Mengaktifkan CMEK untuk Security Command Center

Secara default, Security Command Center mengenkripsi konten pelanggan dalam penyimpanan. Security Command Center menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut Enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Security Command Center. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melacak penggunaan kunci, melihat log audit, dan mengontrol siklus proses kunci. Bukan Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda. Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Security Command Center Anda akan serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Untuk mendukung pemisahan tugas dan kontrol yang lebih besar atas akses ke kunci, sebaiknya buat dan kelola kunci dalam project terpisah yang tidak menyertakan resource Google Cloud lain.

Untuk mengaktifkan CMEK bagi Security Command Center, Anda harus memilih enkripsi data Cloud KMS saat mengaktifkan organisasi Security Command Center. Setelah Anda mengaktifkan Security Command Center, Anda tidak dapat lagi mengonfigurasi enkripsi data. Anda tidak dapat mengaktifkan CMEK selama aktivasi level project. Untuk mempelajari lebih lanjut, lihat berikut:

Anda dapat menggunakan batasan kebijakan organisasi CMEK untuk menerapkan setelan enkripsi saat mengaktifkan Security Command Center. Untuk mengetahui informasi tentang penggunaan batasan kebijakan organisasi CMEK dan Security Command Center, lihat Batasan kebijakan organisasi CMEK di halaman ini.

Sebelum memulai

Sebelum menyiapkan CMEK untuk Security Command Center, lakukan hal berikut:

Instal dan lakukan inisialisasi Google Cloud CLI:
1. Install the Google Cloud CLI.
2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
3. To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Buat Google Cloud project dengan Cloud KMS yang diaktifkan. Ini adalah project kunci Anda.
Buat key ring di lokasi yang benar. Lokasi key ring harus sesuai dengan lokasi tempat Anda berencana mengaktifkan Security Command Center.

Untuk menemukan lokasi yang benar, lihat Lokasi utama di halaman ini. Untuk mempelajari cara membuat key ring, lihat Membuat key ring.
Buat kunci Cloud KMS di key ring. Untuk mengetahui petunjuknya, lihat Membuat kunci.
Untuk memastikan Agen Layanan Cloud Security Command Center memiliki izin yang diperlukan untuk mengenkripsi dan mendekripsi data, minta administrator Anda untuk memberikan peran IAM Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) kepada Agen Layanan Cloud Security Command Center di kunci Cloud KMS. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Administrator Anda mungkin juga dapat memberikan izin yang diperlukan kepada Agen Layanan Cloud Security Command Center melalui peran khusus atau peran bawaan lainnya.

Lokasi kunci

Saat membuat kunci dan key ring Cloud KMS untuk Security Command Center, Anda harus menggunakan lokasi yang sesuai dengan lokasi Security Command Center Anda.

Jika Anda tidak berencana mengaktifkan residensi data untuk Security Command Center, buat kunci dan key ring Cloud KMS Anda di lokasi us.

Jika Anda berencana mengaktifkan residensi data, pilih lokasi Cloud KMS yang sesuai dengan lokasi Security Command Center Anda:

Lokasi Security Command Center	Lokasi kunci Cloud KMS
`eu`	`europe`
`sa`	`me-central2`
`us`	`us`

Perubahan pada kunci CMEK

Setelah mengaktifkan Security Command Center dengan CMEK, Anda tidak dapat mengubah kunci Cloud KMS atau beralih ke Google-owned and Google-managed encryption key.

Anda dapat merotasi kunci CMEK, yang menyebabkan Security Command Center menggunakan versi kunci baru. Namun, beberapa kemampuan Security Command Center akan terus menggunakan kunci lama selama 30 hari.

Jenis resource yang didukung

CMEK mengenkripsi data untuk jenis resource Security Command Center berikut:

Temuan
Konfigurasi notifikasi
Ekspor BigQuery
Konfigurasi bisukan audio

Batasan kebijakan organisasi CMEK

Untuk menerapkan penggunaan CMEK bagi Security Command Center, Anda dapat menerapkan batasan kebijakan organisasi berikut di tingkat organisasi, folder, atau project:

constraints/gcp.restrictNonCmekServices: Mewajibkan Anda menggunakan CMEK. Jika Anda menerapkan constraints/gcp.restrictNonCmekServices pada organisasi, dan Anda telah mencantumkan Security Command Center sebagai layanan terbatas yang diperlukan untuk menggunakan CMEK, maka Anda harus mengaktifkan CMEK saat mengaktifkan Security Command Center.

Penting: Jika Anda menerapkan batasan ini, dan Anda tidak mencantumkan Security Command Center sebagai layanan yang dibatasi, maka beberapa fitur Security Command Center tidak akan berfungsi dengan benar.
constraints/gcp.restrictCmekCryptoKeyProjects: Mewajibkan kunci CMEK untuk Security Command Center berasal dari project atau sekumpulan project tertentu.

