Mengaktifkan CMEK untuk Security Command Center

Secara default, Security Command Center mengenkripsi konten pelanggan dalam penyimpanan. Security Command Center menangani enkripsi untuk Anda tanpa tindakan tambahan apa pun dari pihak Anda. Opsi ini disebut enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Security Command Center. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan , lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melacak penggunaan kunci, melihat log audit, dan mengontrol siklus proses kunci. Bukan Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda. Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Security Command Center Anda akan serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Untuk pemisahan tugas dan kontrol akses kunci yang lebih baik, sebaiknya kelola kunci dalam project khusus tanpa resource Google Cloud lain.

Anda dapat mengonfigurasi Security Command Center untuk menggunakan kunci Cloud Key Management Service saat mengaktifkan Security Command Center untuk organisasi. Anda juga dapat mengubah konfigurasi setelah Security Command Center diaktifkan.

Anda tidak dapat mengaktifkan CMEK dengan aktivasi Security Command Center tingkat project.

Untuk mempelajari lebih lanjut cara mengaktifkan Security Command Center dan mengubah konfigurasi, lihat hal berikut:

Anda dapat menggunakan batasan kebijakan organisasi untuk menerapkan konfigurasi enkripsi yang diperlukan. Untuk mengetahui informasi tentang penggunaan batasan kebijakan organisasi CMEK dan Security Command Center, lihat Batasan kebijakan organisasi CMEK di halaman ini.

Peringatan: Jika Anda menonaktifkan, mencabut akses ke, atau menghancurkan CMEK setelah aktivasi, Security Command Center akan berhenti berfungsi dan Anda dapat kehilangan data Security Command Center. Menghancurkan versi kunci bersifat permanen dan menyebabkan hilangnya data yang tidak dapat dipulihkan.

Jenis resource yang didukung

Anda dapat menggunakan CMEK untuk mengenkripsi data untuk jenis resource Security Command Center berikut:

  • Temuan
  • Konfigurasi notifikasi
  • Ekspor BigQuery
  • Konfigurasi bisukan audio

Mengonfigurasi ulang enkripsi data

Setelah mengaktifkan Security Command Center, Anda dapat mengubah konfigurasi enkripsi data antara kunci Cloud KMS dan Google-owned and Google-managed encryption keys.

Peringatan: Jika Anda menonaktifkan, mencabut akses ke, atau menghancurkan CMEK setelah aktivasi, Security Command Center akan berhenti berfungsi dan Anda dapat kehilangan data Security Command Center. Menghancurkan versi kunci bersifat permanen dan menyebabkan hilangnya data yang tidak dapat dipulihkan.

Anda dapat merotasi kunci CMEK, yang menyebabkan Security Command Center menggunakan versi kunci baru. Namun, beberapa kemampuan Security Command Center akan terus menggunakan kunci lama selama 30 hari.

Sebelum memulai

Bagian berikut menjelaskan langkah-langkah yang harus dilakukan sebelum Anda mengubah konfigurasi.

Menentukan lokasi kunci

Saat membuat kunci Cloud KMS dan key ring untuk Security Command Center, Anda harus menggunakan lokasi yang sesuai dengan lokasi Security Command Center.

Jika Anda tidak berencana mengaktifkan residency data untuk Security Command Center, buat kunci Cloud KMS dan key ring di lokasi us.

Jika Anda berencana mengaktifkan residensi data, pilih lokasi Cloud KMS yang sesuai dengan lokasi Security Command Center:

Lokasi Security Command Center Lokasi kunci Cloud KMS
eu europe
sa me-central2
us us

Menentukan batasan kebijakan organisasi untuk CMEK

Untuk menerapkan penggunaan CMEK untuk Security Command Center, Anda dapat menerapkan batasan kebijakan organisasi berikut di tingkat organisasi, folder, atau project:

  • constraints/gcp.restrictNonCmekServices: Mewajibkan Anda menggunakan CMEK. Jika Anda menerapkan constraints/gcp.restrictNonCmekServices pada organisasi, dan Anda telah mencantumkan Security Command Center sebagai layanan terbatas yang wajib menggunakan CMEK, Anda harus mengaktifkan CMEK saat mengaktifkan Security Command Center.

  • constraints/gcp.restrictCmekCryptoKeyProjects: Mewajibkan kunci Cloud KMS untuk Security Command Center berasal dari project atau kumpulan project tertentu.

Jika Anda menerapkan kedua batasan ini pada organisasi tempat Anda mengaktifkan Security Command Center, Security Command Center akan mewajibkan Anda mengaktifkan CMEK dan mewajibkan kunci CMEK berada di project tertentu.

Untuk mengetahui informasi tentang cara kebijakan organisasi dievaluasi di seluruh Google Cloud hierarki resource (organisasi, folder, dan project), lihat Memahami evaluasi hierarki.

Untuk mengetahui informasi umum tentang penggunaan kebijakan organisasi CMEK, lihat Kebijakan organisasi CMEK.

