Kunci enkripsi yang dikelola pelanggan untuk Managed Lustre

Secara default, Google Cloud Managed Lustre mengenkripsi konten pelanggan dalam penyimpanan. Managed Lustre menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut Enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Managed Lustre. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melacak penggunaan kunci, melihat log audit, dan mengontrol siklus proses kunci. Bukan Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda. Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Lustre Terkelola Anda akan serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Data Managed Lustre berikut dilindungi oleh CMEK:

  • Data file
  • Metadata sistem file, seperti nama file

Saat Anda menggunakan CMEK di Managed Lustre, project Anda dapat memakai kuota permintaan kriptografi Cloud KMS. Instance yang dienkripsi dengan CMEK menggunakan kuota saat membaca atau menulis data di Managed Lustre. Operasi enkripsi dan dekripsi menggunakan kunci CMEK memengaruhi kuota Cloud KMS hanya jika Anda menggunakan kunci hardware (Cloud HSM) atau kunci eksternal (Cloud EKM). Untuk mengetahui informasi selengkapnya, lihat Kuota Cloud KMS.

Batasan

Penyediaan dinamis instance Managed Lustre yang dilindungi CMEK tidak didukung di Google Kubernetes Engine, tetapi penyediaan statis didukung.

Cluster Toolkit tidak mendukung instance Managed Lustre yang dilindungi CMEK.

Kontrol Layanan VPC tidak mendukung instance Managed Lustre yang dilindungi CMEK. Jika Anda mencoba membuat instance yang dilindungi CMEK dalam perimeter Kontrol Layanan VPC, operasi pembuatan instance akan gagal.

Membuat kunci Cloud KMS

Sebelum membuat instance Lustre yang mendukung CMEK, Anda harus memiliki key ring Cloud KMS dan kunci Cloud KMS.

Managed Lustre mendukung tiga tingkat perlindungan:

  • Software (SOFTWARE)
  • Hardware (HSM)
  • Eksternal melalui internet (EXTERNAL)

Saat membuat kunci, sebaiknya buat kunci Cloud KMS di project yang berbeda dari project yang berisi instance Managed Lustre Anda. Lihat Pemisahan tugas.

Kunci Cloud KMS harus dibuat di region yang sama dengan instance Managed Lustre yang Anda buat.

Untuk membuat kunci:

  1. Jika Anda belum memilikinya, buat ring kunci.
  2. Buat kunci Cloud KMS.

Memberikan izin IAM ke agen layanan Managed Lustre

Managed Lustre menggunakan agen layanan untuk mengakses resource Anda dan melakukan tindakan atas nama Anda. Anda memberikan peran IAM kepada agen layanan untuk mengelola aksesnya. Agen layanan Managed Lustre dibuat secara otomatis saat Anda membuat instance Managed Lustre.

Identitas agen layanan memiliki bentuk service-PROJECT_NUMBER@gcp-sa-lustre.iam.gserviceaccount.com.

Google Cloud pengguna konsol

Jika Anda akan membuat Managed Lustre yang dilindungi CMEK menggunakan konsol, Anda dapat melewati bagian ini. Google Cloud Konsol Google Cloud memberikan izin yang diperlukan sebagai bagian dari alur pembuatan instance.

Buka Membuat instance Managed Lustre yang mendukung CMEK.

Membuat atau mengambil agen layanan

Jika Anda belum memiliki agen layanan Managed Lustre

Jika Anda belum pernah membuat instance Managed Lustre di project, jalankan perintah berikut untuk membuat agen layanan secara manual:

gcloud beta services identity create \
  --service=lustre.googleapis.com \
  --project=PROJECT_NUMBER_OR_ID

Ganti PROJECT_NUMBER_OR_ID dengan nomor atau ID project tempat Anda ingin membuat instance Managed Lustre. Outputnya mirip dengan hal berikut ini:

Service identity created: service-1234567890@gcp-sa-lustre.iam.gserviceaccount.com

Salin nilai identitas agen layanan untuk digunakan di langkah berikutnya.

