Spanner adalah layanan database multi-model yang terkelola sepenuhnya dan didistribusikan secara global, yang dirancang untuk ketersediaan tinggi dan skala ekstrem. Sebagai layanan terkelola di Google Cloud, tanggung jawab keamanan dan ketahanan operasional dibagi antara Anda dan Google.
Dokumen ini menguraikan pembagian tanggung jawab untuk memastikan keamanan, kepatuhan, dan pengoperasian instance dan data Spanner Anda.
Ringkasan model tanggung jawab bersama
Dalam model tanggung jawab bersama, Google mengelola keamanan layanan, infrastruktur, dan jaringan global yang mendasarinya di Spanner, sementara pelanggan bertanggung jawab atas keamanan dan pengelolaan di instance Spanner, termasuk data, akses aplikasi, dan konfigurasi.
| Area Tanggung Jawab | Google Cloud | Anda |
|---|---|---|
| Infrastruktur | Bertanggung jawab | Tidak Bertanggung Jawab |
| Konfigurasi dan keamanan layanan | Dibagikan | Dibagikan |
| Akses data dan aplikasi | Tidak Bertanggung Jawab | Bertanggung jawab |
Tanggung jawab Google
Google bertanggung jawab untuk melindungi infrastruktur yang menjalankan layanan Spanner. Hal ini mencakup komponen fisik, hardware, jaringan, dan operasional.
Infrastruktur dan ketersediaan global
Keamanan fisik: Mengamankan region, zona, dan pusat data fisik global tempat infrastruktur Spanner berada.
Jaringan: Menyediakan jaringan yang aman dan andal yang diperlukan untuk konsistensi dan replikasi global Spanner.
Hardware dan software: Mengelola hardware, sistem operasi host, dan software layanan Spanner itu sendiri. Hal ini mencakup patching, pemeliharaan, dan update otomatis.
Pengelolaan dan ketahanan layanan
Ketersediaan dan skala tinggi: Memastikan SLA 99,999% (untuk konfigurasi multi-region) dengan mengelola penskalaan, replikasi, dan failover secara otomatis di seluruh region dan zona. Spanner dirancang untuk waktu non-operasional terencana nol. Instance Spanner dapat dikecualikan dari Perjanjian Tingkat Layanan (SLA) Spanner jika konfigurasi yang dikontrol pengguna menyebabkan pemadaman layanan. Untuk melihat konfigurasi ini, lihat Panduan operasional Spanner.
Ketahanan: Memastikan ketahanan data, termasuk cadangan yang disimpan dalam sistem Spanner.
Integritas software database: Membangun, memelihara, dan mengupdate software Spanner.
Kepatuhan dan perlindungan data
Enkripsi saat disimpan dan saat transit: Memastikan data dienkripsi secara default.
Residensi data: Memungkinkan Anda mengelola penempatan data dalam region atau konfigurasi tertentu (misalnya, dual-region, multi-region).
Operasi Google Cloud Dedicated: Untuk deployment Google Cloud Dedicated, Google menyediakan infrastruktur, build software, dan update, tempat partner tepercaya lokal kami mengoperasikan dan mendukung layanan cloud. Google dapat memberikan bantuan tingkat kedua kepada partner dalam melakukan pemeliharaan dan menyelesaikan masalah.
Tanggung jawab Anda
Anda mempertahankan kontrol utama atas data, konfigurasi, pengelolaan akses, dan pengembangan aplikasi saat menggunakan Spanner.
Pengelolaan data dan skema
Konten dan keamanan data: Tanggung jawab atas konten data yang disimpan di Spanner, termasuk sensitivitas, kepatuhan terhadap peraturan, dan integritasnya.
Desain dan pengoptimalan skema: Menentukan dan mengelola skema database, termasuk membuat tabel, indeks, dan mengelola tabel yang disisipkan untuk performa.
Pengoptimalan kueri: Mendesain kueri yang efisien untuk memastikan performa dan mengelola alokasi resource. Misalnya, mengelola rentang transaksi dan memahami perilaku penguncian sangat penting.
