Beberapa atau semua informasi di halaman ini mungkin tidak berlaku untuk Trusted Cloud oleh S3NS.

Halaman ini diterjemahkan oleh Cloud Translation API.

Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)

Dokumen ini memberikan ringkasan tentang penggunaan Cloud Key Management Service (Cloud KMS) untuk kunci enkripsi yang dikelola pelanggan (CMEK). Menggunakan CMEK Cloud KMS memberi Anda kepemilikan dan kontrol atas kunci yang melindungi data dalam penyimpanan di Trusted Cloud by S3NS.

Perbandingan CMEK dan Google Cloud-powered encryption keys

Kunci Cloud KMS yang Anda buat adalah kunci yang dikelola pelanggan. LayananTrusted Cloud yang menggunakan kunci Anda dikatakan memiliki integrasi CMEK. Faktor berikut membedakan enkripsi default dalam penyimpanan Trusted Clouddari kunci yang dikelola pelanggan:

Jenis kunci	Dikelola pelanggan	Google Cloud-powered encryption key (Enkripsi default Google)
Dapat melihat metadata kunci	Ya	Tidak
Kepemilikan kunci¹	Pelanggan	Google
Dapat mengelola² dan mengontrol³ kunci	Pelanggan, hanya kontrol manual	Google
Mendukung persyaratan peraturan untuk kunci yang dikelola pelanggan	Ya	Tidak
Berbagi kunci	Unik untuk pelanggan	Data dari beberapa pelanggan biasanya dilindungi oleh kunci enkripsi kunci (KEK) bersama.
Kontrol rotasi kunci	Ya	Tidak
Kebijakan organisasi CMEK	Ya	Tidak
Mencatat akses administratif dan data ke kunci enkripsi	Ya	Tidak
Pemisahan data logis melalui enkripsi	Ya	Tidak
Harga	Bervariasi menurut tingkat perlindungan	Gratis

¹ Pemilik kunci menunjukkan siapa yang memegang hak atas kunci tersebut. Kunci yang Anda miliki memiliki akses yang sangat dibatasi atau tidak ada akses oleh Google.

² Pengelolaan kunci mencakup tugas berikut:

Membuat kunci.
Pilih tingkat perlindungan kunci.
Tetapkan otoritas untuk pengelolaan kunci.
Mengontrol akses ke kunci.
Mengontrol penggunaan kunci.
Menetapkan dan mengubah periode rotasi kunci, atau memicu rotasi kunci.
Mengubah status kunci.
Menghancurkan versi kunci.

³ Kontrol kunci berarti menetapkan kontrol pada jenis kunci dan cara kunci digunakan, mendeteksi varian, dan merencanakan tindakan korektif jika diperlukan. Anda dapat mengontrol kunci, tetapi mendelegasikan pengelolaan kunci kepada pihak ketiga.

Enkripsi default dengan Google Cloud-powered encryption keys

Semua data yang disimpan dalam Trusted Cloud dienkripsi dalam penyimpanan menggunakan sistem pengelolaan kunci hasil hardening yang sama dengan yang digunakan Trusted Cloud untuk data terenkripsi kami sendiri. Sistem pengelolaan kunci ini memberikan kontrol dan audit akses kunci yang ketat, serta mengenkripsi data pengguna dalam penyimpanan menggunakan standar enkripsi AES-256. Trusted Cloud memiliki dan mengontrol kunci yang digunakan untuk mengenkripsi data Anda. Anda tidak dapat melihat atau mengelola kunci ini atau meninjau log penggunaan kunci. Data dari beberapa pelanggan mungkin menggunakan kunci enkripsi kunci (KEK) yang sama. Tidak diperlukan penyiapan, konfigurasi, atau pengelolaan.

Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)

Kunci enkripsi yang dikelola pelanggan adalah kunci enkripsi yang Anda miliki. Kemampuan ini memungkinkan Anda memiliki kontrol yang lebih besar atas kunci yang digunakan untuk mengenkripsi data dalam penyimpanan dalam layanan Trusted Cloud yang didukung, dan memberikan batas kriptografis di sekitar data Anda.

