Mengonfigurasi CMEK untuk Cloud Logging

Dokumen ini menjelaskan cara mengonfigurasi dan mengelola kunci enkripsi yang dikelola pelanggan (CMEK) untuk Cloud Logging guna memenuhi kebutuhan kepatuhan organisasi Anda. Untuk organisasi dan folder, Anda dapat mewajibkan bucket baru menggunakan CMEK dengan mengonfigurasi setelan resource default untuk Cloud Logging. Jika dikonfigurasi, Cloud Logging akan memastikan bahwa semua bucket log baru di organisasi atau folder dienkripsi dengan kunci yang dikelola pelanggan.

Untuk organisasi dan folder, Anda dapat mengonfigurasi setelan resource default untuk Cloud Logging. Saat Anda membuat resource baru, resource tersebut akan mewarisi setelan induknya. Misalnya, Anda mengonfigurasi setelan resource default organisasi untuk Cloud Logging agar memiliki setelan CMEK. Dengan konfigurasi ini, semua bucket log _Default dan _Required baru yang dibuat di project, folder, atau akun penagihan di organisasi Anda akan dienkripsi dengan kunci default. Selain itu, jika Anda membuat bucket log kustom di resource yang merupakan turunan dari organisasi Anda, kunci default akan otomatis digunakan kecuali jika Anda memberikan kunci yang berbeda saat membuat bucket log.

Petunjuk dalam panduan ini menggunakan Google Cloud CLI.

Ringkasan

Secara default, Cloud Logging mengenkripsi konten pelanggan dalam penyimpanan. Logging menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut Enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Logging. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melihat log audit dan mengontrol siklus proses kunci. Bukan Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda. Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Logging Anda akan serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Jika setelan resource default Anda untuk Cloud Logging menyertakan setelan CMEK, hal berikut akan terjadi:

• Bucket log baru di organisasi atau folder akan otomatis dienkripsi dengan kunci yang dikonfigurasi. Namun, Anda dapat mengubah kunci tersebut atau membuat bucket log dan menentukan kunci yang berbeda. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi CMEK untuk bucket log.

• Jika Anda menggunakan Log Analytics dan membuat kueri beberapa bucket log, kunci default mungkin digunakan untuk mengenkripsi data sementara. Untuk mengetahui informasi selengkapnya, lihat Batasan Log Analytics.

Sebelum memulai

Untuk memulai, selesaikan langkah-langkah berikut:

1. Sebelum membuat bucket log dengan CMEK diaktifkan, tinjau Batasan.

2. In the Google Cloud console, activate Cloud Shell.

   Activate Cloud Shell

   At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

3. Konfigurasi project Google Cloud tempat Anda berencana membuat kunci:

   1. Untuk mendapatkan izin yang diperlukan guna membuat kunci, minta administrator untuk memberi Anda peran IAM Cloud KMS Admin (roles/cloudkms.admin) di project Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

      Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

   2. Aktifkan Cloud KMS API.

   3. Buat key ring dan kunci.

      Cloud Logging memungkinkan Anda menggunakan kunci dari region mana pun. Namun, saat Anda membuat bucket log, lokasi bucket log harus cocok dengan lokasi kunci. Untuk mengetahui informasi tentang region yang didukung, lihat bagian berikut:

      • Lokasi Cloud KMS
      • Wilayah yang Didukung Logging

      Jika setelan resource default Anda untuk Cloud Logging menyertakan setelan CMEK, bucket log baru yang dibuat di organisasi atau folder akan dikonfigurasi secara otomatis untuk CMEK. Selain itu, karena lokasi bucket log harus cocok dengan lokasi kunci, jika setelan resource default Anda untuk Cloud Logging menyertakan setelan CMEK, Anda tidak dapat membuat bucket log di region global.

4. Pastikan peran IAM Anda di organisasi atau folder yang setelan resource defaultnya untuk Cloud Logging ingin Anda konfigurasi mencakup izin Cloud Logging berikut:

   • logging.settings.get
   • logging.settings.update

Mengaktifkan CMEK untuk organisasi atau folder

Ikuti petunjuk berikut untuk mengaktifkan CMEK bagi folder atau organisasiGoogle Cloud Anda.

Menentukan ID akun layanan

Untuk menentukan ID akun layanan yang terkait dengan organisasi atau folder tempat CMEK akan diterapkan, jalankan perintah gcloud logging settings describe berikut:

FOLDER

 gcloud logging settings describe --folder=FOLDER_ID

Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

• FOLDER_ID: ID numerik unik folder. Untuk mengetahui informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.