Mengonfigurasi kunci Cloud Key Management Service

Sebelum mengonfigurasi Security Command Center untuk menggunakan CMEK, lakukan hal berikut:

  1. Instal dan lakukan inisialisasi pada Google Cloud CLI:

      Instal Google Cloud CLI. Setelah penginstalan, lakukan inisialisasi Google Cloud CLI dengan menjalankan perintah berikut:

      gcloud init

      Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus terlebih dahulu login ke gcloud CLI dengan identitas gabungan Anda.

  2. Buat Google Cloud project dengan Cloud KMS diaktifkan. Ini adalah project kunci Anda.

  3. Buat key ring di lokasi yang benar. Lokasi key ring harus sesuai dengan lokasi tempat Anda berencana mengaktifkan Security Command Center.

    Untuk menemukan lokasi yang benar, lihat Lokasi kunci di halaman ini. Untuk mempelajari cara membuat key ring, lihat Membuat key ring.

  4. Buat kunci Cloud KMS di key ring. Untuk mengetahui petunjuknya, lihat Membuat kunci.

Mengonfigurasi enkripsi data untuk Security Command Center

Anda dapat mengonfigurasi enkripsi data saat mengaktifkan Security Command Center paket layanan Standard atau paket layanan Premium untuk organisasi.

Anda dapat mengubah konfigurasi enkripsi data pada paket Standard dan Premium setelah mengaktifkan Security Command Center. Untuk mengetahui informasi selengkapnya, lihat Mengubah konfigurasi residensi data atau enkripsi data.

Setelah Anda mengonfigurasi CMEK, Security Command Center akan mengenkripsi data menggunakan kunci Cloud KMS yang Anda pilih.

Memecahkan masalah CMEK

Bagian berikut membantu Anda mengatasi masalah yang mungkin terjadi pada jenis resource yang mendukung CMEK.

Memulihkan akses agen layanan ke kunci

Dengan CMEK diaktifkan, Agen Layanan Cloud Security Command Center harus memiliki akses ke kunci Cloud KMS Anda. Jika agen layanan ini tidak memiliki peran IAM yang diperlukan pada kunci Anda, maka beberapa fitur Security Command Center tidak akan berfungsi dengan benar.

Untuk menentukan apakah Anda mengalami masalah ini, lihat daftar principal yang memiliki akses ke kunci Anda. Jika agen layanan dikonfigurasi dengan benar, daftar tersebut akan menyertakan principal dengan ID service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com dan peran Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter).

Jika Anda tidak melihat principal dan peran ini, berikan peran yang diperlukan kepada agen layanan pada kunci Anda:

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Ganti kode berikut:

  • KEY_RING: key ring untuk kunci Cloud KMS Anda
  • LOCATION: lokasi kunci Cloud KMS Anda
  • KEY_NAME: nama kunci Cloud KMS Anda
  • ORGANIZATION_NUMBER: nomor organisasi Anda

Memulihkan kunci yang dinonaktifkan atau dijadwalkan untuk dihancurkan

Jika kunci atau versi kunci Cloud KMS dinonaktifkan, Anda dapat mengaktifkan versi kunci.

Demikian pula, jika kunci Cloud KMS dijadwalkan untuk dihancurkan, Anda dapat memulihkan versi kunci. Setelah kunci di hancurkan, Anda tidak dapat memulihkannya, dan Anda tidak akan memiliki akses ke resource Security Command Center yang mendukung CMEK.

Mengatasi error saat membuat resource yang dilindungi

Jika Anda memilih Google-owned and Google-managed encryption keys saat mengaktifkan Security Command Center, lalu Anda menerapkan batasan kebijakan organisasi CMEK dalam organisasi tersebut, Anda tidak akan dapat membuat resource baru yang mendukung CMEK.

Jika Anda tidak dapat membuat resource ini, periksa apakah batasan kebijakan organisasi CMEK diterapkan untuk organisasi Anda, atau untuk project atau folder apa pun di organisasi tersebut. Untuk mengetahui informasi selengkapnya, lihat Batasan kebijakan organisasi CMEK di halaman ini.

Kuota dan harga

Saat Anda menggunakan CMEK di Security Command Center, project Anda dapat memakai kuota permintaan kriptografis Cloud KMS. Instance yang dienkripsi CMEK menggunakan kuota saat membaca atau menulis data di Security Command Center. Operasi enkripsi dan dekripsi menggunakan kunci CMEK memengaruhi kuota Cloud KMS hanya jika Anda menggunakan kunci hardware (Cloud HSM) atau kunci eksternal (Cloud EKM). Untuk mengetahui informasi selengkapnya, lihat Kuota Cloud KMS.

Selain itu, biaya Cloud KMS berlaku saat Security Command Center menggunakan CMEK Anda untuk mengenkripsi atau mendekripsi data. Untuk mengetahui informasi selengkapnya, lihat Harga Cloud KMS.