Halaman ini diterjemahkan oleh Cloud Translation API.

Mengaktifkan CMEK untuk Security Command Center

Secara default, Security Command Center mengenkripsi konten pelanggan dalam penyimpanan. Security Command Center menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut Enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Security Command Center. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melacak penggunaan kunci, melihat log audit, dan mengontrol siklus proses kunci. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Anda yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Security Command Center Anda serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Untuk mendukung pemisahan tugas dan kontrol yang lebih besar atas akses ke kunci, sebaiknya buat dan kelola kunci dalam project terpisah yang tidak menyertakan resource Google Cloud lain.

Saat Anda menggunakan CMEK di Security Command Center, project Anda dapat memakai kuota permintaan kriptografis Cloud KMS. Instance yang dienkripsi dengan CMEK menggunakan kuota saat membaca atau menulis data di Security Command Center. Operasi enkripsi dan dekripsi menggunakan kunci CMEK memengaruhi kuota Cloud KMS hanya jika Anda menggunakan kunci hardware (Cloud HSM) atau kunci eksternal (Cloud EKM). Untuk mengetahui informasi selengkapnya, lihat Kuota Cloud KMS.

Untuk menggunakan Security Command Center dengan CMEK, Anda harus memilih CMEK saat mengaktifkan organisasi Security Command Center. Setelah mengaktifkan Security Command Center, Anda tidak dapat lagi mengonfigurasi enkripsi data. Anda tidak dapat mengonfigurasi CMEK selama aktivasi tingkat project. Untuk mempelajari lebih lanjut, lihat bagian berikut:

Anda dapat menggunakan kebijakan organisasi CMEK untuk menerapkan setelan enkripsi yang Anda pilih saat mengaktifkan Security Command Center. Untuk mengetahui informasi tentang cara menggunakan kebijakan organisasi CMEK dengan Security Command Center, lihat Menggunakan kebijakan organisasi CMEK.

CMEK mengenkripsi data berikut di Security Command Center dan Security Command Center API:

Temuan
Konfigurasi notifikasi
Ekspor BigQuery
Konfigurasi bisukan audio

Sebelum memulai

Sebelum menyiapkan CMEK untuk Security Command Center, lakukan hal berikut:

Instal dan lakukan inisialisasi Google Cloud CLI:
1. Install the Google Cloud CLI.
2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
3. To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Buat Google Cloud project dengan Cloud KMS yang diaktifkan. Ini adalah project utama Anda.
Buat key ring yang berada di lokasi yang benar. Lokasi key ring Anda harus sesuai dengan lokasi tempat Anda berencana mengaktifkan Security Command Center. Untuk melihat lokasi ring kunci yang sesuai dengan setiap lokasi Security Command Center, lihat tabel di bagian Lokasi kunci dalam dokumen ini. Untuk mengetahui informasi selengkapnya tentang cara membuat key ring, lihat Membuat key ring.
Buat kunci Cloud KMS pada key ring. Untuk mengetahui informasi selengkapnya tentang cara membuat kunci di key ring, lihat Membuat kunci.
Untuk memastikan Akun Layanan Cloud Security Command Center memiliki izin yang diperlukan untuk mengenkripsi dan mendekripsi data, minta administrator Anda untuk memberikan peran IAM Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) kepada Akun Layanan Cloud Security Command Center di kunci Cloud KMS.
Penting: Anda harus memberikan peran ini kepada Akun Layanan Cloud Security Command Center, bukan kepada akun pengguna Anda. Jika peran tidak diberikan kepada akun utama yang benar, error izin mungkin terjadi.
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Administrator Anda mungkin juga dapat memberikan izin yang diperlukan kepada Akun Layanan Cloud Security Command Center melalui peran khusus atau peran bawaan lainnya.

Lokasi kunci

Lokasi kunci Cloud KMS Anda harus sesuai dengan lokasi tempat Anda mengaktifkan Security Command Center. Tabel berikut menunjukkan lokasi kunci Cloud KMS yang sesuai untuk setiap lokasi Security Command Center.

Lokasi Security Command Center	Lokasi kunci Cloud KMS
`eu`	`europe`
`global`	`us`
`sa`	`me-central2`
`us`	`us`

Jika Anda tidak mengaktifkan residensi data saat mengaktifkan Security Command Center, gunakan global untuk lokasi Security Command Center dan us untuk lokasi kunci Cloud KMS. Untuk mengetahui informasi selengkapnya tentang residensi data, lihat Merencanakan residensi data.