ORGANISASI

gcloud logging settings describe --organization=ORGANIZATION_ID

Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

• ORGANIZATION_ID: ID numerik unik organisasi. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi Anda.

Perintah sebelumnya membuat akun layanan untuk organisasi atau folder, jika akun tersebut belum ada. Perintah ini juga menampilkan ID dua akun layanan, satu di kolom kmsServiceAccountId dan satu lagi di kolom loggingServiceAccountId. Untuk mengonfigurasi setelan resource default Cloud Logging agar memiliki setelan CMEK, gunakan nilai di kolom kmsServiceAccountId.

Berikut menggambarkan contoh respons terhadap perintah sebelumnya saat organisasi ditentukan:

kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
name: organizations/ORGANIZATION_ID/settings

Jalankan proses penyediaan satu kali per resource. Menjalankan perintah describe beberapa kali akan menampilkan nilai yang sama untuk kolom kmsServiceAccountId.

Jika Anda tidak dapat menggunakan Google Cloud CLI, jalankan metode Cloud Logging API getSettings.

Menetapkan peran Pengenkripsi/Pendekripsi

Untuk menggunakan CMEK, berikan izin kepada akun layanan untuk menggunakan Cloud KMS Anda dengan menetapkan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS ke akun layanan:

gcloud

gcloud kms keys add-iam-policy-binding \
--project=KMS_PROJECT_ID \
--member=serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \
--role=roles/cloudkms.cryptoKeyEncrypterDecrypter \
--location=KMS_KEY_LOCATION \
--keyring=KMS_KEY_RING \
KMS_KEY_NAME

Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

• KMS_PROJECT_ID: ID alfanumerik unik, yang terdiri dari nama project Google Cloud dan nomor yang ditetapkan secara acak, dari project Google Cloud yang menjalankan Cloud KMS. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mengidentifikasi project.
• KMS_SERVICE_ACCT_NAME: Nama akun layanan yang ditampilkan di kolom kmsServiceAccountId dalam respons perintah gcloud logging settings describe.
• KMS_KEY_LOCATION: Region kunci Cloud KMS.
• KMS_KEY_RING: Nama key ring Cloud KMS.
• KMS_KEY_NAME: Nama kunci Cloud KMS. Formatnya seperti ini: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

Konsol

1. Di konsol Google Cloud , buka halaman Key management.

   Buka Pengelolaan kunci

2. Pilih nama key ring yang berisi kunci.

3. Centang kotak untuk kunci.

   Tab Izin akan tersedia.

4. Pada dialog Add members, tentukan alamat email akun layanan Logging yang Anda berikan akses.

5. Di menu Select a role, pilih Cloud KMS CryptoKey Encrypter/Decrypter.

6. Klik Tambahkan.

Mengonfigurasi kebijakan organisasi

Logging mendukung kebijakan organisasi yang dapat mewajibkan perlindungan CMEK dan dapat membatasi CryptoKey Cloud KMS yang dapat digunakan untuk perlindungan CMEK:

• Jika logging.googleapis.com tercantum dalam daftar kebijakan layanan Deny untuk batasan constraints/gcp.restrictNonCmekServices, Logging akan menolak membuat bucket yang ditentukan pengguna baru yang tidak dilindungi CMEK. Namun, batasan ini tidak mencegah Cloud Logging membuat bucket log _Required dan _Default yang dibuat saat projectGoogle Cloud dibuat.

• Jika constraints/gcp.restrictCmekCryptoKeyProjects diterapkan, Logging akan membuat resource yang dilindungi CMEK yang dilindungi oleh CryptoKey dari project, folder, atau organisasi yang diizinkan.

Untuk mengetahui informasi selengkapnya tentang CMEK dan kebijakan organisasi, lihat Kebijakan organisasi CMEK.

Pastikan setelan resource default Anda untuk Cloud Logging konsisten dengan kebijakan organisasi Anda. Untuk organisasi dan folder, jika Anda berencana mengubah setelan resource defaultnya untuk Cloud Logging, sebelum memperbarui setelan tersebut, tinjau dan, jika perlu, perbarui kebijakan organisasi.

Untuk melihat atau mengonfigurasi kebijakan organisasi, lakukan hal berikut:

1. Di konsol Google Cloud , buka halaman Organization Policies:

   Buka Kebijakan Organisasi

   Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah IAM & Admin.

2. Pilih organisasi Anda.

3. Verifikasi, dan jika perlu, perbarui batasan khusus CMEK.

   Untuk mengetahui informasi tentang cara mengubah kebijakan organisasi, lihat Membuat dan mengedit kebijakan.

