Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan Cloud HSM tenant tunggal

Dokumen ini memberikan ringkasan konsep dan fitur Single-tenant Cloud HSM.

Dengan Cloud HSM tenant tunggal, Anda dapat membuat dan mengelola instance tenant tunggal Cloud HSM. Instance Cloud HSM Single-tenant adalah cluster partisi khusus di modul keamanan hardware (HSM) untuk penggunaan eksklusif Anda. Setiap instance memberikan redundansi dan ketersediaan tinggi yang sama seperti Cloud HSM multi-tenant. Setiap cluster Single-tenant Cloud HSM didistribusikan di beberapa HSM di beberapa zona dalam region yang dipilih. Setiap partisi diisolasi secara kriptografis dari partisi lain di HSM.

Anda dapat memberikan atau menolak akses Google ke cluster Anda, dan administrator instance Anda mengelola cluster. Administrator instance mengontrol instance menggunakan model persetujuan kuorum yang mengandalkan kunci kontrol asimetris untuk autentikasi dua faktor (2FA). Anda membuat kunci kontrol di luar Google Cloud, sehingga Google tidak pernah memiliki akses ke kunci kontrol pribadi Anda.

Setelah instance Cloud HSM Single-tenant dikonfigurasi, administrator Cloud KMS Anda dapat membuat kunci single-tenant dan developer Anda dapat menggunakannya seperti kunci Cloud HSM lainnya, tanpa perubahan kode.

Penggunaan Cloud HSM Single-tenant akan dikenai biaya. Untuk mengetahui informasi harga, lihat Harga Cloud KMS.

Autentikasi berbasis kuorum

Cloud HSM tenant tunggal menggunakan autentikasi berbasis kuorum untuk memastikan bahwa operasi penting disetujui oleh beberapa administrator instance. Sebelum membuat instance tenant tunggal, Anda harus membuat serangkaian kunci kontrol asimetris di luar Cloud KMS dan menentukan jumlah persetujuan yang diperlukan untuk operasi pada instance. Misalnya, jika instance Anda dikelola oleh lima administrator, Anda dapat mewajibkan tiga administrator untuk menyetujui setiap operasi pemeliharaan pada instance.

Operasi yang memerlukan autentikasi kuorum memiliki tiga tahap:

Proposal: Administrator instance mengusulkan operasi—misalnya, mendaftarkan kunci kontrol baru. Proposal ini membuat snapshot status sistem saat ini yang tidak dapat diubah. Masa berlaku proposal berakhir setelah 24 jam dan dapat dibatalkan kapan saja hingga operasi yang disetujui dimulai.
Persetujuan: Jumlah administrator yang diperlukan harus menandatangani tantangan menggunakan kunci kontrol unik mereka. Setiap tantangan bertanda tangan menunjukkan administrator yang menyetujui operasi. Jika tantangan bertanda tangan yang cukup sudah siap, administrator instance akan menguploadnya untuk menyetujui proposal. Jika tantangan valid dan masa berlaku proposal belum berakhir, proposal akan disetujui.
Eksekusi: Setelah proposal disetujui, tetapi sebelum masa berlakunya berakhir, Anda dapat menjalankan operasi yang diusulkan.

Kemampuan Cloud HSM tenant tunggal

Bagian ini menjelaskan kemampuan inti Single-tenant Cloud HSM.

Pengelolaan instance

Administrator Anda mengelola siklus proses instance Single-tenant Cloud HSM Anda.

Membuat instance: Anda menyediakan instance baru di satu region. Proses pembuatan mengharuskan Anda menyiapkan autentikasi kuorum.
Mendapatkan informasi instance: Anda dapat mengkueri instance untuk mendapatkan metadata dan konfigurasinya. Operasi ini tidak memerlukan autentikasi kuorum.
Menonaktifkan dan mengaktifkan instance: Anda dapat menonaktifkan instance untuk sementara, yang mencabut akses Google ke partisi. Anda dapat mengaktifkan instance nanti. Kedua operasi memerlukan autentikasi kuorum. Mengaktifkan instance Anda mereset disableDate menjadi 120 hari sejak waktu operasi pengaktifan. Saat instance dinonaktifkan, semua kunci yang dibuat di instance tersebut tidak tersedia, dan semua operasi yang mencoba menggunakan kunci tersebut akan gagal.
Memperbarui instance: Anda harus memperbarui instance secara rutin agar tetap tersedia. Instance harus diperbarui setiap 120 hari atau kurang. Setiap instance memiliki disableDate yang menunjukkan kapan instance akan terlambat untuk diperbarui. Memperbarui instance akan mereset disableDate menjadi 120 hari sejak waktu pembaruan. Operasi ini memerlukan autentikasi kuorum. Instance yang tidak diperbarui sebelum pukul disableDate akan dinonaktifkan secara otomatis.
Menghapus instance: Anda dapat menghapus instance. Menghapus instance akan menghancurkan semua kunci yang dibuat di instance tersebut secara permanen. Ini adalah operasi destruktif yang tidak dapat dibatalkan. Jangan menghapus instance kecuali jika Anda ingin menghancurkan kripto semua data yang dienkripsi menggunakan kunci yang dibuat di instance tersebut. Operasi ini memerlukan autentikasi kuorum.