Jika Anda menggunakan batasan kebijakan organisasi constraints/gcp.restrictNonCmekServices dengan Security Command Center, CMEK adalah satu-satunya opsi enkripsi yang tersedia untuk Anda.

Batasan

Berikut adalah batasan penggunaan CMEK dengan Security Command Center:

Jika Anda telah mengaktifkan Security Command Center di organisasi atau project dalam organisasi yang Anda aktifkan, Anda tidak dapat menggunakan CMEK di Security Command Center untuk organisasi tersebut.
Anda tidak dapat mengonfigurasi CMEK selama aktivasi tingkat project.
Anda tidak dapat mengubah kunci Cloud KMS atau beralih ke Google-owned and Google-managed encryption key setelah mengaktifkan Security Command Center.

Peringatan: Jika Anda menonaktifkan, mencabut akses ke, atau menghancurkan CMEK setelah aktivasi, Security Command Center akan berhenti berfungsi dan Anda dapat kehilangan data Security Command Center. Penghancuran versi kunci bersifat permanen dan menyebabkan hilangnya data yang tidak dapat dipulihkan.
Anda dapat merotasi kunci, yang menyebabkan Security Command Center menggunakan versi kunci baru. Namun, beberapa kemampuan Security Command Center terus menggunakan kunci lama selama 30 hari.

Menggunakan kebijakan organisasi CMEK dengan Security Command Center

Untuk menerapkan penggunaan CMEK bagi Security Command Center, Anda dapat menerapkan kebijakan organisasi berikut di tingkat organisasi, folder, atau project:

constraints/gcp.restrictNonCmekServices, yang mengharuskan Anda menggunakan CMEK. Jika Anda menetapkan constraints/gcp.restrictNonCmekServices di organisasi dan Anda telah mencantumkan Security Command Center sebagai layanan terbatas yang wajib menggunakan CMEK, Anda harus menggunakan CMEK saat mengaktifkan Security Command Center.
constraints/gcp.restrictCmekCryptoKeyProjects, yang mengharuskan Anda menggunakan kunci dari project atau sekumpulan project tertentu saat Anda menggunakan CMEK dengan Security Command Center. Kebijakan constraints/gcp.restrictCmekCryptoKeyProjectsorganisasi sendiri masih memungkinkan Anda memilih enkripsi default Google.

Jika Anda menyetel constraints/gcp.restrictNonCmekServices dan constraints/gcp.restrictCmekCryptoKeyProjects di organisasi tempat Anda mengaktifkan Security Command Center, Security Command Center akan mewajibkan Anda menggunakan CMEK dan mewajibkan kunci CMEK berada di project tertentu.

Jika Anda menyetel constraints/gcp.restrictNonCmekServices pada project atau folder, Anda harus menggunakan CMEK di organisasi tempat Anda mengaktifkan Security Command Center dan mencantumkan Security Command Center sebagai layanan terbatas atau beberapa fitur Security Command Center tidak akan berfungsi dengan benar.

Untuk mengetahui informasi tentang cara kebijakan organisasi dievaluasi di seluruh Google Cloud hierarki resource (organisasi, folder, dan project), lihat Memahami evaluasi hierarki.

Untuk mengetahui informasi umum tentang penggunaan kebijakan organisasi CMEK, lihat Kebijakan organisasi CMEK.

Menyiapkan CMEK untuk Security Command Center

Untuk menggunakan CMEK dengan Security Command Center, ikuti langkah-langkah berikut:

Selama aktivasi Security Command Center untuk organisasi, pilih Edit enkripsi data. Panel Edit setelan enkripsi data akan terbuka.
Pilih Kunci Cloud KMS.
Pilih project.
Pilih kunci. Anda dapat memilih kunci dari project mana pun, termasuk project di organisasi lain. Google Cloud Hanya kunci di lokasi yang kompatibel yang ditampilkan dalam daftar. Untuk mengetahui informasi selengkapnya tentang lokasi kunci untuk CMEK bagi Security Command Center, lihat tabel di bagian Lokasi kunci.
Klik Selesai dan lanjutkan proses aktivasi Security Command Center.

Setelah Anda mengaktifkan Security Command Center untuk organisasi Anda, Security Command Center akan mengenkripsi data Anda menggunakan kunci Cloud KMS yang Anda pilih.