Pengelolaan akses dan identitas
Konfigurasi IAM: Menentukan dan mengelola peran dan izin Identity and Access Management (IAM) untuk prinsipal (pengguna dan akun layanan) yang mengakses instance dan database Spanner.
Kontrol akses terperinci (FGAC): Jika diterapkan, pelanggan bertanggung jawab untuk menentukan, mengelola, dan memberikan kembali akses ke peran dan hak istimewa database.
Logging audit: Memantau dan menganalisis Cloud Audit Logs untuk melacak akses dan tindakan yang dilakukan pada instance dan data Spanner.
Ketahanan operasional dan pemulihan dari bencana (disaster recovery)
Pengelolaan konfigurasi: Mengelola konfigurasi instance Spanner, jumlah node, dan deployment regional.
Layanan Pencadangan dan DR: Menerapkan strategi untuk pemulihan bencana yang mencakup penyimpanan data di luar instance Spanner itu sendiri (misalnya, di region, instance, atau penyimpanan eksternal yang terpisah) untuk melindungi dari skenario seperti penghapusan instance yang tidak disengaja atau kerusakan data.
(Opsional) Integrasi aliran perubahan: Mengonfigurasi dan mengelola tugas Dataflow atau konsumen lain yang menggunakan aliran perubahan Spanner untuk streaming peristiwa.
Konfigurasi keamanan
Kunci enkripsi yang dikelola pelanggan (CMEK): Jika digunakan, mengelola kunci dan izin Cloud Key Management Service (Cloud KMS) yang digunakan untuk mengenkripsi data Spanner.
Pemberian tag pada permintaan dan transaksi: Menerapkan tag pada kueri dan transaksi untuk meningkatkan kemampuan observasi dan pemantauan performa.
Pemantauan dan pemberitahuan: Menyiapkan dan menyesuaikan pemantauan kustom, mengekspor metrik, dan mengonfigurasi pemberitahuan untuk mendeteksi penurunan performa atau anomali keamanan.
Ringkasan tanggung jawab
Tabel berikut merangkum tanggung jawab bersama untuk komponen operasional dan keamanan tertentu:
| Komponen | Tanggung Jawab Kami | Tanggung Jawab Anda |
|---|---|---|
| Data dan akses pengguna | Isolasi dan perlindungan fisik penyimpanan yang mendasarinya. | Pengelolaan IAM dan FGAC. Menentukan peran dan hak istimewa database. |
| Keamanan jaringan | Jalur jaringan, firewall, dan segmentasi infrastruktur layanan Spanner. | Mengonfigurasi Virtual Private Cloud (VPC), Private Service Connect, dan aturan jaringan sisi klien. |
| Layanan Cadangan dan DR | Replikasi multi-region dan ketersediaan layanan 99,999%. Fungsi Pemulihan Point-in-Time (PITR). | Menerapkan solusi pemulihan dari bencana untuk menyimpan data di luar instance Spanner utama, dan mengelola failover aplikasi ke database baru. |
| Enkripsi | Enkripsi data dalam penyimpanan dan saat transit secara default. | Mengelola dan merotasi kunci CMEK, jika digunakan. |
| Cadangan | Mengelola infrastruktur layanan pencadangan dan memastikan daya tahan pencadangan. | Menentukan jadwal pencadangan, mengelola dan mengakses cadangan, serta menyalin cadangan ke instance/region lain. |
| Instance Spanner | Menyediakan dan mengelola infrastruktur yang mendasarinya. | Mengonfigurasi jumlah node dan lokasi. |
| Kemampuan observasi | Menyediakan tabel sistem (misalnya, SPANNER_SYS) untuk diagnostik. |
Menerapkan pemantauan kustom, memanfaatkan tag permintaan/transaksi, dan berintegrasi dengan alat pemantauan eksternal (misalnya, Prometheus dan Grafana). |
| Aplikasi klien | Menyediakan library klien dan API Spanner. | Mengembangkan, men-deploy, dan mengamankan semua aplikasi klien yang berinteraksi dengan database. |
| Pengelolaan konfigurasi | Memeriksa penggunaan terhadap kuota dan mengajukan permintaan sesuai kebutuhan. Menggunakan alat seperti Terraform untuk mengelola resource database dan instance. |