Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)

Secara default, Workbench Platform Agen Gemini Enterprise mengenkripsi konten pelanggan dalam penyimpanan. Workbench Platform Agen menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut Enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Agent Platform Workbench. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melacak penggunaan kunci, melihat log audit, dan mengontrol siklus proses kunci. Bukan Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda. Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Agent Platform Workbench Anda akan serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Halaman ini menjelaskan beberapa manfaat dan batasan khusus penggunaan CMEK dengan Gemini Enterprise Agent Platform Workbench dan menunjukkan cara mengonfigurasi instance Agent Platform Workbench baru untuk menggunakan CMEK.

Untuk mengetahui informasi selengkapnya tentang cara menggunakan CMEK untuk Platform Agen Gemini Enterprise, lihat halaman CMEK Platform Agen.

Manfaat CMEK

Secara umum, CMEK paling berguna saat Anda memerlukan kontrol penuh atas kunci yang digunakan untuk mengenkripsi data Anda. Dengan CMEK, Anda dapat mengelola kunci dalam Cloud Key Management Service. Misalnya, Anda dapat merotasi atau menonaktifkan kunci atau menyiapkan jadwal rotasi menggunakan Cloud KMS API.

Saat Anda menjalankan instance Agent Platform Workbench, instance Anda akan berjalan di mesin virtual (VM) yang dikelola oleh Gemini Enterprise Agent Platform Workbench. Saat Anda mengaktifkan CMEK untuk instance Agent Platform Workbench, Agent Platform Workbench akan menggunakan kunci yang Anda tetapkan, bukan kunci yang dikelola oleh Google, untuk mengenkripsi data pada boot disk VM.

Kunci CMEK tidak mengenkripsi metadata, seperti nama dan region instance, yang terkait dengan instance Agent Platform Workbench Anda. Metadata yang terkait dengan instance Agent Platform Workbench selalu dienkripsi menggunakan mekanisme enkripsi default Google.

Batasan CMEK

Untuk mengurangi latensi dan mencegah kasus di mana resource bergantung pada layanan yang tersebar di beberapa domain gagal, Google menyarankan agar Anda melindungi instance Agent Platform Workbench regional dengan kunci yang berada di lokasi yang sama.

Anda dapat mengenkripsi instance Agent Platform Workbench regional menggunakan kunci yang berada di lokasi yang sama atau di lokasi global. Misalnya, Anda dapat mengenkripsi data dalam disk di zona us-west1-a menggunakan kunci yang berada di us-west1 atau global.
Anda dapat mengenkripsi instance global menggunakan kunci yang berada di lokasi mana pun.
Mengonfigurasi CMEK untuk Agent Platform Workbench tidak secara otomatis mengonfigurasi CMEK untuk produk Google Cloud lain yang Anda gunakan. Agar dapat menggunakan CMEK untuk mengenkripsi data di produk Google Cloud lainnya, Anda harus menyelesaikan konfigurasi tambahan.

Mengonfigurasi CMEK untuk instance Agent Platform Workbench

Bagian berikut menjelaskan cara membuat key ring dan kunci di Cloud Key Management Service, memberikan izin bagi pengenkripsi dan pendekripsi akun layanan untuk kunci Anda, serta membuat instance Agent Platform Workbench yang menggunakan CMEK.

Sebelum memulai

Sebaiknya gunakan penyiapan yang mendukung pemisahan tugas. Guna mengonfigurasi CMEK untuk Agent Platform Workbench, Anda dapat menggunakan dua project Google Cloud yang terpisah:

Project Cloud KMS: project untuk mengelola kunci enkripsi Anda
Project Agent Platform Workbench: project untuk mengakses instance Agent Platform Workbench dan berinteraksi dengan produk lain yang Anda perlukan untuk kasus penggunaan Anda Google Cloud

Atau, Anda dapat menggunakan satu project Google Cloud . Untuk melakukannya, gunakan project yang sama untuk semua tugas berikut.

Menyiapkan project Cloud KMS

Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Cloud KMS API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Cloud KMS API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Menyiapkan project Workbench Platform Agen

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Notebooks API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Notebooks API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Menyiapkan Google Cloud CLI

gcloud CLI diperlukan untuk beberapa langkah di halaman ini, dan bersifat opsional untuk langkah lainnya.