Mengonfigurasi Cloud Logging dengan kunci Cloud KMS

Untuk memperbarui setelan resource default Cloud Logging agar memiliki setelan CMEK, jalankan perintah gcloud logging settings update berikut:

FOLDER

gcloud logging settings update \
    --folder=FOLDER_ID \
    --kms-location=KMS_KEY_LOCATION \
    --kms-key-name=KMS_KEY_NAME \
    --kms-keyring=KMS_KEY_RING \
    --kms-project=KMS_PROJECT_ID

Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

• FOLDER_ID: ID numerik unik folder. Untuk mengetahui informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.
• KMS_KEY_LOCATION: Region kunci Cloud KMS.
• KMS_KEY_NAME: Nama kunci Cloud KMS. Formatnya seperti ini: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.
• KMS_KEY_RING: Nama key ring Cloud KMS.
• KMS_PROJECT_ID: ID alfanumerik unik, yang terdiri dari nama project Google Cloud dan nomor yang ditetapkan secara acak, dari project Google Cloud yang menjalankan Cloud KMS. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mengidentifikasi project.

Perintah sebelumnya memperbarui setelan resource default untuk Cloud Logging guna menyimpan informasi tentang kunci Cloud KMS. Anda harus memastikan bahwa lokasi penyimpanan default untuk folder ditetapkan ke nilai KMS_KEY_LOCATION. Jika Anda belum menyetel lokasi penyimpanan default, atau jika nilai lokasi tersebut tidak cocok dengan nilai KMS_KEY_LOCATION, maka tambahkan perintah berikut ke perintah sebelumnya:

--storage-location=KMS_KEY_LOCATION

Flag --storage-location memungkinkan Anda menyetel atau memperbarui lokasi penyimpanan default untuk folder.

ORGANISASI

gcloud logging settings update \
    --organization=ORGANIZATION_ID \
    --kms-location=KMS_KEY_LOCATION \
    --kms-key-name=KMS_KEY_NAME \
    --kms-keyring=KMS_KEY_RING \
    --kms-project=KMS_PROJECT_ID

Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

• ORGANIZATION_ID: ID numerik unik organisasi. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi Anda.
• KMS_KEY_LOCATION: Region kunci Cloud KMS.
• KMS_KEY_NAME: Nama kunci Cloud KMS. Formatnya seperti ini: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.
• KMS_KEY_RING: Nama key ring Cloud KMS.
• KMS_PROJECT_ID: ID alfanumerik unik, yang terdiri dari nama project Google Cloud dan nomor yang ditetapkan secara acak, dari project Google Cloud yang menjalankan Cloud KMS. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mengidentifikasi project.

Perintah sebelumnya memperbarui setelan resource default untuk Cloud Logging guna menyimpan informasi tentang kunci Cloud KMS. Anda harus memastikan bahwa lokasi penyimpanan default untuk organisasi ditetapkan ke nilai KMS_KEY_LOCATION. Jika Anda belum menyetel lokasi penyimpanan default, atau jika nilai lokasi tersebut tidak cocok dengan nilai KMS_KEY_LOCATION, maka tambahkan perintah berikut ke perintah sebelumnya:

--storage-location=KMS_KEY_LOCATION

Dengan tanda --storage-location, Anda dapat menetapkan atau memperbarui lokasi penyimpanan default untuk organisasi.

Setelah kunci diterapkan, bucket log baru di organisasi atau folder dikonfigurasi untuk mengenkripsi data saat tidak aktif menggunakan kunci ini. Anda juga dapat mengubah kunci untuk setiap bucket log. Anda tidak dapat membuat bucket log di region global karena Anda harus menggunakan kunci yang regionnya cocok dengan cakupan regional data Anda.

Jika Anda tidak dapat menggunakan Google Cloud CLI, jalankan metode Cloud Logging API updateSettings.

Memverifikasi pengaktifan kunci

Untuk memverifikasi bahwa Anda telah berhasil mengaktifkan CMEK untuk organisasi atau folder, jalankan perintah gcloud logging settings describe berikut:

FOLDER

gcloud logging settings describe --folder=FOLDER_ID

Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

• FOLDER_ID: ID numerik unik folder. Untuk mengetahui informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.

ORGANISASI

gcloud logging settings describe --organization=ORGANIZATION_ID

Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

• ORGANIZATION_ID: ID numerik unik organisasi. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi Anda.