Pengelolaan kunci

Administrator Anda memiliki kunci kontrol yang Anda gunakan untuk autentikasi kuorum. Developer Anda dan pemilik resource lainnya membuat dan menggunakan kunci kriptografi di instance Anda.

Mengganti kunci kontrol admin: Administrator dapat mengganti kunci kontrol 2FA untuk anggota kuorum administratif. Operasi ini memerlukan autentikasi kuorum.
Membuat kunci kriptografis: Developer dan pemilik resource Anda dapat membuat CryptoKey dengan level perlindungan HSM tenant tunggal. Operasi ini tidak memerlukan autentikasi kuorum.
Melakukan operasi kriptografi: Setelah dibuat, kunci yang disimpan di instance tenant tunggal dapat digunakan untuk operasi kriptografi seperti kunci Cloud Key Management Service lainnya.

Praktik terbaik untuk Cloud HSM Single-tenant

Ikuti praktik terbaik berikut saat Anda menggunakan Single-tenant Cloud HSM:

Lien project: Gunakan lien project untuk melindungi project yang berisi instance HSM Cloud Single-tenant yang aktif. Jika Anda menghapus project yang berisi instance Cloud HSM Single-tenant, kunci yang dibuat di instance tersebut tidak dapat dipulihkan.
Token fisik: Gunakan token fisik untuk menyimpan kunci 2FA pribadi bagi administrator instance Anda. Simpan token fisik ini dengan aman. Jika Anda kehilangan kuorum kunci, Google tidak dapat membantu Anda mendapatkan kembali akses ke instance. Karena instance harus diupdate secara rutin, kehilangan kuorum kunci pada akhirnya akan menonaktifkan instance.
Kunci cadangan: Daftarkan setidaknya satu kunci 2FA cadangan di luar kunci yang dipegang oleh anggota kuorum Anda. Simpan kunci cadangan Anda di lokasi yang aman tempat Anda dapat mengaksesnya jika kunci anggota kuorum hilang atau dicuri.
Pemisahan tugas: Pertahankan pemisahan tugas untuk administrator instance Anda. Pengajuan, persetujuan, dan eksekusi memerlukan peran IAM yang terpisah, yang harus didistribusikan di antara setidaknya dua individu sehingga tidak ada individu yang memiliki izin dari ketiga peran tersebut. Jika seseorang memiliki semua izin pokok, ada risiko yang lebih besar terjadinya kehilangan data yang tidak disengaja atau disengaja.
Distribusi kunci: Pastikan kunci 2FA pribadi Anda didistribusikan dengan aman kepada individu tepercaya. Tidak ada individu yang boleh menyimpan cukup banyak kunci pribadi untuk mencapai kuorum. Jika seseorang memiliki akses ke kunci pribadi yang cukup untuk memenuhi ukuran kuorum yang diperlukan, ada risiko yang lebih besar terhadap kehilangan data yang tidak disengaja atau disengaja.
Jadwal penggantian: Sertakan penggantian instance Single-tenant Cloud HSM ke dalam prosedur pemeliharaan berkelanjutan Anda. Anda harus memantau disableDate setiap instance dan menyelesaikan operasi refresh sebelum waktu tersebut. Memperbarui instance memerlukan persetujuan kuorum, jadi pastikan untuk mengajukan operasi pembaruan cukup awal agar proposal dapat disetujui dan dieksekusi sebelum disableDate.

Langkah berikutnya

Pelajari cara membuat dan mengelola instance Cloud HSM Single-tenant.