Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Dukungan untuk CMEK

Secara default, Google Cloud Observability mengenkripsi konten pelanggan dalam penyimpanan. Google Cloud Observability menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut Enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Google Cloud Observability. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melihat log audit dan mengontrol siklus proses kunci. Bukan Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda. Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Google Cloud Observability Anda akan serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Google Cloud Observability dapat menggunakan CMEK untuk mengenkripsi data yang disimpan dalam bucket observabilitas. Bucket ini menyimpan data rekaman aktivitas Anda. Dokumen ini mencantumkan kebijakan organisasi yang didukung, memperkenalkan setelan default untuk bucket observasi, dan menjelaskan cara kebijakan organisasi dan setelan default berinteraksi.

Dokumen ini tidak berlaku untuk Cloud Logging, yang dapat mengenkripsi data yang disimpan di bucket log dengan CMEK. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi CMEK untuk Cloud Logging.

Batasan kebijakan organisasi yang didukung

Untuk mengontrol tempat bucket pengamatan Anda dibuat dan siapa yang mengelola kunci enkripsi untuk bucket tersebut, Anda mungkin ingin mengonfigurasi kebijakan organisasi berikut:

Kebijakan dengan ID batasan constraints/gcp.resourceLocations. Kebijakan ini menentukan kumpulan lokasi tempat resource baru dapat dibuat. Untuk menggunakan bucket pengamatan, kumpulan lokasi ini harus menyertakan setidaknya satu lokasi bucket pengamatan yang didukung.
Kebijakan Deny dengan ID batasan constraints/gcp.restrictNonCmekServices. Kebijakan ini mewajibkan resource baru dienkripsi dengan CMEK.
Kebijakan dengan ID batasan constraints/gcp.restrictCmekCryptoKeyProjects. Kebijakan ini membatasi kunci Cloud Key Management Service yang digunakan untuk enkripsi.

Anda dapat membuat kebijakan organisasi yang berlaku di tingkat organisasi, folder, atau project. Untuk mengetahui informasi selengkapnya, lihat Membuat dan mengedit kebijakan.

Tentang setelan default untuk bucket kemampuan pengamatan

Google Cloud Observability menyediakan setelan default untuk bucket observability, yang diterapkan ke project, folder, atau organisasi. Setelan default ini bekerja sama dengan kebijakan organisasi Anda untuk memastikan bucket pengamatan baru berada di lokasi yang Anda inginkan dan menggunakan model enkripsi yang Anda tentukan.

Untuk organisasi, folder, dan project, setelan default untuk bucket kemampuan pengamatan memungkinkan Anda mengonfigurasi hal berikut:

Lokasi penyimpanan default.
Untuk setiap lokasi, kunci Cloud Key Management Service default.

Jika dikonfigurasi untuk project, setelan ini hanya berlaku untuk bucket kemampuan pengamatan baru yang dibuat dalam project tersebut. Jika dikonfigurasi untuk folder atau organisasi, setelan ini berlaku untuk bucket kemampuan pengamatan baru yang dibuat di project yang merupakan turunan dari folder atau organisasi, kecuali untuk project yang telah Anda konfigurasi setelan defaultnya.

Untuk mempelajari lebih lanjut, lihat Menetapkan default untuk bucket kemampuan observasi.

Cara kebijakan organisasi dan setelan default berinteraksi

Induk bucket pengamatan harus berupa project. Artinya, sistem tidak dapat membuat bucket kemampuan pengamatan di folder atau di organisasi. Namun, jika Anda mengonfigurasi setelan default untuk bucket kemampuan pengamatan bagi organisasi atau folder, setelan default tersebut akan berlaku untuk semua project yang merupakan turunan dari organisasi atau folder tersebut.

Tabel berikut mencantumkan aturan yang digunakan sistem untuk menentukan lokasi bucket kemampuan pengamatan baru:

Menggunakan kebijakan organisasi untuk membatasi lokasi	Project (atau ancestor) memiliki lokasi penyimpanan default	Cara sistem menentukan lokasi untuk bucket pengamatan baru
Tidak	Tidak	Sistem memilih lokasi dari lokasi yang didukung untuk bucket kemampuan pengamatan.
Ya	Tidak	Sistem memilih lokasi dari persimpangan lokasi yang diizinkan oleh kebijakan organisasi dan yang didukung oleh bucket kemampuan pengamatan. Jika persimpangan kosong, sistem tidak akan membuat bucket kemampuan pengamatan.
Tidak	Ya	Sistem menetapkan lokasi ke lokasi penyimpanan default yang ditentukan dalam setelan default project. Jika project tidak menentukan lokasi penyimpanan default, sistem akan menggunakan lokasi penyimpanan default yang ditentukan untuk ancestor.
Ya	Ya	Sistem menetapkan lokasi ke lokasi penyimpanan default yang ditentukan dalam setelan default project. Jika project tidak menentukan lokasi penyimpanan default, sistem akan menggunakan lokasi penyimpanan default dari project induk. Jika lokasi penyimpanan default tidak diizinkan oleh kebijakan organisasi, sistem tidak akan membuat bucket kemampuan pengamatan.

Tabel berikut mencantumkan aturan yang digunakan sistem untuk menentukan apakah bucket kemampuan observasi baru menggunakan CMEK, dan jika ya, nilai kunci Cloud KMS. Untuk mengenkripsi bucket observabilitas, kunci Cloud KMS harus berada di lokasi bucket dan diizinkan oleh kebijakan organisasi. Jika Anda tidak menentukan kebijakan organisasi dengan batasan gcp.restrictCmekCryptoKeyProjects, semua kunci akan diizinkan:

Menggunakan kebijakan organisasi untuk mewajibkan CMEK	Project (atau ancestor) memiliki kunci Cloud KMS default	Cara sistem menentukan kunci Cloud KMS yang akan digunakan.
Tidak	Tidak	Bucket pengamatan tidak menggunakan CMEK.
Ya	Tidak	Sistem tidak membuat bucket kemampuan pengamatan baru karena kebijakan organisasi memerlukan CMEK, tetapi kunci Cloud KMS default tidak ditentukan.
Tidak	Ya	Untuk mengidentifikasi kunci enkripsi, sistem terlebih dahulu menentukan apakah lokasi penyimpanan default ditetapkan untuk project atau untuk salah satu ancestor-nya. Jika tidak, sistem akan memilih lokasi dan membuat bucket kemampuan observasi. Bucket tidak menggunakan CMEK. Jika lokasi penyimpanan default ditemukan, sistem akan menelusuri setelan default project untuk menemukan kunci Cloud KMS default. Jika setelan default project tidak menentukan kunci yang sesuai, sistem akan menelusuri setelan default ancestor untuk menemukan kunci default yang berada di lokasi bucket baru. Salah satu hal berikut terjadi: Kunci tidak ditemukan: Bucket kemampuan pengamatan baru tidak menggunakan CMEK. Kunci ditemukan dan diizinkan: Sistem membuat bucket kemampuan pengamatan. Kunci ditemukan tetapi tidak diizinkan: Sistem tidak membuat bucket observabilitas baru.
Ya	Ya	Untuk mengidentifikasi kunci enkripsi, sistem terlebih dahulu menentukan apakah lokasi penyimpanan default ditetapkan untuk project atau untuk salah satu ancestor-nya. Jika lokasi penyimpanan default tidak ditetapkan, maka sistem tidak akan membuat bucket observabilitas baru Jika lokasi penyimpanan default ditemukan, sistem akan menelusuri setelan default project untuk menemukan kunci Cloud KMS default. Jika setelan default project tidak menentukan kunci yang sesuai, sistem akan menelusuri setelan default ancestor untuk menemukan kunci default yang berada di lokasi bucket baru. Salah satu hal berikut terjadi: Kunci tidak ditemukan: Bucket observabilitas baru tidak dibuat. Kunci ditemukan dan diizinkan: Sistem membuat bucket kemampuan pengamatan. Kunci ditemukan tetapi tidak diizinkan: Sistem tidak membuat bucket observabilitas baru.

Batasan

Saat sistem membuat bucket kemampuan pengamatan, model enkripsi ditetapkan ke enkripsi default Google atau enkripsi yang dikelola pelanggan. Setelah bucket ada, Anda tidak dapat mengubah model enkripsi.

Langkah berikutnya

Menetapkan default untuk bucket kemampuan pengamatan menjelaskan cara menetapkan lokasi penyimpanan default dan kunci Cloud KMS default untuk bucket kemampuan pengamatan Anda.
Mengonfigurasi setelan resource default untuk Cloud Logging dan Mengonfigurasi CMEK untuk Cloud Logging menjelaskan cara menetapkan lokasi penyimpanan default dan kunci Cloud KMS default untuk bucket log Anda.