Jika Anda sudah membuat instance Managed Lustre

  1. Untuk membuat identitas agen layanan, dapatkan nomor project Anda. PROJECT_NUMBER tidak sama dengan project ID:

    • Project ID adalah string unik yang dapat berupa kombinasi huruf, angka, dan tanda hubung. Anda menentukan project ID saat membuat project. Contoh, example-project-123.
    • Nomor project adalah ID unik yang dibuat secara otomatis untuk project Anda yang hanya terdiri dari angka. Contoh, 1234567890.

    Untuk mendapatkan PROJECT_NUMBER untuk project ID tertentu, gunakan perintah gcloud projects describe:

    gcloud projects describe PROJECT_ID --format="value(projectNumber)"

  2. Salin nomor project yang ditampilkan ke dalam identitas agen layanan:

    service-PROJECT_NUMBER@gcp-sa-lustre.iam.gserviceaccount.com

  3. Salin identitas agen layanan untuk digunakan di langkah berikutnya.

Memberikan izin ke agen layanan

Managed Lustre memerlukan otorisasi untuk melakukan operasi dengan kunci Anda.

Anda harus memberikan peran IAM roles/cloudkms.cryptoKeyEncrypterDecrypter kepada agen layanan Managed Lustre di kunci Cloud KMS Anda.

Gunakan perintah gcloud kms keys add-iam-policy-binding:

gcloud kms keys add-iam-policy-binding KEY_NAME \
  --keyring=KEY_RING \
  --location=REGION \
  --project=KMS_PROJECT_ID \
  --member=serviceAccount:service-SERVICE_AGENT_IDENTITY \
  --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Ganti variabel berikut:

  • KEY_NAME: Nama kunci Cloud KMS Anda.
  • KEY_RING: Nama key ring yang berisi kunci.
  • REGION: Region tempat key ring Anda berada.
  • KMS_PROJECT_ID: ID project yang berisi kunci Cloud KMS Anda.
  • SERVICE_AGENT_IDENTITY: Identitas agen layanan Managed Lustre dari langkah sebelumnya, dalam format: service-PROJECT_NUMBER@gcp-sa-lustre.iam.gserviceaccount.com.

Membuat instance Managed Lustre yang mendukung CMEK

Untuk membuat instance Managed Lustre yang dilindungi oleh CMEK:

gcloud

Untuk membuat instance yang dilindungi CMEK menggunakan gcloud, ikuti langkah-langkah dalam Membuat instance. Tentukan ID kunci sebagai nilai --kms-key-name seperti yang ditunjukkan di bawah:

gcloud lustre instance create INSTANCE_ID \
  --filesystem=FILESYSTEM_NAME \
  --per-unit-storage-throughput=PERF_TIER \
  --capacity-gib=CAPACITY_GIB \
  --location=ZONE \
  --network=NETWORK_NAME \
  --project=PROJECT_ID \
  --kms-key-name=projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY_NAME

Kunci Cloud KMS harus ada di region yang sama dengan instance Managed Lustre yang Anda buat.

REST

Untuk membuat instance yang dilindungi CMEK menggunakan REST API, ikuti langkah-langkah di Membuat instance. Tentukan ID kunci sebagai nilai kmsKey seperti yang ditunjukkan di bawah:

POST https://lustre.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/instances?instanceId=INSTANCE_NAME
Authorization: Bearer AUTH_TOKEN
{
  "filesystem": "FILESYSTEM_NAME",
  "perUnitStorageThroughput": PERF_TIER,
  "capacityGib": CAPACITY_GIB,
  "network": "NETWORK_NAME",
  "kmsKey": "projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
}

Kunci Cloud KMS harus ada di region yang sama dengan instance Managed Lustre yang Anda buat.

Lihat dokumentasi referensi resource Instance untuk mengetahui daftar lengkap kolom dan deskripsinya.