Jika perintah sebelumnya menampilkan nama kunci Cloud KMS diisi di kolom kmsKeyName, CMEK diaktifkan untuk organisasi atau folder:

kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
loggingServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com

Merutekan log ke tujuan yang didukung

• Bucket log Cloud Logging dapat dikonfigurasi untuk mengenkripsi data dengan CMEK. Untuk organisasi dan folder, jika Anda mengonfigurasi setelan resource defaultnya untuk Cloud Logging dengan setelan CMEK, bucket log baru di organisasi atau folder akan otomatis menggunakan CMEK. Anda dapat mengubah kunci bucket log ini dan membuat bucket log yang menggunakan kunci KMS yang berbeda dengan kunci yang ditentukan oleh setelan resource default untuk Cloud Logging.

  Untuk mengetahui informasi tentang CMEK yang diterapkan pada bucket log, termasuk cara mengubah kunci dan batasan saat Anda mengaktifkan CMEK di bucket log, lihat Mengonfigurasi CMEK untuk bucket log.

• Cloud Storage mendukung CMEK untuk merutekan log. Untuk mengetahui petunjuk tentang cara mengonfigurasi CMEK untuk Cloud Storage, lihat Menggunakan kunci enkripsi yang dikelola pelanggan.

  Jika data hilang karena kunci tidak tersedia saat merutekan data log ke Cloud Storage, Anda dapat menyalin log secara massal ke Cloud Storage secara retroaktif jika log tersebut juga disimpan di bucket log. Untuk mengetahui detailnya, lihat Menyalin entri log.

• BigQuery, secara default, mengenkripsi konten pelanggan yang disimpan dalam penyimpanan. Untuk mengetahui detailnya, lihat Melindungi data dengan kunci Cloud Key Management Service.
• Pub/Sub, secara default, mengenkripsi konten pelanggan yang disimpan dalam penyimpanan. Untuk mengetahui detailnya, lihat Mengonfigurasi enkripsi pesan.

Mengelola kunci Cloud KMS

Bagian berikut menjelaskan cara mengubah, mencabut akses untuk, atau menonaktifkan kunci Cloud KMS Anda.

Mengubah kunci Cloud KMS Anda

Untuk mengubah kunci Cloud KMS yang terkait dengan organisasi atau folder, buat kunci, lalu jalankan perintah gcloud logging settings update dan berikan informasi tentang kunci Cloud KMS baru:

FOLDER

gcloud logging settings update \
    --folder=FOLDER_ID
    --kms-key-name=NEW_KMS_KEY_NAME
    --kms-location=NEW_KMS_KEY_LOCATION \
    --kms-keyring=NEW_KMS_KEY_RING \
    --kms-project=NEW_KMS_PROJECT_ID

Anda harus memastikan bahwa lokasi penyimpanan default untuk folder ditetapkan ke nilai KMS_KEY_LOCATION. Jika Anda belum menyetel lokasi penyimpanan default, atau jika nilai lokasi tersebut tidak cocok dengan nilai KMS_KEY_LOCATION, maka tambahkan perintah berikut ke perintah sebelumnya:

--storage-location=NEW_KMS_KEY_LOCATION

ORGANISASI

gcloud logging settings update \
    --organization=ORGANIZATION_ID
    --kms-key-name=NEW_KMS_KEY_NAME
    --kms-location=NEW_KMS_KEY_LOCATION \
    --kms-keyring=NEW_KMS_KEY_RING \
    --kms-project=NEW_KMS_PROJECT_ID

Anda harus memastikan bahwa lokasi penyimpanan default untuk organisasi ditetapkan ke nilai KMS_KEY_LOCATION. Jika Anda belum menyetel lokasi penyimpanan default, atau jika nilai lokasi tersebut tidak cocok dengan nilai KMS_KEY_LOCATION, maka tambahkan perintah berikut ke perintah sebelumnya:

--storage-location=NEW_KMS_KEY_LOCATION

Mencabut akses ke kunci Cloud KMS

Anda dapat mencabut akses Logging ke kunci Cloud KMS dengan menghapus izin IAM akun layanan yang dikonfigurasi untuk kunci tersebut.

Jika Anda menghapus akses Logging ke kunci, perubahan tersebut dapat memerlukan waktu hingga satu jam untuk diterapkan.

Untuk mencabut akses Logging ke kunci Cloud KMS, jalankan perintah Google Cloud CLI berikut:

gcloud kms keys remove-iam-policy-binding \
    --project=KMS_PROJECT_ID \
    --member=serviceAccount:KMS_SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter \
    --location=KMS_KEY_LOCATION \
    --keyring=KMS_KEY_RING \
    KMS_KEY_NAME

Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

• KMS_PROJECT_ID: ID alfanumerik unik, yang terdiri dari nama project Google Cloud dan nomor yang ditetapkan secara acak, dari project Google Cloud yang menjalankan Cloud KMS. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mengidentifikasi project.
• KMS_SERVICE_ACCT_NAME: Nama akun layanan yang ditampilkan di kolom kmsServiceAccountId dalam respons perintah gcloud logging settings describe.
• KMS_KEY_LOCATION: Region kunci Cloud KMS.
• KMS_KEY_RING: Nama key ring Cloud KMS.
• KMS_KEY_NAME: Nama kunci Cloud KMS. Formatnya seperti ini: projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KMS_KEY_RING/cryptoKeys/KEY.