Layanan yang mendukung CMEK memiliki integrasi CMEK. Integrasi CMEK adalah teknologi enkripsi sisi server yang dapat Anda gunakan sebagai pengganti enkripsi defaultTrusted Cloud. Setelah CMEK disiapkan, operasi untuk mengenkripsi dan mendekripsi resource ditangani oleh agen layanan resource. Karena layanan terintegrasi CMEK menangani akses ke resource terenkripsi, enkripsi dan dekripsi dapat dilakukan secara transparan, tanpa upaya pengguna akhir. Pengalaman mengakses resource mirip dengan menggunakan enkripsi default Trusted Cloud. Untuk informasi selengkapnya tentang integrasi CMEK, lihat Fitur yang disediakan layanan yang terintegrasi dengan CMEK.

Anda dapat menggunakan versi kunci yang tidak terbatas untuk setiap kunci.

Untuk mempelajari apakah layanan mendukung CMEK, lihat daftar layanan yang didukung.

Penggunaan Cloud KMS akan menimbulkan biaya yang terkait dengan jumlah versi kunci dan operasi kriptografis dengan versi kunci tersebut.

Kapan harus menggunakan kunci enkripsi yang dikelola pelanggan

Anda dapat menggunakan CMEK di layanan yang kompatibel untuk membantu Anda mencapai sasaran berikut:

Memiliki kunci enkripsi Anda sendiri.
Mengontrol dan mengelola kunci enkripsi Anda, termasuk pilihan lokasi, tingkat perlindungan, pembuatan, kontrol akses, rotasi, penggunaan, dan pemusnahan.
Buat materi kunci di Cloud KMS atau impor materi kunci yang dikelola di luar Trusted Cloud.
Tetapkan kebijakan terkait tempat kunci Anda harus digunakan.
Menghapus data yang dilindungi oleh kunci Anda secara selektif jika terjadi penghentian layanan atau untuk memperbaiki peristiwa keamanan (crypto-shredding).
Buat dan gunakan kunci yang unik untuk pelanggan, yang menetapkan batas kriptografis di sekitar data Anda.
Mencatat log akses data dan administratif ke kunci enkripsi.
Memenuhi peraturan saat ini atau mendatang yang mewajibkan salah satu sasaran ini.

Yang disediakan layanan terintegrasi CMEK

Seperti enkripsi default Trusted Cloud, CMEK adalah enkripsi amplop sisi server yang simetris untuk data pelanggan. Perbedaannya dengan enkripsi default Trusted Cloudadalah perlindungan CMEK menggunakan kunci yang dikontrol pelanggan.

Layanan cloud yang memiliki integrasi CMEK menggunakan kunci yang Anda buat di Cloud KMS untuk melindungi resource Anda.
Layanan yang terintegrasi dengan Cloud KMS menggunakan enkripsi simetris.
Anda memilih tingkat perlindungan kunci.
Semua kunci adalah AES-GCM 256-bit.
Materi kunci tidak pernah keluar dari batas sistem Cloud KMS.
Kunci simetris Anda digunakan untuk mengenkripsi dan mendekripsi dalam model enkripsi envelop.

Layanan terintegrasi CMEK menangani akses resource

Akun utama yang membuat atau melihat resource dalam layanan terintegrasi CMEK tidak memerlukan Pengenkripsi/Pendekripsi CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) untuk CMEK yang digunakan untuk melindungi resource.

Setiap resource project memiliki akun layanan khusus yang disebut agen layanan yang melakukan enkripsi dan dekripsi dengan kunci yang dikelola pelanggan. Setelah Anda memberikan akses kepada agen layanan ke CMEK, agen layanan tersebut akan menggunakan kunci tersebut untuk melindungi resource pilihan Anda.

