Meskipun Google Cloud mengenkripsi data dalam penyimpanan secara default menggunakan Google-owned and Google-managed encryption keys, Anda dapat mengenkripsi data evaluasi Workload Manager menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). CMEK memungkinkan Anda mengelola rotasi, akses, dan tingkat perlindungan kunci untuk membantu Anda memenuhi persyaratan keamanan dan kepatuhan tertentu.
Dokumen ini menjelaskan cara mengonfigurasi CMEK saat Anda membuat atau memperbarui evaluasi jenis aturan kustom, dan saat Anda melihat hasil evaluasi Workload Manager.
Ringkasan
Secara default, Workload Manager mengenkripsi konten pelanggan dalam penyimpanan. Workload Manager menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut enkripsi default Google.
Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Workload Manager. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan , lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melihat log audit dan mengontrol siklus proses kunci. Bukan Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda. Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.
Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Workload Manager Anda akan serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).
Batasan
Batasan berikut berlaku untuk enkripsi CMEK di Workload Manager:
CMEK hanya tersedia untuk evaluasi jenis aturan kustom Workload Manager. Fitur Workload Manager lainnya seperti evaluasi atau deployment SAP menggunakan enkripsi default Google karena tidak ada konten pelanggan dalam penyimpanan.
Workload Manager hanya menerapkan kunci CMEK ke penyimpanan yang dimiliki oleh Workload Manager.
Sebelum memulai
Sebelum dapat menggunakan CMEK, Anda harus membuat kunci Cloud Key Management Service dan memberikan izin yang diperlukan.
Buat key ring dan kunci.
Pilih project, ikuti Panduan Cloud KMS untuk membuat kunci simetris untuk membuat key ring dan kunci. Lokasi key ring harus cocok dengan lokasi evaluasi.
Perhatikan bahwa Workload Manager mendukung Kunci Terkelola Eksternal. Untuk mengetahui informasi selengkapnya, lihat Cloud External Key Manager.
Berikan izin.
Untuk memberikan akses ke kunci Cloud KMS, berikan peran
roles/cloudkms.cryptoKeyEncrypterDecrypterke agen layanan Workload Manager. Agen layanan adalahservice-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com, dengan PROJECT_ID adalah ID project tempat evaluasi dibuat.
Cara kerja CMEK untuk evaluasi jenis aturan kustom
Bagian ini menjelaskan cara kerja CMEK untuk evaluasi jenis aturan kustom.
Penyediaan kunci KMS
Anda dapat memberikan kunci Cloud KMS selama proses pembuatan atau pembaruan evaluasi jenis aturan kustom. Penyediaan ini bersifat opsional. Jika tidak ada kunci Cloud KMS yang ditentukan, Workload Manager akan menggunakan enkripsi default Google.
Kunci Cloud KMS yang diberikan harus ada dan akun layanan Workload Manager harus diberi peran Pengenkripsi/Pendekripsi (roles/cloudkms.cryptoKeyEncrypterDecrypter) untuk menggunakan kunci Cloud KMS. Workload Manager memvalidasi kunci Cloud KMS selama pembuatan atau pembaruan evaluasi, dan menampilkan error.
Enkripsi data
Saat Anda menjalankan evaluasi dengan kunci Cloud KMS yang disediakan, Workload Manager akan menggunakan kunci Cloud KMS yang diberikan untuk mengenkripsi penyimpanan yang dimiliki oleh Workload Manager:
Bucket Cloud Storage sementara yang digunakan oleh operasi evaluasi. Bucket Cloud Storage sementara dibuat pada awal evaluasi dan dihapus pada akhir evaluasi.
Set data BigQuery tempat hasil evaluasi disimpan.
Workload Manager tidak menggunakan kunci ini untuk mengenkripsi data di bucket Cloud Storage tempat Anda menyimpan aturan kustom, atau set data BigQuery eksternal yang Anda gunakan untuk menyimpan hasil evaluasi.
Akses data
Workload Manager mengenkripsi hasil evaluasi dengan versi utama kunci Cloud KMS yang diberikan pada saat menjalankan evaluasi. Anda dapat mengakses dan melihat hasil evaluasi jika versi kunci Cloud KMS tertentu tetap diaktifkan.
Akses hasil evaluasi tidak terpengaruh oleh rotasi kunci KMS. Rotasi kunci membuat versi baru dan versi sebelumnya tetap ada.
Hasil evaluasi tidak dienkripsi ulang saat kunci dirotasi.
Mengonfigurasi CMEK untuk evaluasi jenis aturan kustom
Untuk menggunakan CMEK untuk evaluasi jenis aturan kustom, buat kunci di Cloud KMS terlebih dahulu, lalu berikan izin yang diperlukan ke kunci tersebut seperti yang dijelaskan di bagian Sebelum memulai. Setelah itu, Anda dapat menggunakan kunci untuk membuat atau memperbarui evaluasi, menjalankan evaluasi, dan melihat hasil evaluasi.
Membuat evaluasi dengan CMEK
Anda dapat membuat evaluasi jenis aturan kustom dengan CMEK dengan cara yang sama seperti yang dijelaskan di halaman pembuatan evaluasi. Anda dapat mengaktifkan CMEK setelah memilih region.
Pilih Kunci enkripsi yang dikelola pelanggan (CMEK) dalam daftar Enkripsi (Opsional).
Pilih kunci Cloud KMS.
Memperbarui evaluasi dengan CMEK
Anda dapat memperbarui evaluasi untuk menggunakan kunci CMEK.
Di halaman edit evaluasi, pilih Kunci enkripsi yang dikelola pelanggan (CMEK) dalam daftar Enkripsi (Opsional)
Pilih kunci Cloud KMS.
Melihat hasil evaluasi dengan CMEK
Anda dapat melihat hasil evaluasi dengan cara yang sama seperti yang dijelaskan di halaman melihat hasil evaluasi. Tidak ada pekerjaan tambahan yang diperlukan.
Kuota Cloud KMS dan Workload Manager
Saat Anda menggunakan CMEK di Workload Manager, project Anda dapat memakai kuota permintaan kriptografis Cloud KMS. Misalnya, evaluasi Workload Manager yang dienkripsi CMEK dapat memakai kuota ini. Operasi enkripsi dan dekripsi menggunakan kunci CMEK memengaruhi kuota Cloud KMS hanya jika Anda menggunakan kunci hardware (Cloud HSM) atau kunci eksternal (Cloud EKM). Untuk mengetahui informasi selengkapnya, lihat Kuota Cloud KMS.
Untuk kunci eksternal, kuota default adalah 100 QPS per project kunci untuk operasi kriptografis. Anda dapat meminta kuota EKM yang lebih tinggi jika diperlukan.
Langkah berikutnya
- Pelajari CMEK lebih lanjut di Google Cloud.
- Pelajari cara menggunakan CMEK dengan Google Cloud produk lain.