Menonaktifkan CMEK

Menonaktifkan CMEK untuk organisasi atau folder akan menghapus penerapan kebijakan CMEK hanya untuk operasi mendatang; semua konfigurasi yang diterapkan sebelumnya tetap utuh.

Untuk menonaktifkan CMEK pada resource yang telah dikonfigurasi CMEK sebagai bagian dari setelan resource default untuk Cloud Logging, jalankan perintah Google Cloud CLI berikut:

FOLDER

gcloud logging settings update --folder=FOLDER_ID --clear-kms-key

Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

• FOLDER_ID: ID numerik unik folder. Untuk mengetahui informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.

ORGANISASI

gcloud logging settings update --organization=ORGANIZATION_ID --clear-kms-key

Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

• ORGANIZATION_ID: ID numerik unik organisasi. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi Anda.

Jika Anda ingin menghancurkan kunci, lihat Menghancurkan dan memulihkan versi kunci.

Pertimbangan rotasi kunci Cloud KMS

Cloud Logging tidak otomatis merotasi kunci enkripsi untuk file pemulihan bencana sementara saat kunci Cloud KMS yang terkait dengan organisasi atau folder dirotasi. Google Cloud File pemulihan yang ada akan terus menggunakan versi kunci yang digunakan untuk membuat file tersebut. File pemulihan baru menggunakan versi kunci utama saat ini.

Batasan

Berikut adalah batasan umum saat Anda mengonfigurasi setelan resource default untuk Cloud Logging agar memiliki setelan CMEK.

File pemulihan dari bencana tidak tersedia

Kunci Cloud KMS dianggap tersedia dan dapat diakses oleh Logging jika kedua kondisi berikut terpenuhi:

• Kunci diaktifkan.
• Akun layanan yang tercantum dalam kolom kmsServiceAccountId dari respons perintah gcloud logging settings describe memiliki izin enkripsi dan dekripsi pada kunci.

Jika Logging kehilangan akses ke kunci Cloud KMS, maka Logging tidak dapat menulis file pemulihan bencana sementara dan, bagi pengguna, kueri berhenti berfungsi. Performa kueri mungkin tetap menurun bahkan setelah akses kunci dipulihkan.

Perutean log ke Cloud Storage juga dapat terpengaruh karena Logging tidak dapat menulis file sementara yang diperlukan untuk memfasilitasi perutean. Jika terjadi error saat mengenkripsi atau mendekripsi data, maka notifikasi akan dikirim ke project Google Cloud yang berisi kunci Cloud KMS.

Ketersediaan library klien

Library klien Logging tidak menyediakan metode untuk mengonfigurasi CMEK.

Penurunan kualitas karena kunci Cloud EKM tidak tersedia

Saat Anda menggunakan kunci Cloud EKM, Google tidak memiliki kontrol atas ketersediaan kunci yang dikelola secara eksternal di sistem partner pengelolaan kunci eksternal.

Jika setelan resource default untuk Cloud Logging menyertakan setelan CMEK, dan kunci yang dikelola secara eksternal tidak tersedia, Cloud Logging akan terus mencoba mengakses kunci tersebut. Cloud Logging juga melakukan buffering data log yang masuk hingga satu jam. Setelah satu jam, jika Cloud Logging masih tidak dapat mengakses kunci yang dikelola secara eksternal, maka Cloud Logging akan mulai menghapus data.

Jika CMEK diterapkan ke bucket log dan jika kunci yang dikelola secara eksternal tidak tersedia, maka Cloud Logging akan terus menyimpan log di bucket log, tetapi pengguna tidak akan dapat mengakses data tersebut.

Lihat dokumentasi Cloud External Key Manager untuk mengetahui pertimbangan lainnya, dan alternatif yang mungkin, saat menggunakan kunci eksternal.

Batasan pada bucket log

Untuk mengetahui batasan saat Anda menggunakan CMEK dengan bucket log, lihat Batasan.

Kuota

Untuk mengetahui detail tentang batas penggunaan Logging, lihat Kuota dan batas.

Memecahkan masalah error konfigurasi

Untuk mengetahui informasi tentang pemecahan masalah error konfigurasi CMEK, lihat Memecahkan masalah CMEK dan setelan resource default untuk Cloud Logging.