebagai gantinya, Cloud KMS mengakses materi kunci atas nama Anda.
Bagian berikut membahas properti versi kunci.
Negara bagian/Provinsi
Setiap versi kunci memiliki status yang memberi tahu Anda statusnya. Biasanya, status kunci akan menjadi salah satu dari berikut ini:
- Aktif
- Nonaktif
- Dijadwalkan untuk dimusnahkan
- Dihancurkan
Versi kunci hanya dapat digunakan jika diaktifkan. Versi kunci dalam status apa pun selain dihancurkan akan menimbulkan biaya. Untuk mengetahui informasi selengkapnya tentang status versi kunci dan cara versi dapat bertransisi di antara status tersebut, lihat Status versi kunci.
Algoritma
Algoritma versi kunci menentukan cara materi kunci dibuat dan parameter yang diperlukan untuk operasi kriptografis. Kunci simetris dan asimetris menggunakan algoritma yang berbeda. Enkripsi dan penandatanganan menggunakan algoritma yang berbeda.
Jika Anda tidak menentukan algoritma saat membuat versi kunci baru, algoritma versi sebelumnya akan digunakan.
Terlepas dari algoritma yang digunakan, Cloud KMS menggunakan enkripsi probabilistik, sehingga teks polos yang sama yang dienkripsi dengan versi kunci yang sama dua kali tidak akan menampilkan teks tersandi yang sama.
Key ring
Key ring mengatur kunci di Google Cloud lokasi tertentu dan memungkinkan Anda mengelola kontrol akses pada grup kunci. Nama key ring tidak harus unik di seluruh project, tetapi harus unik dalam lokasi tertentu. Google Cloud Setelah dibuat, ring kunci tidak dapat dihapus. Key ring tidak dikenai biaya apa pun. Untuk mengetahui daftar lokasi yang tersedia, lihat Lokasi Cloud KMS.
Gagang kunci
Handle kunci adalah resource Cloud KMS yang membantu Anda menjangkau pemisahan tugas dengan aman untuk membuat kunci Cloud KMS baru untuk CMEK menggunakan Autokey. Pembuatan handle kunci di project resource memicu pembuatan kunci Cloud KMS di project kunci untuk penyiapan CMEK sesuai permintaan.
Handle kunci menyimpan referensi ke kunci Cloud KMS yang telah dibuat. Anda dapat mengambil ID resource Cloud KMS dari kunci yang dibuat oleh Autokey dari handle kunci. Alat infrastruktur sebagai kode seperti Terraform dapat bekerja dengan handle kunci untuk mengelola resource yang dilindungi CMEK tanpa hak istimewa yang lebih tinggi.
Handel kunci tidak terlihat di konsol Google Cloud , tetapi untuk menggunakan Autokey dengan REST API atau Terraform, Anda harus menggunakan handel kunci. Untuk mengetahui informasi selengkapnya tentang penggunaan handle kunci, lihat Membuat resource yang dilindungi menggunakan Autokey Cloud KMS.
Konfigurasi Autokey
Konfigurasi Autokey adalah resource tingkat folder yang menentukan apakah Autokey diaktifkan untuk folder. Konfigurasi Autokey juga menentukan project kunci mana yang digunakan untuk kunci yang dibuat oleh Autokey Cloud KMS guna melindungi resource dalam folder tersebut. Saat mengaktifkan Autokey, Anda membuat atau memperbarui konfigurasi Autokey di folder resource. Untuk mengetahui informasi selengkapnya tentang cara menggunakan konfigurasi Autokey, lihat Mengaktifkan Autokey Cloud KMS.
Koneksi EKM
Koneksi EKM adalah resource Cloud KMS yang mengatur koneksi VPC ke EKM lokal Anda diGoogle Cloud lokasi tertentu. Koneksi EKM memungkinkan Anda terhubung ke dan menggunakan kunci dari pengelola kunci eksternal melalui jaringan VPC. Setelah dibuat, koneksi EKM tidak dapat dihapus. Koneksi EKM tidak menimbulkan biaya.
Mengambil ID resource
Beberapa panggilan API dan gcloud CLI mungkin mengharuskan Anda merujuk ke key ring, kunci, atau versi kunci berdasarkan ID resource-nya, yang merupakan string yang merepresentasikan nama CryptoKeyVersion yang sepenuhnya memenuhi syarat. ID resource bersifat hierarkis, mirip dengan jalur sistem file. ID resource kunci juga berisi informasi tentang key ring dan lokasi.
| Objek | Format ID resource |
|---|---|
| Key ring | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING |
| Kunci | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME |
| Versi utama | projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME/cryptoKeyVersions/KEY_VERSION |
| Tuas kunci | projects/RESOURCE_PROJECT_ID/locations/LOCATION/keyHandles/KEY_HANDLE |
| Koneksi EKM | projects/PROJECT_ID/locations/LOCATION/ekmConnections/EKM_CONNECTION |
| Konfigurasi Autokey | folders/FOLDER_NUMBER/autopilotConfig |
Untuk mempelajari lebih lanjut, lihat Mendapatkan ID resource Cloud KMS.
Mengatur resource
Saat Anda merencanakan cara mengatur resource di project Google Cloud Anda, pertimbangkan aturan bisnis dan cara Anda berencana mengelola akses. Anda dapat memberikan akses ke satu kunci, semua kunci di key ring, atau semua kunci dalam project. Pola organisasi berikut umum digunakan:
- Menurut lingkungan, seperti
prod,test, dandevelop. - Menurut area kerja, seperti
payrollatauinsurance_claims. - Berdasarkan sensitivitas atau karakteristik data, seperti
unrestricted,restricted,confidential,top-secret.
Siklus proses resource
Key ring, kunci, dan versi kunci tidak dapat dihapus. Hal ini memastikan bahwa ID resource dari versi kunci bersifat unik dan selalu mengarah ke materi kunci asli untuk versi kunci tersebut, kecuali jika versi kunci tersebut telah dihancurkan. Anda dapat menyimpan key ring dalam jumlah tak terbatas, kunci yang diaktifkan atau dinonaktifkan, dan versi kunci yang diaktifkan, dinonaktifkan, atau dihancurkan. Untuk mengetahui informasi selengkapnya, lihat Harga dan Kuota.
Untuk mempelajari cara menghancurkan atau memulihkan versi kunci, lihat Menghancurkan dan memulihkan versi kunci.
Setelah menjadwalkan penonaktifan Google Cloud project, Anda tidak dapat mengakses resource project, termasuk resource Cloud KMS, kecuali jika Anda memulihkan project dengan mengikuti langkah-langkah untuk memulihkan project.
Langkah berikutnya
- Buat kunci.
- Pelajari lebih lanjut izin dan peran di Cloud KMS.