Sebagian atau seluruh informasi di halaman ini mungkin tidak berlaku untuk Cloud de Confiance dari S3NS. Lihat Perbedaan dengan Google Cloud untuk mengetahui detail selengkapnya.

Menggunakan kunci Cloud KMS di Cloud de Confiance

Halaman ini menjelaskan cara menggunakan kunci enkripsi yang dikelola pelanggan Cloud KMS di layanan lain untuk mengamankan resource Anda. Cloud de Confiance Untuk informasi selengkapnya, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Jika layanan mendukung CMEK, layanan tersebut dikatakan memiliki integrasi CMEK. Beberapa layanan, seperti GKE, memiliki beberapa integrasi CMEK untuk melindungi berbagai jenis data yang terkait dengan layanan tersebut. Untuk mengetahui daftar layanan dengan integrasi CMEK, lihat Mengaktifkan CMEK untuk layanan yang didukung di halaman ini.

Sebelum memulai

Sebelum dapat menggunakan kunci Cloud KMS di layanan Cloud de Confiance lain, Anda harus memiliki resource project untuk menyimpan kunci Cloud KMS Anda. Sebaiknya gunakan project terpisah untuk resource Cloud KMS Anda yang tidak berisi resource Cloud de Confiance lain.

Integrasi CMEK

Bersiap untuk mengaktifkan integrasi CMEK

Untuk mengetahui langkah-langkah persisnya dalam mengaktifkan CMEK, lihat dokumentasi untuk layanan Cloud de Confiance yang relevan. Anda dapat menemukan link ke dokumentasi CMEK untuk setiap layanan di Mengaktifkan CMEK untuk layanan yang didukung di halaman ini. Untuk setiap layanan, Anda dapat mengikuti langkah-langkah yang serupa dengan berikut:

Buat key ring atau pilih key ring yang ada. Key ring harus berlokasi sedekat mungkin secara geografis dengan resource yang ingin Anda amankan.
Di key ring yang dipilih, buat kunci atau pilih kunci yang ada. Pastikan tingkat perlindungan, tujuan, dan algoritma untuk kunci sesuai dengan resource yang ingin Anda lindungi. Kunci ini adalah kunci CMEK.
Mendapatkan ID resource untuk kunci CMEK. Anda akan memerlukan ID resource ini nanti.
Berikan peran IAM CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) pada kunci CMEK ke akun layanan untuk layanan tersebut.

Catatan: Anda dapat memberikan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS di tingkat kunci, key ring, project, folder, atau organisasi. Untuk mengikuti prinsip hak istimewa terendah, sebaiknya berikan peran ini di tingkat terendah yang memenuhi kebutuhan Anda.
Perhatian: Selama akun layanan Anda memiliki peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS, layanan dapat mengenkripsi dan mendekripsi datanya. Jika Anda mencabut peran atau jika Anda menonaktifkan atau menghancurkan kunci CMEK, data tidak dapat diakses lagi. Membiarkan kunci CMEK Anda tidak dapat diakses dapat memengaruhi layanan Anda.

Setelah membuat kunci dan menetapkan izin yang diperlukan, Anda dapat membuat atau mengonfigurasi layanan untuk menggunakan kunci CMEK Anda.

Menggunakan kunci Cloud KMS dengan layanan yang terintegrasi dengan CMEK

Langkah-langkah berikut menggunakan Secret Manager sebagai contoh. Untuk mengetahui langkah-langkah persisnya dalam menggunakan kunci CMEK Cloud KMS di layanan tertentu, temukan layanan tersebut dalam daftar layanan yang terintegrasi dengan CMEK.

Di Secret Manager, Anda dapat menggunakan CMEK untuk melindungi data dalam penyimpanan.

Di konsol Cloud de Confiance , buka halaman Secret Manager.

Buka Secret Manager
Untuk membuat secret, klik Create Secret.
Di bagian Encryption, pilih Use a customer-managed encryption key (CMEK).
Di kotak Encryption key, lakukan hal berikut:
1. Opsional: Untuk menggunakan kunci di project lain, lakukan hal berikut:
  1. Klik Ganti project.
  2. Masukkan semua atau sebagian nama project di kotak penelusuran, lalu pilih project.
  3. Untuk melihat kunci yang tersedia untuk project yang dipilih, klik Pilih.
2. Opsional: Untuk memfilter kunci yang tersedia menurut lokasi, gantungan kunci, nama, atau tingkat perlindungan, masukkan istilah penelusuran di kolom filter .
3. Pilih kunci dari daftar kunci yang tersedia di project yang dipilih. Anda dapat menggunakan detail lokasi yang ditampilkan, key ring, dan tingkat perlindungan untuk memastikan Anda memilih kunci yang benar.
4. Jika kunci yang ingin Anda gunakan tidak ditampilkan dalam daftar, klik Masukkan kunci secara manual, lalu masukkan ID resource kunci tersebut
Selesaikan konfigurasi rahasia Anda, lalu klik Create secret. Secret Manager membuat secret dan mengenkripsinya menggunakan kunci CMEK yang ditentukan.

Mengaktifkan CMEK untuk layanan yang didukung

Untuk mengaktifkan CMEK, temukan terlebih dahulu layanan yang diinginkan dalam tabel berikut. Anda dapat memasukkan istilah penelusuran di kolom untuk memfilter tabel. Produk yang terintegrasi dengan Cloud KMS saat menggunakan kunci Cloud EKM eksternal ditunjukkan di kolom Didukung EKM.

Ikuti petunjuk untuk setiap layanan yang ingin Anda aktifkan kunci CMEK-nya.

Layanan	Dilindungi dengan CMEK	EKM didukung	Topik
Artifact Registry	Data di repositori	Ya	Mengaktifkan kunci enkripsi yang dikelola pelanggan
BigQuery	Data di BigQuery	Ya	Melindungi data dengan kunci Cloud KMS
Cloud Logging	Data di penyimpanan Logging	Ya	Mengelola kunci yang melindungi data penyimpanan Logging
Cloud SQL	Data yang ditulis ke database	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan
Cloud Storage	Data dalam bucket penyimpanan	Ya	Menggunakan kunci enkripsi yang dikelola pelanggan
Compute Engine	Snapshot	Ya	Melindungi resource dengan kunci Cloud KMS
Compute Engine	Image kustom	Ya	Melindungi resource dengan kunci Cloud KMS
Compute Engine	Image mesin	Ya	Melindungi resource dengan kunci Cloud KMS
Pub/Sub	Data yang terkait dengan topik	Ya	Mengonfigurasi enkripsi pesan