Sebagian atau seluruh informasi di halaman ini mungkin tidak berlaku untuk Trusted Cloud dari S3NS. Lihat Perbedaan dari Google Cloud untuk mengetahui detail selengkapnya.

Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan Cloud Key Management Service

Dengan Cloud Key Management Service (Cloud KMS), Anda dapat membuat dan mengelola kunci kriptografi untuk digunakan di layanan yang kompatibel Trusted Cloud by S3NS dan di aplikasi Anda sendiri. Dengan Cloud KMS, Anda dapat melakukan hal berikut:

Buat kunci software, impor kunci yang ada ke Cloud KMS, atau tautkan kunci eksternal di sistem pengelolaan kunci eksternal (EKM) yang kompatibel.
Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Trusted Cloud produk dengan integrasi CMEK. Integrasi CMEK menggunakan kunci Cloud KMS Anda untuk mengenkripsi atau "menggabungkan" kunci enkripsi data (DEK) Anda. Membungkus DEK dengan kunci enkripsi kunci (KEK) disebut enkripsi penggabungan.
Gunakan kunci Cloud KMS untuk operasi enkripsi dan dekripsi. Misalnya, Anda dapat menggunakan Cloud KMS API atau library klien untuk menggunakan kunci Cloud KMS Anda untuk enkripsi sisi klien.
Gunakan kunci Cloud KMS untuk membuat atau memverifikasi tanda tangan digital atau tanda tangan kode autentikasi pesan (MAC).

Memilih enkripsi yang tepat untuk kebutuhan Anda

Anda dapat menggunakan tabel berikut untuk mengidentifikasi jenis enkripsi yang memenuhi kebutuhan Anda untuk setiap kasus penggunaan. Solusi terbaik untuk kebutuhan Anda mungkin mencakup kombinasi pendekatan enkripsi. Misalnya, Anda dapat menggunakan kunci software untuk data yang paling tidak sensitif dan kunci eksternal untuk data yang paling sensitif. Untuk mengetahui informasi tambahan tentang opsi enkripsi yang dijelaskan di bagian ini, lihat Melindungi data di Trusted Cloud by S3NS di halaman ini.

Jenis enkripsi	Layanan yang kompatibel	Fitur
Google Cloud-powered encryption keys (Trusted Cloud enkripsi default)	Semua Trusted Cloud layanan yang menyimpan data pelanggan	Tidak memerlukan konfigurasi. Secara otomatis mengenkripsi data pelanggan yang disimpan di layanan Trusted Cloud by S3NS mana pun. Sebagian besar layanan otomatis merotasi kunci. Mendukung enkripsi menggunakan AES-256. Tervalidasi FIPS 140-2 Level 1.
Kunci enkripsi yang dikelola pelanggan - software (kunci Cloud KMS)	40+ layanan	Anda mengontrol jadwal rotasi kunci otomatis; peran dan izin IAM; mengaktifkan, menonaktifkan, atau menghancurkan versi kunci. Mendukung kunci simetris dan asimetris untuk enkripsi dan dekripsi. Merotasi kunci simetris secara otomatis. Mendukung beberapa algoritma umum. Tervalidasi FIPS 140-2 Level 1. Kunci bersifat unik untuk pelanggan.
Kunci enkripsi yang dikelola pelanggan - eksternal (Kunci Cloud EKM)	30+ layanan	Anda mengontrol peran dan izin IAM; mengaktifkan, menonaktifkan, atau menghancurkan versi kunci. Kunci tidak pernah dikirim ke Google. Materi kunci berada di penyedia pengelolaan kunci eksternal (EKM) yang kompatibel. Layanan yang kompatibel Trusted Cloud terhubung ke penyedia EKM Anda melalui Virtual Private Cloud (VPC). Mendukung kunci simetris untuk enkripsi dan dekripsi. Putar kunci Anda secara manual dengan berkoordinasi dengan Cloud EKM dan penyedia EKM Anda. Divalidasi FIPS 140-2 Level 2 atau FIPS 140-2 Level 3, bergantung pada EKM. Kunci bersifat unik untuk pelanggan.
Enkripsi sisi klien menggunakan kunci Cloud KMS	Menggunakan library klien dalam aplikasi Anda	Anda mengontrol jadwal rotasi kunci otomatis; peran dan izin IAM; mengaktifkan, menonaktifkan, atau menghancurkan versi kunci. Mendukung kunci simetris dan asimetris untuk enkripsi, dekripsi, penandatanganan, dan validasi tanda tangan. Fungsi bervariasi menurut tingkat perlindungan kunci.
Cloud HSM untuk Google Workspace	Menggunakan kunci Cloud HSM untuk enkripsi sisi klien di Google Workspace	Anda mengontrol jadwal rotasi kunci otomatis; peran dan izin IAM; mengaktifkan, menonaktifkan, atau menghancurkan versi kunci. Gunakan kunci simetris untuk enkripsi dan dekripsi.
Kunci enkripsi yang disediakan pelanggan	Cloud Storage	Anda menyediakan materi utama jika diperlukan. Materi kunci berada di dalam memori - Google tidak menyimpan kunci Anda secara permanen di server kami.

Catatan: Harga bervariasi menurut jenis enkripsi dan tingkat perlindungan. Untuk mengetahui informasi selengkapnya, lihat detail harga yang dibagikan kepada Anda oleh Trusted Cloud.