Instal Google Cloud CLI. Setelah penginstalan, inisialisasi Google Cloud CLI dengan menjalankan perintah berikut:

gcloud init

Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

Membuat key ring dan kunci

Saat Anda membuat key ring dan kunci, perhatikan persyaratan berikut:

Saat Anda memilih lokasi key ring, gunakan global atau lokasi tempat instance Agent Platform Workbench Anda berada.
Pastikan untuk membuat key ring dan kunci di project Cloud KMS Anda.

Untuk membuat key ring dan kunci, lihat Membuat kunci enkripsi simetris.

Memberikan izin Workbench Platform Agen

Agar dapat menggunakan CMEK untuk instance Agent Platform Workbench, Anda harus memberikan izin kepada instance Agent Platform Workbench untuk mengenkripsi dan mendekripsi data menggunakan kunci Anda. Anda memberikan izin ini kepada agen layanan project dan akun layanan Compute Engine.

Untuk menemukan akun tertentu untuk project Agent Platform Workbench Anda, gunakan konsol Google Cloud .

Di konsol Google Cloud , buka halaman IAM

Buka IAM
Pilih Sertakan pemberian peran yang disediakan Google.
Temukan anggota yang cocok dengan format alamat email berikut. Catat alamat email tersebut, dan gunakan di langkah-langkah berikut.
- Alamat email agen layanan project Anda akan terlihat seperti berikut:
```
service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com
```
- Alamat email akun layanan Compute Engine akan terlihat seperti berikut:
```
service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
```
Ganti NOTEBOOKS_PROJECT_NUMBER dengan nomor project untuk project Agent Platform Workbench Anda.

Untuk memberikan izin kepada akun ini untuk mengenkripsi dan mendekripsi data menggunakan kunci Anda, Anda dapat menggunakan konsol Google Cloud atau gcloud CLI.
Konsol
1. Di konsol Google Cloud , buka halaman Key management.
  
  Buka Pengelolaan kunci
2. Pilih project Cloud KMS Anda.
3. Klik nama key ring yang Anda buat di Membuat key ring dan kunci. Halaman Detail key ring akan terbuka.
4. Centang kotak untuk kunci yang Anda buat di Membuat key ring dan kunci. Jika panel info yang dilabeli dengan nama kunci Anda belum terbuka, klik Tampilkan panel info.
5. Di panel info, klik Tambah anggota. Dialog Tambah anggota ke "KEY_NAME" akan terbuka. Dalam dialog ini, lakukan hal berikut:
  
  Di kolom Anggota baru, masukkan alamat email agen layanan project Anda:
  
  service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com
  
  Di daftar Pilih peran, klik Cloud KMS, lalu pilih peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS.
  
  Klik Simpan.
6. Ulangi langkah-langkah ini untuk agen layanan Compute Engine:
  
  service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
gcloud
1. Untuk memberikan izin kepada agen layanan project Anda guna mengenkripsi dan mendekripsi data menggunakan kunci Anda, jalankan perintah berikut:
  
  gcloud kms keys add-iam-policy-binding KEY_NAME \ --keyring=KEY_RING_NAME \ --location=REGION \ --project=KMS_PROJECT_ID \ --member=serviceAccount:service-NOTEBOOKS_PROJECT_NUMBER@gcp-sa-notebooks.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
  
  Ganti kode berikut:
  
  KEY_NAME: nama kunci yang Anda buat di Membuat key ring dan kunci
  
  KEY_RING_NAME: key ring yang Anda buat di Membuat key ring dan kunci
  
  REGION: region tempat Anda membuat key ring
  
  KMS_PROJECT_ID: ID project Cloud KMS Anda
  
  NOTEBOOKS_PROJECT_NUMBER: nomor project dari project Agent Platform Workbench Anda, yang telah Anda catat di bagian sebelumnya sebagai bagian dari alamat email akun layanan.
2. Untuk memberikan izin kepada akun layanan Compute Engine guna mengenkripsi dan mendekripsi data menggunakan kunci Anda, jalankan perintah berikut:
  
  gcloud kms keys add-iam-policy-binding KEY_NAME \ --keyring=KEY_RING_NAME \ --location=REGION \ --project=KMS_PROJECT_ID \ --member=serviceAccount:service-NOTEBOOKS_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Membuat instance Agent Platform Workbench dengan CMEK

Setelah memberikan izin kepada instance Agent Platform Workbench untuk mengenkripsi dan mendekripsi data menggunakan kunci, Anda dapat membuat instance Agent Platform Workbench yang mengenkripsi data menggunakan kunci ini.

Contoh berikut menunjukkan cara mengenkripsi dan mendekripsi data menggunakan kunci Anda melalui konsol Google Cloud .

Untuk membuat instance Agent Platform Workbench dengan kunci enkripsi yang dikelola pelanggan, Anda dapat menggunakan konsol Google Cloud atau gcloud CLI:

Konsol

Di konsol Google Cloud , buka halaman Instances.

Buka Instances
Klik Buat baru.
Dalam dialog Instance baru, klik Opsi lanjutan.
Pada dialog Buat instance, di bagian Detail, berikan informasi berikut untuk instance baru Anda:
- Nama: nama untuk instance baru Anda
- Region: region tempat kunci dan key ring Anda berada
- Zona: zona dalam region yang Anda pilih
Di bagian Disk, di Enkripsi, pilih Kunci enkripsi yang dikelola pelanggan (CMEK).
Klik Pilih kunci yang dikelola pelanggan.
- Jika kunci yang dikelola pelanggan yang ingin Anda gunakan ada dalam daftar, pilih kunci tersebut.
- Jika kunci yang dikelola pelanggan yang ingin Anda gunakan tidak ada dalam daftar, masukkan ID resource untuk kunci yang dikelola pelanggan. ID resource untuk kunci yang dikelola pelanggan akan terlihat seperti berikut:
```
projects/NOTEBOOKS_PROJECT_NUMBER/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
```
  Ganti kode berikut:
  - NOTEBOOKS_PROJECT_NUMBER: ID project Agent Platform Workbench Anda
  - REGION: region tempat Anda membuat key ring dan tempat Anda berencana membuat instance Agent Platform Workbench
  - KEY_RING_NAME: key ring yang Anda buat di Membuat key ring dan kunci
  - KEY_NAME: nama kunci yang Anda buat di Membuat key ring dan kunci
Selesaikan dialog pembuatan instance selanjutnya, lalu klik Buat.

gcloud

Untuk menggunakan gcloud CLI guna membuat instance Agent Platform Workbench dengan kunci enkripsi yang dikelola pelanggan, jalankan perintah berikut. Contoh ini mengasumsikan bahwa Anda ingin membuat instance Agent Platform Workbench dengan jenis mesin n1-standard-1 dan persistent boot disk standar sebesar 100 GB.

gcloud notebooks instances create notebook-vm-cmek \
    --location=REGION \
    --vm-image-family=IMAGE_FAMILY \
    --vm-image-project=cloud-notebooks-managed \
    --machine-type="n1-standard-1" \
    --boot-disk-type="PD_STANDARD" \
    --boot-disk-size=100 \
    --kms-key=KEY_NAME \
    --kms-project=KMS_PROJECT_ID \
    --kms-location=REGION \
    --kms-keyring=KEY_RING_NAME \
    --disk-encryption=CMEK \
    --metadata='proxy-mode=project_editors'

Ganti kode berikut:

REGION: region tempat Anda membuat key ring dan tempat Anda berencana untuk membuat instance Agent Platform Workbench
IMAGE_FAMILY: keluarga image yang ingin Anda gunakan untuk membuat instance Agent Platform Workbench
KEY_NAME: nama kunci yang Anda buat di Membuat key ring dan kunci
KMS_PROJECT_ID: ID project Cloud KMS Anda
KEY_RING_NAME: key ring yang Anda buat di Membuat key ring dan kunci

Langkah berikutnya

Pelajari lebih lanjut CMEK di Google Cloud.
Pelajari cara menggunakan CMEK dengan produk Google Cloud lainnya.