Konsol Google Cloud

Untuk membuat instance yang dilindungi CMEK menggunakan konsol Google Cloud , ikuti langkah-langkah dalam Membuat instance. Saat berada di halaman Create instance di konsol Google Cloud :

  1. Dari bagian Encryption, pilih Cloud KMS key.

  2. Pilih Cloud KMS sebagai jenis Pengelolaan kunci, lalu pilih kunci Anda. Jika kunci Anda berada di project lain (direkomendasikan), klik Switch project, pilih project kunci, lalu pilih kunci Anda. Kunci Cloud KMS harus ada di region yang sama dengan instance Managed Lustre yang Anda buat.

  3. Jika agen layanan Managed Lustre Anda tidak memiliki izin yang diperlukan untuk menggunakan CMEK, Anda akan diminta untuk memberikan peran cloudkms.cryptoKeyEncrypterDecrypter. Klik Berikan untuk menerapkan peran.

Jika kunci Cloud KMS tidak tersedia, atau ada masalah izin saat Anda memulai operasi pembuatan, operasi akan gagal dan menampilkan error FAILED_PRECONDITION.

Pengelolaan kunci

Kunci Cloud Key Management Service dapat dirotasi, dinonaktifkan, diaktifkan kembali, atau dihancurkan. Nama sebutan channel dapat menjadi tidak tersedia karena berbagai alasan.

Merotasi kunci

Anda dapat merotasi kunci Cloud KMS Anda. Merotasi kunci akan membuat versi kunci baru.

  • Merotasi kunci tidak akan mengenkripsi ulang data di instance Managed Lustre Anda. Managed Lustre tidak mendukung dekripsi atau enkripsi ulang data.

  • Kapasitas instance Managed Lustre yang ada akan terus dienkripsi oleh versi kunci yang digunakan saat instance dibuat.

  • Saat Anda meningkatkan kapasitas penyimpanan instance, kapasitas baru akan dilindungi oleh versi kunci yang bersifat utama saat Anda membuat permintaan peningkatan kapasitas, dan data apa pun yang ditulis ke kapasitas tersebut akan dilindungi oleh versi kunci tersebut.

Artinya, Anda dapat memiliki beberapa versi kunci yang mengenkripsi instance Managed Lustre, jika Anda telah meningkatkan kapasitas instance setelah merotasi versi kunci.

Menonaktifkan kunci

Anda dapat menonaktifkan versi kunci. Selama versi kunci yang digunakan oleh instance Managed Lustre Anda dinonaktifkan, instance tersebut akan ditangguhkan. Untuk melanjutkan instance, kembalikan semua versi kunci yang melindungi instance Anda ke status tersedia. Lihat Kunci yang tidak tersedia untuk mengetahui informasi tentang instance yang ditangguhkan.

Lihat Mengaktifkan dan menonaktifkan versi kunci untuk mengetahui informasi selengkapnya.

Mengaktifkan kembali kunci

Jika versi kunci dinonaktifkan, Anda dapat mengaktifkannya kembali melalui Cloud KMS API. Lihat Mengaktifkan dan menonaktifkan versi kunci.

Untuk melanjutkan instance Managed Lustre, semua versi kunci yang mengenkripsi kapasitas penyimpanan harus diaktifkan atau dipulihkan.

Setelah semua kunci yang diperlukan kembali ke status ENABLED, Managed Lustre akan otomatis mendeteksi perubahan kunci dan memulai ulang instance. Status instance menjadi ACTIVE dan layanan Managed Lustre melanjutkan operasi normal. Anda dapat melakukan I/O dan semua operasi yang berjalan lama lainnya.

Menghancurkan kunci

Versi kunci Cloud KMS dapat dihancurkan, yang berarti materi kunci dihapus secara permanen.

Kunci Cloud KMS tidak dapat langsung dihancurkan; sebagai gantinya, Anda harus menjadwalkan penghancuran versi kunci. Selama durasi yang dijadwalkan, Anda dapat memulihkan versi kunci untuk membatalkan penghancurannya. Lihat Menghancurkan dan memulihkan versi kunci untuk mengetahui detail selengkapnya.