Jika Anda menerapkan kedua batasan ini pada organisasi tempat Anda mengaktifkan Security Command Center, Security Command Center akan mewajibkan Anda mengaktifkan CMEK dan mewajibkan kunci CMEK berada di project tertentu.

Untuk mengetahui informasi tentang cara kebijakan organisasi dievaluasi di seluruh Google Cloud hierarki resource (organisasi, folder, dan project), lihat Memahami evaluasi hierarki.

Untuk mengetahui informasi umum tentang penggunaan kebijakan organisasi CMEK, lihat Kebijakan organisasi CMEK.

Menyiapkan CMEK untuk Security Command Center

Untuk menggunakan CMEK dengan Security Command Center, ikuti langkah-langkah berikut:

Saat Anda mengaktifkan Security Command Center untuk organisasi, pilih Edit enkripsi data.

Panel Edit setelan enkripsi data akan terbuka.
Pilih Kunci Cloud KMS.
Pilih project.
Pilih kunci. Anda dapat memilih kunci dari project Google Cloud mana pun, termasuk project di organisasi lain. Hanya kunci di lokasi yang kompatibel yang ditampilkan dalam daftar.

Untuk mempelajari lokasi utama mana yang kompatibel dengan Security Command Center, lihat Lokasi utama di halaman ini.
Klik Selesai, dan lanjutkan proses aktivasi Security Command Center.

Setelah Anda mengaktifkan Security Command Center untuk organisasi Anda, Security Command Center akan mengenkripsi data Anda menggunakan kunci Cloud KMS yang Anda pilih.

Memecahkan masalah CMEK

Bagian berikut membantu Anda menyelesaikan masalah yang mungkin terjadi pada jenis resource yang mendukung CMEK.

Memulihkan akses agen layanan ke kunci

Dengan CMEK yang diaktifkan, Agen Layanan Cloud Security Command Center harus memiliki akses ke kunci Cloud KMS Anda. Jika agen layanan ini tidak memiliki peran IAM yang diperlukan pada kunci Anda, beberapa fitur Security Command Center tidak akan berfungsi dengan benar.

Untuk menentukan apakah Anda mengalami masalah ini, lihat daftar akun utama yang memiliki akses ke kunci Anda. Jika agen layanan dikonfigurasi dengan benar, daftar akan menyertakan pokok dengan ID service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com dan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter).

Jika Anda tidak melihat akun utama dan peran ini, berikan peran yang diperlukan kepada agen layanan di kunci Anda:

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Ganti kode berikut:

KEY_RING: key ring untuk kunci Cloud KMS Anda
LOCATION: lokasi kunci Cloud KMS Anda
KEY_NAME: nama kunci Cloud KMS Anda
ORGANIZATION_NUMBER: nomor organisasi Anda

Memulihkan kunci yang dinonaktifkan atau dijadwalkan untuk dimusnahkan

Jika kunci atau versi kunci Cloud KMS dinonaktifkan, Anda dapat mengaktifkan versi kunci.

Demikian pula, jika kunci Cloud KMS dijadwalkan untuk dimusnahkan, Anda dapat memulihkan versi kunci. Setelah kunci dihancurkan, Anda tidak dapat memulihkannya, dan Anda tidak akan memiliki akses ke resource yang mendukung CMEK di Security Command Center.

Mengatasi error saat membuat resource yang dilindungi

Jika Anda memilih Google-owned and Google-managed encryption keys saat mengaktifkan Security Command Center, lalu Anda menerapkan batasan kebijakan organisasi CMEK dalam organisasi tersebut, Anda tidak akan dapat membuat resource baru yang mendukung CMEK.

Jika Anda tidak dapat membuat resource ini, periksa apakah batasan kebijakan organisasi CMEK diterapkan untuk organisasi Anda, atau untuk project atau folder apa pun di organisasi tersebut. Untuk mengetahui informasi selengkapnya, lihat Batasan kebijakan organisasi CMEK di halaman ini.

Kuota dan harga

Saat Anda menggunakan CMEK di Security Command Center, project Anda dapat memakai kuota permintaan kriptografis Cloud KMS. Instance yang dienkripsi dengan CMEK menggunakan kuota saat membaca atau menulis data di Security Command Center. Operasi enkripsi dan dekripsi menggunakan kunci CMEK memengaruhi kuota Cloud KMS hanya jika Anda menggunakan kunci hardware (Cloud HSM) atau kunci eksternal (Cloud EKM). Untuk mengetahui informasi selengkapnya, lihat Kuota Cloud KMS.

Selain itu, biaya Cloud KMS berlaku saat Security Command Center menggunakan CMEK Anda untuk mengenkripsi atau mendekripsi data. Untuk mengetahui informasi selengkapnya, lihat Harga Cloud KMS.