Sebagian atau seluruh informasi di halaman ini mungkin tidak berlaku untuk Cloud de Confiance dari S3NS. Lihat Perbedaan dengan Google Cloud untuk mengetahui detail selengkapnya.

Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)

Dokumen ini memberikan ringkasan penggunaan Cloud Key Management Service (Cloud KMS) untuk kunci enkripsi yang dikelola pelanggan (CMEK). Dengan menggunakan CMEK Cloud KMS, Anda akan memiliki kepemilikan dan kontrol atas kunci yang melindungi data Anda dalam penyimpanan di Cloud de Confiance by S3NS.

Perbandingan CMEK dan Google Cloud-powered encryption keys

Kunci Cloud KMS yang Anda buat adalah kunci yang dikelola pelanggan. Cloud de Confiance Layanan yang menggunakan kunci Anda dikatakan memiliki integrasi CMEK. Faktor-faktor berikut membedakan enkripsi dalam penyimpanan default Cloud de Confiancedari kunci yang dikelola pelanggan:

Jenis kunci	Dikelola pelanggan	Google Cloud-powered encryption key (Enkripsi default Google)
Dapat melihat metadata utama	Ya	Tidak
Kepemilikan kunci¹	Pelanggan	Google
Dapat mengelola² dan mengontrol kunci³	Pelanggan, hanya kontrol manual	Google
Mendukung persyaratan peraturan untuk kunci yang dikelola pelanggan	Ya	Tidak
Berbagi kunci	Unik untuk pelanggan	Data dari beberapa pelanggan biasanya dilindungi oleh kunci enkripsi kunci (KEK) bersama.
Kontrol rotasi kunci	Ya	Tidak
Kebijakan organisasi CMEK	Ya	Tidak
Mencatat akses administratif dan data ke kunci enkripsi	Ya	Tidak
Pemisahan data logis melalui enkripsi	Ya	Tidak
Harga	Bervariasi menurut tingkat perlindungan	Gratis

¹ Pemilik kunci menunjukkan siapa yang memegang hak atas kunci tersebut. Kunci yang Anda miliki memiliki akses yang sangat terbatas atau tidak ada akses oleh Google.

Pengelolaan kunci ² mencakup tugas-tugas berikut:

Buat kunci.
Pilih tingkat perlindungan kunci.
Menetapkan otoritas untuk pengelolaan kunci.
Mengontrol akses ke kunci.
Mengontrol penggunaan kunci.
Menetapkan dan mengubah periode rotasi kunci, atau memicu rotasi kunci.
Ubah status kunci.
Hancurkan versi kunci.

³ Kontrol kunci berarti menetapkan kontrol pada jenis kunci dan cara penggunaan kunci, mendeteksi variasi, dan merencanakan tindakan korektif jika diperlukan. Anda dapat mengontrol kunci Anda, tetapi mendelegasikan pengelolaan kunci kepada pihak ketiga.

Enkripsi default dengan Google Cloud-powered encryption keys

Semua data yang disimpan dalam Cloud de Confiance dienkripsi dalam penyimpanan menggunakan sistem pengelolaan kunci yang telah melalui proses hardening yang sama dengan yang digunakan Cloud de Confiance untuk data terenkripsi milik kami. Sistem pengelolaan kunci ini memberikan kontrol akses kunci dan audit yang ketat, serta mengenkripsi data pengguna dalam penyimpanan menggunakan standar enkripsi AES-256. Cloud de Confiance memiliki dan mengontrol kunci yang digunakan untuk mengenkripsi data Anda. Anda tidak dapat melihat atau mengelola kunci ini atau meninjau log penggunaan kunci. Data dari beberapa pelanggan mungkin menggunakan kunci enkripsi kunci (KEK) yang sama. Tidak diperlukan penyiapan, konfigurasi, atau pengelolaan.

Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK)

Kunci enkripsi yang dikelola pelanggan adalah kunci enkripsi yang Anda miliki. Kemampuan ini memungkinkan Anda memiliki kontrol yang lebih besar atas kunci yang digunakan untuk mengenkripsi data dalam penyimpanan di layanan yang didukung, dan menyediakan batas kriptografis di sekitar data Anda. Cloud de Confiance

Layanan yang mendukung CMEK memiliki integrasi CMEK. Integrasi CMEK adalah teknologi enkripsi sisi server yang dapat Anda gunakan sebagai pengganti enkripsi defaultCloud de Confiance. Setelah CMEK disiapkan, operasi untuk mengenkripsi dan mendekripsi resource ditangani oleh agen layanan resource. Karena layanan yang terintegrasi dengan CMEK menangani akses ke resource terenkripsi, enkripsi dan dekripsi dapat dilakukan secara transparan, tanpa upaya pengguna akhir. Pengalaman mengakses resource serupa dengan menggunakan enkripsi default Cloud de Confiance. Untuk mengetahui informasi selengkapnya tentang integrasi CMEK, lihat Layanan yang terintegrasi dengan CMEK.

Anda dapat menggunakan versi kunci tanpa batas untuk setiap kunci.

Untuk mempelajari apakah suatu layanan mendukung CMEK, lihat daftar layanan yang didukung.

Penggunaan Cloud KMS menimbulkan biaya yang terkait dengan jumlah versi kunci dan operasi kriptografis dengan versi kunci tersebut.

Kapan harus menggunakan kunci enkripsi yang dikelola pelanggan

Anda dapat menggunakan CMEK di layanan yang kompatibel untuk membantu Anda mencapai tujuan berikut:

Miliki kunci enkripsi Anda sendiri.
Kontrol dan kelola kunci enkripsi Anda, termasuk pilihan lokasi, tingkat perlindungan, pembuatan, kontrol akses, rotasi, penggunaan, dan penghancuran.
Buat materi kunci di Cloud KMS atau impor materi kunci yang dikelola di luar Cloud de Confiance.
Tetapkan kebijakan terkait tempat kunci Anda harus digunakan.
Menghapus data yang dilindungi oleh kunci Anda secara selektif dalam kasus penghentian penggunaan atau untuk memulihkan peristiwa keamanan (penghancuran kriptografi).
Buat dan gunakan kunci yang unik untuk pelanggan, dengan membuat batas kriptografi di sekitar data Anda.
Mencatat log akses administratif dan data ke kunci enkripsi.
Memenuhi peraturan saat ini atau mendatang yang mewajibkan salah satu sasaran ini.

Yang disediakan oleh layanan terintegrasi CMEK

Seperti enkripsi default Like Cloud de Confiance, CMEK adalah enkripsi sisi server, simetris, dan amplop data pelanggan. Perbedaannya dengan enkripsi default Cloud de Confiance's adalah bahwa perlindungan CMEK menggunakan kunci yang dikontrol pelanggan.

Layanan cloud yang memiliki integrasi CMEK menggunakan kunci yang Anda buat di Cloud KMS untuk melindungi resource Anda.
Layanan yang terintegrasi dengan Cloud KMS menggunakan enkripsi simetris.
Anda memilih tingkat perlindungan kunci.
Semua kunci adalah AES-GCM 256-bit.
Materi kunci tidak pernah keluar dari batas sistem Cloud KMS.
Kunci simetris Anda digunakan untuk mengenkripsi dan mendekripsi dalam model enkripsi amplop.

Layanan yang terintegrasi dengan CMEK menangani akses resource

Principal yang membuat atau melihat resource di layanan yang terintegrasi dengan CMEK tidak memerlukan Pengenkripsi/Pendekripsi CryptoKey Cloud KMS (roles/cloudkms.cryptoKeyEncrypterDecrypter) untuk CMEK yang digunakan untuk melindungi resource.

Setiap resource project memiliki akun layanan khusus yang disebut agen layanan yang melakukan enkripsi dan dekripsi dengan kunci yang dikelola pelanggan. Setelah Anda memberikan akses agen layanan ke CMEK, agen layanan tersebut akan menggunakan kunci tersebut untuk melindungi resource pilihan Anda.

