Halaman ini menjelaskan penggunaan kunci enkripsi yang dikelola pelanggan (CMEK) untuk mengelola Google Cloud NetApp Volumes.
Tentang CMEK
NetApp Volumes selalu mengenkripsi data Anda dengan kunci khusus volume. NetApp Volumes selalu mengenkripsi data Anda saat disimpan.
Dengan CMEK, Cloud Key Management Service mengenkapsulasi kunci volume yang disimpan. Fitur ini memberi Anda kontrol yang lebih besar atas kunci enkripsi yang Anda gunakan dan keamanan tambahan untuk menyimpan kunci di sistem atau lokasi yang berbeda dengan data. NetApp Volumes mendukung kemampuan Cloud Key Management Service seperti modul keamanan hardware, dan siklus proses pengelolaan kunci penuh untuk pembuatan, penggunaan, rotasi, dan penghancuran.
NetApp Volumes mendukung satu kebijakan CMEK per region. Kebijakan CMEK dilampirkan ke pool penyimpanan dan semua volume yang dibuat di pool tersebut menggunakannya. Anda dapat memiliki campuran kumpulan penyimpanan dengan dan tanpa kebijakan CMEK di suatu region. Jika memiliki kumpulan tanpa CMEK di region tertentu, Anda dapat mengonversinya ke CMEK menggunakan tindakan migrasi kebijakan CMEK region.
Penggunaan CMEK bersifat opsional. Jika digunakan, kebijakan CMEK bersifat spesifik per region. Anda hanya dapat mengonfigurasi satu kebijakan per region.
Pertimbangan
Bagian berikut mencakup batasan untuk CMEK yang perlu dipertimbangkan.
Pengelolaan kunci
Dengan menggunakan CMEK, Anda bertanggung jawab sepenuhnya atas kunci dan data Anda.
Konfigurasi Cloud KMS
CMEK menggunakan kunci simetris untuk enkripsi dan dekripsi.
Setelah semua volume dihapus di region untuk project, konfigurasi Cloud KMS akan kembali ke status Ready dibuat. Volume ini digunakan lagi saat Anda membuat volume berikutnya di region tersebut.
Key ring regional
NetApp Volumes hanya mendukung ring kunci KMS regional dan harus berada di region yang sama dengan kebijakan CMEK.
Tingkat layanan
CMEK mendukung kumpulan penyimpanan tingkat layanan Flex, Standard, Premium, dan Extreme.
Kontrol Layanan VPC
Saat Anda menggunakan Kontrol Layanan VPC, pastikan untuk mempertimbangkan Batasan Kontrol Layanan VPC untuk Volume NetApp.
Kebijakan organisasi CMEK
Kebijakan organisasi CMEK untuk NetApp Volumes memberi organisasi kontrol atas kunci enkripsi data dan membatasi kunci yang dapat digunakan untuk CMEK. Hal ini dilakukan dengan menerapkan penggunaan CMEK untuk mengenkripsi data dalam penyimpanan di pool penyimpanan dan vault cadangan baru serta memungkinkan organisasi mengelola kunci enkripsi menggunakan Cloud KMS. Kebijakan organisasi diterapkan saat pembuatan pool penyimpanan dan backup vault, serta tidak memengaruhi pool penyimpanan dan backup vault yang ada.
Kebijakan organisasi memungkinkan administrator menerapkan dan memberlakukan batasan yang konsisten di semua project dan resource. Hal ini penting bagi organisasi yang mengelola beberapa project dan resource untuk menerapkan kebijakan standar.
Ada dua jenis batasan kebijakan organisasi yang dapat diterapkan ke CMEK:
Batasi Layanan Non-CMEK: memungkinkan Anda menentukan layanan mana dalam organisasi, project, atau folder yang dapat dikonfigurasi tanpa CMEK. Jika Anda menambahkan layanan ke daftar penolakan atau mengecualikannya dalam daftar yang diizinkan, maka resource untuk layanan tersebut akan memerlukan CMEK. Secara default, batasan ini mengizinkan pembuatan resource non-CMEK.
Batasi Project CryptoKey CMEK: memungkinkan Anda menentukan project mana yang dapat menyediakan kunci KMS untuk CMEK saat mengonfigurasi resource dalam organisasi, project, atau folder. Jika batasan ini ditetapkan, hanya kunci KMS dari project yang ditentukan yang dapat digunakan untuk resource yang dilindungi CMEK. Jika batasan tidak ditetapkan, CryptoKey dari project mana pun dapat digunakan.
Untuk mengetahui informasi selengkapnya tentang cara menerapkan kebijakan organisasi, lihat Menerapkan kebijakan organisasi CMEK.
Opsi CMEK
NetApp Volumes menawarkan dukungan untuk CMEK, yang dapat disimpan sebagai kunci software, kunci hardware dalam cluster HSM, atau sebagai kunci eksternal yang disimpan di Cloud External Key Manager (Cloud EKM).
Untuk mengetahui informasi selengkapnya, lihat Cloud Key Management Service.
Dampak operasional error utama
Kunci Cloud KMS yang dinonaktifkan atau kunci eksternal yang tidak dapat diakses yang digunakan dalam kebijakan CMEK dapat memengaruhi resource dan operasi untuk NetApp Volumes dan vault cadangan yang terkait dengan kebijakan tersebut.
Kunci eksternal dikelola oleh pihak ketiga, dan Google Cloud tidak bertanggung jawab atas ketersediaan kunci.
Volume
Jika External Key Manager (EKM) memberi tahu Cloud Key Management Service bahwa kunci eksternal tidak dapat dijangkau, volume yang menggunakan kunci tersebut akan di-offline-kan, sehingga mencegah operasi baca dan tulis. Hasil yang sama akan terjadi jika kunci Cloud KMS dinonaktifkan.
Backup vaults
Untuk brankas cadangan yang menggunakan CMEK, Anda harus memastikan ketersediaan kunci atau kunci yang dirujuk oleh brankas cadangan. Saat Anda merotasi kunci, sistem akan melakukan operasi enkripsi ulang pada vault cadangan menggunakan kunci utama baru. Hingga operasi ini selesai, kunci yang dirotasi harus tersedia untuk vault cadangan. Jika Anda menghapus kunci yang dirotasi, Anda tidak dapat memulihkan cadangan yang menunjuk ke kunci tersebut. Jika kunci yang dirotasi tidak dapat dijangkau atau dinonaktifkan, pemulihan akan gagal hingga kunci dapat dijangkau atau diaktifkan.
Jika kunci utama dinonaktifkan, tidak dapat dijangkau, atau dihancurkan, operasi enkripsi yang sedang berlangsung akan gagal. Jika Anda tidak dapat memulihkan kunci utama, Anda tidak dapat memulihkan semua cadangan terenkripsi yang mengarah ke kunci tersebut. Vault cadangan tidak memulai operasi pencadangan baru.
Status brankas cadangan mencakup detail tentang CMEK dan status enkripsi.
Pengguna juga akan menerima error dengan detail tentang status kunci saat ini jika salah satu operasi berikut dicoba saat EKM tidak dapat dijangkau atau kunci Cloud KMS dinonaktifkan di region sumber atau tujuan untuk replikasi: