Secara default, Migrate to Virtual Machines mengenkripsi konten pelanggan dalam penyimpanan. Migrate to Virtual Machines menangani enkripsi untuk Anda tanpa perlu melakukan tindakan tambahan apa pun. Opsi ini disebut enkripsi default Google.
Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Migrate to Virtual Machines. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melacak penggunaan kunci, melihat log audit, dan mengontrol siklus proses kunci. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Anda yang mengontrol dan mengelola kunci ini di Cloud KMS.
Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Migrate to Virtual Machines Anda serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).
Migrate to Virtual Machines menggunakan CMEK untuk mengenkripsi data berikut:
- Data yang disimpan secara internal selama migrasi
- Data pada instance Virtual Machine (VM) dan disk VM target
- Data di disk target dan image mesin
Bagian berikut menjelaskan skenario ini secara lebih mendetail.
Menggunakan CMEK untuk mengenkripsi data yang disimpan selama migrasi
Untuk mengenkripsi data yang disimpan selama migrasi atau impor menggunakan CMEK, Anda harus memberikan referensi ke kunci Cloud KMS saat membuat sumber migrasi atau resource impor. Untuk mengetahui petunjuk tentang cara menggunakan CMEK untuk mengenkripsi data selama migrasi dari berbagai sumber migrasi, lihat topik berikut:
- Migrasi dari sumber AWS
- Migrasi dari sumber Azure
- Migrasi dari sumber VMware
- Mengimpor image disk virtual
- Mengimpor image mesin
Menggunakan CMEK untuk mengenkripsi data pada instance VM target dan disk VM
Untuk mengenkripsi data pada instance VM target dan disk VM menggunakan CMEK, Anda harus memberikan referensi ke kunci Cloud KMS dalam detail target. Untuk mengetahui petunjuk tentang cara menyetel CMEK di detail target, lihat menyetel CMEK untuk instance VM dan menyetel CMEK untuk disk VM.
Menggunakan CMEK untuk mengenkripsi data pada disk target dan image mesin
Untuk mengenkripsi data pada disk target dan image mesin menggunakan CMEK, Anda harus memberikan referensi ke kunci Cloud KMS dalam detail target. Untuk mengetahui petunjuk tentang cara menyetel CMEK di detail target, lihat Mengimpor image disk virtual ke Compute Engine dan Mengimpor image mesin ke Compute Engine.