Versi kunci yang dijadwalkan untuk dimusnahkan tidak tersedia; semua instance Managed Lustre yang dilindungi oleh versi kunci tersebut akan ditangguhkan. Lihat Kunci yang tidak tersedia untuk mengetahui informasi tentang instance yang ditangguhkan.

Setelah versi kunci dihancurkan, versi tersebut tidak dapat dipulihkan. Instance Anda tetap ditangguhkan secara permanen. Satu-satunya operasi yang tersedia di instance Managed Lustre adalah menghapus instance.

Kunci tidak tersedia

Kunci dapat menjadi tidak tersedia karena alasan berikut:

  • Kunci dinonaktifkan.
  • Kunci tersebut dihancurkan atau dijadwalkan untuk dihancurkan.
  • Izin yang diperlukan dihapus dari agen layanan.
  • Penagihan dinonaktifkan di project kunci Cloud KMS dan tetap dinonaktifkan selama lebih dari satu jam.
  • Kunci eksternal tidak dapat dijangkau selama lebih dari satu jam.

Dalam kasus ini, dalam beberapa menit setelah peristiwa, instance Lustre Terkelola akan dimatikan dan status instancenya ditetapkan ke SUSPENDED.

Instance SUSPENDED dapat dipulihkan dengan membuat kunci tersedia kembali.

Kemungkinan alasan penangguhan adalah sebagai berikut:

Tindakan pada tombol Status instance Alasan penangguhan Dapat diaktifkan kembali
Nonaktifkan SUSPENDED KEY_DISABLE Ya
Dijadwalkan untuk dimusnahkan SUSPENDED KEY_DESTROY_SCHEDULED Ya
Hancurkan SUSPENDED KEY_DESTROY Tidak
Menghapus izin SUSPENDED PERMISSION_DENIED Ya
Menonaktifkan penagihan selama 1 jam SUSPENDED BILLING_DISABLED Ya
Kunci EKM tidak dapat dijangkau selama 1 jam SUSPENDED EKM_KEY_UNREACHABLE Ya

Saat instance ditangguhkan:

  • Operasi yang berjalan lama, seperti update instance dan impor/ekspor, diblokir dan menampilkan error FAILED_PRECONDITION.
  • Operasi I/O berhenti merespons hingga node server dimatikan. Hal ini terjadi dalam waktu 30 menit.
  • Satu-satunya operasi yang berjalan lama yang diizinkan adalah DeleteInstance.

Instance yang telah ditangguhkan selama lebih dari empat bulan mungkin tidak dapat dilanjutkan.

Penagihan untuk instance yang ditangguhkan

Jika instance Managed Lustre memasuki status SUSPENDED karena kunci tidak tersedia, Anda akan terus dikenai biaya untuk instance tersebut. Status penangguhan tidak menjeda penagihan. Agar tidak menimbulkan biaya untuk instance, Anda harus menghapusnya.

Anda juga ditagih secara terpisah oleh Cloud KMS untuk setiap versi kunci yang digunakan.

Melihat penggunaan kunci dan mencantumkan versi kunci

Anda dapat melihat resource Google Cloud dalam organisasi Anda yang dilindungi oleh kunci Cloud KMS Anda. Lihat Melihat penggunaan kunci untuk mengetahui detailnya.

Untuk melihat daftar lengkap versi kunci yang digunakan oleh instance Managed Lustre, gunakan perintah gcloud kms inventory search-protected-resources:

gcloud kms inventory search-protected-resources \
  --keyname=projects/KMS_PROJECT_ID/locations/REGION/keyRings/KEY_RING/cryptoKeys/KEY_NAME \
  --scope=organizations/ORGANIZATION_ID \
  --filter="name:projects/PROJECT_ID/locations/REGION/instances/INSTANCE_ID" \
  --flatten="cryptoKeyVersions" \
  --format="value(cryptoKeyVersions)"

Dengan:

Anda juga dapat melihat informasi utama dari halaman Inventaris Utama.

Buka Inventaris Kunci