Saat pemohon ingin mengakses resource yang dienkripsi dengan kunci yang dikelola pelanggan, agen layanan akan otomatis mencoba mendekripsi resource yang diminta. Jika agen layanan memiliki izin untuk mendekripsi menggunakan kunci tersebut, dan Anda belum menonaktifkan atau menghancurkan kunci tersebut, agen layanan akan menyediakan penggunaan kunci untuk mengenkripsi dan mendekripsi. Jika tidak, permintaan akan gagal.

Tidak diperlukan akses pemohon tambahan, dan karena agen layanan menangani enkripsi dan dekripsi di latar belakang, pengalaman pengguna untuk mengakses resource serupa dengan menggunakan enkripsi default Cloud de Confiance.

Merencanakan dan membuat CMEK

Saat menggunakan CMEK, Anda harus merencanakan dan membuat key ring, kunci, dan lokasi resource sebelum dapat membuat resource yang dilindungi. Kemudian, Anda dapat menggunakan kunci untuk melindungi resource.

Untuk mengetahui langkah-langkah persisnya dalam mengaktifkan CMEK, lihat dokumentasi untuk layanan Cloud de Confiance yang relevan. Beberapa layanan, seperti GKE, memiliki beberapa integrasi CMEK untuk melindungi berbagai jenis data yang terkait dengan layanan tersebut. Anda dapat mengikuti langkah-langkah yang serupa dengan berikut ini:

Buat key ring Cloud KMS atau pilih key ring yang sudah ada. Saat membuat key ring, pilih lokasi yang secara geografis dekat dengan resource yang Anda lindungi. Key ring dapat berada di project yang sama dengan resource yang Anda lindungi atau di project yang berbeda. Menggunakan project yang berbeda memberi Anda kontrol yang lebih besar atas peran IAM dan membantu mendukung pemisahan tugas.
Anda membuat atau mengimpor kunci Cloud KMS di key ring yang dipilih. Kunci ini adalah CMEK.
Anda memberikan peran IAM Pengenkripsi/Pendekripsi CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) di CMEK kepada akun layanan untuk layanan tersebut.
Saat membuat resource, konfigurasi resource untuk menggunakan CMEK. Misalnya, Anda dapat mengonfigurasi tabel BigQuery untuk melindungi data saat istirahat di tabel.

Agar pemohon mendapatkan akses ke data, mereka tidak memerlukan akses langsung ke CMEK.

Selama agen layanan memiliki peran CryptoKey Encrypter/Decrypter, layanan dapat mengenkripsi dan mendekripsi datanya. Jika Anda mencabut peran ini, atau jika Anda menonaktifkan atau menghancurkan CMEK, data tersebut tidak dapat diakses.

Kepatuhan CMEK

Beberapa layanan memiliki integrasi CMEK, dan memungkinkan Anda mengelola kunci sendiri. Beberapa layanan menawarkan kepatuhan CMEK, yang berarti data sementara dan kunci sementara tidak pernah ditulis ke disk. Untuk mengetahui daftar lengkap layanan yang terintegrasi dan sesuai, lihat Layanan yang kompatibel dengan CMEK.

Kebijakan organisasi CMEK

Cloud de Confiance menawarkan batasan kebijakan organisasi untuk membantu memastikan penggunaan CMEK yang konsisten di seluruh resource organisasi. Batasan ini memberikan kontrol kepada Administrator Organisasi untuk mewajibkan penggunaan CMEK dan untuk menentukan batasan dan kontrol pada kunci Cloud KMS yang digunakan untuk perlindungan CMEK, termasuk:

Batasan pada kunci Cloud KMS yang digunakan untuk perlindungan CMEK
Batasan pada tingkat perlindungan kunci yang diizinkan
Batasan pada lokasi CMEK
Kontrol untuk penghancuran versi kunci

Langkah berikutnya

Lihat daftar layanan dengan integrasi CMEK.
Lihat daftar layanan yang kompatibel dengan CMEK.
Lihat daftar layanan yang didukung oleh Autokey.