Periksa konfigurasi CMEK

Untuk memeriksa bahwa Anda berhasil menyiapkan CMEK untuk Security Command Center:

Di Security Command Center, pilih Setelan.
Buka tab Detail Tingkatan.
Buka Detail penyiapan > Enkripsi data untuk melihat nama kunci. Jika CMEK untuk Security Command Center disiapkan, nama kunci akan ditampilkan sebagai link setelah Enkripsi data.

Memecahkan masalah CMEK untuk Security Command Center

Meskipun tidak ada biaya tambahan untuk mengaktifkan CMEK di Security Command Center Standard dan Premium, biaya berlaku di Cloud KMS saat Security Command Center menggunakan CMEK Anda untuk mengenkripsi dan mendekripsi data. Untuk mengetahui informasi selengkapnya, lihat harga Cloud KMS.

Memulihkan akses ke Security Command Center

Dengan CMEK yang diaktifkan, akun layanan Security Command Center memerlukan akses ke kunci Cloud KMS Anda agar dapat berfungsi. Jangan mencabut izin akun layanan ke CMEK, menonaktifkan CMEK, atau menjadwalkan penghancuran CMEK. Semua tindakan ini menyebabkan kemampuan Security Command Center berikut berhenti berfungsi:

Temuan
Konfigurasi ekspor berkelanjutan
Ekspor BigQuery
Aturan penonaktifan

Jika kunci Cloud KMS tidak tersedia saat Anda mencoba menggunakan Pusat Komando Keamanan, Anda akan melihat pesan error atau error API FAILED_PRECONDITION.

Anda dapat kehilangan kemampuan Security Command Center karena kunci Cloud KMS mengalami salah satu masalah berikut:

Peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS pada kunci di akun layanan mungkin telah dicabut. Anda dapat memulihkan akses ke Security Command Center setelah kunci dicabut.
Kunci Cloud KMS mungkin telah dinonaktifkan. Anda dapat memulihkan akses ke Security Command Center setelah kunci dinonaktifkan.
Kunci mungkin dijadwalkan untuk dimusnahkan. Anda dapat memulihkan akses ke Security Command Center setelah kunci dijadwalkan untuk dihancurkan.

Memulihkan akses ke Security Command Center setelah kunci dicabut

Untuk memulihkan akses ke kunci Anda di Security Command Center, berikan peran Akun Layanan Cloud Security Command Center Pengenkripsi/Pendekripsi CryptoKey Cloud KMS pada kunci tersebut:

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORG_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Ganti kode berikut:

KEY_RING: key ring untuk kunci Cloud KMS Anda
LOCATION: lokasi kunci Cloud KMS Anda
KEY_NAME: nama kunci Cloud KMS Anda
ORG_NUMBER: nomor organisasi Anda

Memulihkan akses ke Security Command Center setelah kunci dinonaktifkan

Untuk mengetahui informasi selengkapnya tentang cara mengaktifkan kunci yang dinonaktifkan, lihat Mengaktifkan versi kunci.

Memulihkan akses ke Security Command Center setelah kunci dijadwalkan untuk dimusnahkan

Untuk mengetahui informasi selengkapnya tentang cara memulihkan kunci yang dijadwalkan untuk dihancurkan, lihat Menghancurkan dan memulihkan versi kunci.

Setelah kunci dihancurkan, Anda tidak dapat memulihkannya dan Anda tidak dapat memulihkan akses ke Security Command Center.

Error saat membuat resource yang dilindungi

Jika Anda mengalami error saat membuat temuan baru, konfigurasi notifikasi, konfigurasi nonaktif, atau ekspor BigQuery, periksa apakah kebijakan organisasi CMEK ditetapkan untuk organisasi Anda atau project atau folder apa pun di organisasi tersebut.

Jika Anda memilih Google-owned and Google-managed encryption keys saat mengaktifkan organisasi Security Command Center, dan Anda menetapkan kebijakan organisasi CMEK constraints/gcp.restrictNonCmekServices pada project atau folder di organisasi dan mencantumkan Security Command Center sebagai layanan yang dibatasi, Anda tidak dapat membuat resource baru yang dilindungi di project atau folder tersebut. Untuk mengetahui informasi selengkapnya, lihat Menggunakan kebijakan organisasi CMEK dengan Security Command Center.

Harga

Meskipun tidak ada biaya tambahan untuk mengaktifkan CMEK di Security Command Center Standard atau Premium, biaya berlaku di Cloud KMS saat Security Command Center menggunakan CMEK Anda untuk mengenkripsi atau mendekripsi data. Untuk mengetahui informasi selengkapnya, lihat harga Cloud KMS.