Sebagian atau seluruh informasi di halaman ini mungkin tidak berlaku untuk Cloud de Confiance dari S3NS. Lihat Perbedaan dengan Google Cloud untuk mengetahui detail selengkapnya.

Membuat kunci enkripsi dengan Cloud KMS

Panduan memulai ini menunjukkan cara membuat dan menggunakan kunci enkripsi dengan Cloud Key Management Service di project yang Anda miliki. Petunjuk ini menggunakan konsolCloud de Confiance untuk membuat key ring, kunci, dan versi kunci di Cloud KMS. Untuk petunjuk yang menggunakan metode lain, lihat Ringkasan Autokey, Membuat ring kunci, dan Membuat kunci.

Panduan memulai ini menggunakan command line untuk mengirim permintaan ke Cloud KMS API. Untuk contoh pemrograman yang menggunakan library klien untuk mengirim permintaan ke Cloud KMS API, lihat Mengenkripsi dan Mendekripsi.

Sebelum memulai

Instal Google Cloud CLI.
Konfigurasi gcloud CLI agar menggunakan identitas gabungan Anda.

Untuk mengetahui informasi selengkapnya, lihat Login ke gcloud CLI dengan identitas gabungan Anda.
Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut:
```
gcloud init
```
Buat atau pilih Cloud de Confiance project.
Peran yang diperlukan untuk memilih atau membuat project
- Pilih project: Memilih project tidak memerlukan peran IAM tertentu—Anda dapat memilih project mana pun yang telah diberi peran.
- Membuat project: Untuk membuat project, Anda memerlukan peran Pembuat Project (roles/resourcemanager.projectCreator), yang berisi izin resourcemanager.projects.create. Pelajari cara memberikan peran.
Catatan: Jika tidak berencana untuk menyimpan resource yang Anda buat dalam prosedur ini, buatlah project, bukan memilih project yang ada. Setelah menyelesaikan langkah ini, Anda dapat menghapus project, yang menghapus semua resource yang terkait dengan project ini.
- Buat Cloud de Confiance project:
```
gcloud projects create PROJECT_ID
```
  Ganti PROJECT_ID dengan nama untuk Cloud de Confiance project yang Anda buat.
- Pilih project Cloud de Confiance yang Anda buat:
```
gcloud config set project PROJECT_ID
```
  Ganti PROJECT_ID dengan nama project Cloud de Confiance Anda.
Verifikasi bahwa penagihan diaktifkan untuk project Cloud de Confiance Anda.
Aktifkan Cloud KMS API:
Peran yang diperlukan untuk mengaktifkan API
Untuk mengaktifkan API, Anda memerlukan peran IAM Service Usage Admin (roles/serviceusage.serviceUsageAdmin), yang berisi izin serviceusage.services.enable. Pelajari cara memberikan peran.
```
gcloud services enable cloudkms.googleapis.com
```

Memberikan peran ke akun pengguna Anda. Jalankan perintah berikut satu kali untuk setiap peran IAM berikut: roles/cloudkms.admin, roles/cloudkms.cryptoKeyEncrypterDecrypter
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="user:USER_IDENTIFIER" --role=ROLE
```
Ganti kode berikut:
- PROJECT_ID: Project ID Anda.
- USER_IDENTIFIER: ID untuk akun akun. Untuk melihat contoh, lihat Merepresentasikan pengguna workforce pool dalam kebijakan IAM.
- ROLE: Peran IAM yang Anda berikan ke akun pengguna Anda.

Key ring dan kunci

Untuk mengenkripsi dan mendekripsi konten, Anda memerlukan kunci Cloud KMS, yang merupakan bagian dari key ring.

Buat key ring bernama test, dan kunci bernama quickstart. Lihat ringkasan hierarki objek untuk mengetahui informasi selengkapnya tentang objek ini dan hubungannya.

gcloud kms keyrings create "test" \
    --location "global"

gcloud kms keys create "quickstart" \
    --location "global" \
    --keyring "test" \
    --purpose "encryption"

Anda dapat menggunakan opsi list untuk melihat nama dan metadata kunci yang baru saja Anda buat.

gcloud kms keys list \
    --location "global" \
    --keyring "test"

Anda akan melihat:

NAME                                                                      PURPOSE          PRIMARY_STATE
projects/PROJECT_ID/locations/global/keyRings/test/cryptoKeys/quickstart  ENCRYPT_DECRYPT  ENABLED

Mengenkripsi data

Setelah memiliki kunci, Anda dapat menggunakan kunci tersebut untuk mengenkripsi konten teks atau biner.

Simpan beberapa teks yang akan dienkripsi dalam file bernama "mysecret.txt".

echo -n "Some text to be encrypted" > mysecret.txt

Untuk mengenkripsi data dengan gcloud kms encrypt, berikan informasi kunci Anda, tentukan nama file teks biasa yang akan dienkripsi, dan tentukan nama file yang akan berisi konten terenkripsi:

gcloud kms encrypt \
    --location "global" \
    --keyring "test" \
    --key "quickstart" \
    --plaintext-file ./mysecret.txt \
    --ciphertext-file ./mysecret.txt.encrypted

Metode encrypt menyimpan konten terenkripsi Anda dalam file yang ditentukan oleh flag --ciphertext-file.

Mendekripsi teks tersandi

Untuk mendekripsi data dengan gcloud kms decrypt, berikan informasi kunci Anda, tentukan nama file terenkripsi (file ciphertext) yang akan didekripsi, dan tentukan nama file yang akan berisi konten yang didekripsi:

gcloud kms decrypt \
    --location "global" \
    --keyring "test" \
    --key "quickstart" \
    --ciphertext-file ./mysecret.txt.encrypted \
    --plaintext-file ./mysecret.txt.decrypted

Metode decrypt menyimpan konten yang didekripsi dalam file yang ditentukan oleh flag --plaintext-file.

Untuk mendekripsi konten terenkripsi, Anda harus menggunakan kunci yang sama yang digunakan untuk mengenkripsi konten tersebut.

Pembersihan

Agar akun Cloud de Confiance Anda tidak dikenai biaya untuk resource yang digunakan pada halaman ini, hapus project Cloud de Confiance yang berisi resource tersebut.

Mencantumkan versi yang tersedia untuk kunci Anda:

gcloud kms keys versions list \
    --location "global" \
    --keyring "test" \
    --key "quickstart"

Untuk menghancurkan versi, jalankan perintah berikut, dengan 1 adalah nomor versi kunci yang ingin Anda hancurkan:

gcloud kms keys versions destroy 1 \
    --location "global" \
    --keyring "test" \
    --key "quickstart"

Langkah berikutnya

Mulai menggunakan API.
Lihat Referensi API.
Pelajari lebih lanjut cara mengenkripsi data dalam penyimpanan.