Saat pemohon ingin mengakses resource yang dienkripsi dengan kunci yang dikelola pelanggan, agen layanan akan otomatis mencoba mendekripsi resource yang diminta. Jika agen layanan memiliki izin untuk mendekripsi menggunakan kunci, dan Anda belum menonaktifkan atau menghancurkan kunci, agen layanan akan menyediakan penggunaan enkripsi dan dekripsi kunci. Jika tidak, permintaan akan gagal.

Tidak diperlukan akses pemohon tambahan, dan karena agen layanan menangani enkripsi dan dekripsi di latar belakang, pengalaman pengguna untuk mengakses resource mirip dengan menggunakan enkripsi default Trusted Cloud.

Merencanakan dan membuat CMEK

Saat menggunakan CMEK, Anda harus merencanakan dan membuat key ring, kunci, dan lokasi resource sebelum dapat membuat resource yang dilindungi. Anda kemudian dapat menggunakan kunci untuk melindungi resource.

Untuk mengetahui langkah-langkah yang tepat guna mengaktifkan CMEK, lihat dokumentasi untuk layanan Trusted Cloud yang relevan. Beberapa layanan, seperti GKE, memiliki beberapa integrasi CMEK untuk melindungi berbagai jenis data yang terkait dengan layanan. Anda dapat mengikuti langkah-langkah yang mirip dengan berikut ini:

Buat key ring Cloud KMS atau pilih key ring yang ada. Saat membuat key ring, pilih lokasi yang secara geografis dekat dengan resource yang Anda lindungi. Key ring dapat berada dalam project yang sama dengan resource yang Anda lindungi atau dalam project yang berbeda. Menggunakan project yang berbeda akan memberi Anda kontrol yang lebih besar atas peran IAM dan membantu mendukung pemisahan tugas.
Anda membuat atau mengimpor kunci Cloud KMS di key ring yang dipilih. Kunci ini adalah CMEK.
Anda memberikan peran IAM Pengenkripsi/Pendekripsi CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) di CMEK ke akun layanan untuk layanan tersebut.
Saat membuat resource, konfigurasikan resource untuk menggunakan CMEK. Misalnya, Anda dapat mengonfigurasi tabel BigQuery untuk melindungi data dalam istirahat di tabel.

Agar dapat memperoleh akses ke data, pemohon tidak memerlukan akses langsung ke CMEK.

Selama agen layanan memiliki peran CryptoKey Encrypter/Decrypter, layanan dapat mengenkripsi dan mendekripsi datanya. Jika Anda mencabut peran ini, atau jika Anda menonaktifkan atau menghancurkan CMEK, data tersebut tidak dapat diakses.

Kepatuhan CMEK

Beberapa layanan memiliki integrasi CMEK, dan memungkinkan Anda mengelola kunci sendiri. Beberapa layanan menawarkan kepatuhan CMEK, yang berarti data sementara dan kunci sementara tidak pernah ditulis ke disk. Untuk mengetahui daftar lengkap layanan terintegrasi dan yang mematuhi, lihat layanan yang kompatibel dengan CMEK.

Kebijakan organisasi CMEK

Trusted Cloud menawarkan batasan kebijakan organisasi untuk membantu memastikan penggunaan CMEK yang konsisten di seluruh resource organisasi. Batasan ini memberikan kontrol kepada Admin Organisasi untuk mewajibkan penggunaan CMEK dan menentukan batasan serta kontrol pada kunci Cloud KMS yang digunakan untuk perlindungan CMEK, termasuk hal berikut:

Batasan pada kunci Cloud KMS yang digunakan untuk perlindungan CMEK
Batasan pada tingkat perlindungan kunci yang diizinkan
Batasan pada lokasi CMEK
Kontrol untuk pemusnahan versi kunci

Langkah selanjutnya

Lihat daftar layanan dengan integrasi CMEK.
Lihat daftar layanan yang mematuhi CMEK.
Lihat daftar layanan yang didukung oleh Autokey.