Melindungi data dalam Trusted Cloud by S3NS

Google Cloud-powered encryption keys (Trusted Cloud enkripsi default)

Secara default, data dalam keadaan nonaktif di Trusted Cloud dilindungi oleh kunci di Keystore, Trusted Cloud's internal key management service. Kunci di Keystore dikelola secara otomatis oleh Trusted Cloud, tanpa konfigurasi yang diperlukan dari Anda. Sebagian besar layanan otomatis merotasi kunci untuk Anda. Keystore mendukung versi kunci utama dan sejumlah kecil versi kunci lama. Versi kunci utama digunakan untuk mengenkripsi kunci enkripsi data baru. Versi kunci yang lebih lama masih dapat digunakan untuk mendekripsi kunci enkripsi data yang ada. Anda tidak dapat melihat atau mengelola kunci ini atau meninjau log penggunaan kunci. Data dari beberapa pelanggan mungkin menggunakan kunci enkripsi kunci yang sama.

Enkripsi default ini menggunakan modul kriptografi yang divalidasi agar mematuhi FIPS 140-2 Level 1.

Kunci enkripsi yang dikelola pelanggan (CMEK)

Kunci Cloud KMS yang digunakan untuk melindungi resource Anda di layanan yang terintegrasi dengan CMEK adalah kunci enkripsi yang dikelola pelanggan (CMEK).

Anda dapat menggunakan kunci Cloud KMS di layanan yang kompatibel untuk membantu Anda mencapai tujuan berikut:

Miliki kunci enkripsi Anda sendiri.
Kontrol dan kelola kunci enkripsi Anda, termasuk pilihan lokasi, tingkat perlindungan, pembuatan, kontrol akses, rotasi, penggunaan, dan penghancuran.
Menghapus data yang dilindungi oleh kunci Anda secara selektif jika terjadi penghentian penggunaan atau untuk memulihkan peristiwa keamanan (penghancuran kripto).
Buat kunci khusus single-tenant yang menetapkan batas kriptografi di sekitar data Anda.
Mencatat akses administratif dan data ke kunci enkripsi.
Memenuhi peraturan saat ini atau mendatang yang mewajibkan salah satu sasaran ini.

Saat menggunakan kunci Cloud KMS dengan layanan yang terintegrasi dengan CMEK, Anda dapat menggunakan kebijakan organisasi untuk memastikan bahwa CMEK digunakan seperti yang ditentukan dalam kebijakan. Misalnya, Anda dapat menetapkan kebijakan organisasi yang memastikan bahwa resource Trusted Cloud yang kompatibel menggunakan kunci Cloud KMS Anda untuk enkripsi. Kebijakan organisasi juga dapat menentukan project tempat resource utama harus berada.

Fitur dan tingkat perlindungan yang diberikan bergantung pada tingkat perlindungan kunci:

Kunci software - Anda dapat membuat kunci software di Cloud KMS dan menggunakannya di semua Trusted Cloud lokasi. Anda dapat membuat kunci simetris dengan rotasi otomatis atau kunci asimetris dengan rotasi manual. Kunci software yang dikelola pelanggan menggunakan modul kriptografi software yang divalidasi FIPS 140-2 Level 1. Anda juga memiliki kontrol atas periode rotasi, peran dan izin Identity and Access Management (IAM), serta kebijakan organisasi yang mengatur kunci Anda. Anda dapat menggunakan kunci software dengan banyak resource yang kompatibel Trusted Cloud.
Kunci software yang diimpor - Anda dapat mengimpor kunci software yang Anda buat di tempat lain untuk digunakan di Cloud KMS. Anda dapat mengimpor versi kunci baru untuk merotasi kunci yang diimpor secara manual. Anda dapat menggunakan peran dan izin IAM serta kebijakan organisasi untuk mengatur penggunaan kunci yang diimpor.
Kunci eksternal dan Cloud EKM - Anda dapat menggunakan kunci yang berada di pengelola kunci eksternal (EKM). Dengan Cloud EKM, Anda dapat menggunakan kunci yang disimpan di pengelola kunci yang didukung untuk mengamankan Trusted Cloud resource Anda. Anda terhubung ke EKM melalui Virtual Private Cloud (VPC). Beberapa Trusted Cloud layanan yang mendukung kunci Cloud KMS tidak mendukung kunci Cloud EKM.

Kunci Cloud KMS

Anda dapat menggunakan kunci Cloud KMS di aplikasi kustom menggunakan library klien Cloud KMS atau Cloud KMS API. Library klien dan API memungkinkan Anda mengenkripsi dan mendekripsi data, menandatangani data, dan memvalidasi tanda tangan.

Kunci Cloud HSM

Anda dapat menggunakan kunci Cloud HSM di Cloud HSM for Google Workspace untuk mengelola kunci yang digunakan untuk enkripsi sisi klien (CSE) di Google Workspace. Anda dapat Menggunakan Cloud HSM untuk Google Workspace.

Kunci enkripsi yang disediakan pelanggan (CSEK)

Cloud Storage dapat menggunakan kunci enkripsi yang disediakan pelanggan (CSEK). Dengan kunci enkripsi yang disediakan pelanggan, Anda menyimpan materi kunci dan memberikannya ke Cloud Storage saat diperlukan. Trusted Cloud tidak menyimpan CSEK Anda dengan cara apa pun.