Sebagian atau seluruh informasi di halaman ini mungkin tidak berlaku untuk Cloud de Confiance dari S3NS. Lihat Perbedaan dengan Google Cloud untuk mengetahui detail selengkapnya.

Halaman ini diterjemahkan oleh Cloud Translation API.

Melihat metrik enkripsi

Cloud Key Management Service (Cloud KMS) menampilkan metrik tentang kunci enkripsi yang melindungi data Anda dalam penyimpanan. Metrik ini menunjukkan cara sumber daya Anda dilindungi dan apakah kunci Anda sesuai dengan praktik yang direkomendasikan. Sebagian besar metrik berfokus pada kunci enkripsi yang dikelola pelanggan (CMEK) yang digunakan untuk melindungi resource di layanan yang terintegrasi dengan CMEK. Panduan ini menunjukkan cara melihat metrik enkripsi project Anda dan membantu Anda memahami artinya bagi postur keamanan organisasi Anda.

Untuk mengetahui informasi selengkapnya tentang praktik yang direkomendasikan untuk menggunakan CMEK guna melindungi resource Anda di Cloud de Confiance, lihat Praktik terbaik dalam menggunakan CMEK.

Sebelum memulai

Untuk mendapatkan izin yang diperlukan untuk melihat metrik enkripsi, minta administrator untuk memberi Anda peran IAM Cloud KMS Viewer (roles/cloudkms.viewer) di project atau resource induk. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Berikan peran Cloud KMS Organization Service Agent kepada Cloud KMS Organization Service Agent:
```
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member=serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-cloudkms.s3ns-system.iam.gserviceaccount.com \
    --role=roles/cloudkms.orgServiceAgent
  
```
Jika Anda melewati langkah ini, dasbor Metrik enkripsi mungkin menampilkan informasi yang tidak lengkap. Misalnya, saat Anda melihat metrik enkripsi untuk PROJECT_A, resource di PROJECT_B yang dilindungi oleh kunci di PROJECT_A tidak akan disertakan dalam metrik.

Melihat metrik enkripsi

Untuk melihat metrik enkripsi, ikuti langkah-langkah berikut:

Di konsol Cloud de Confiance , buka halaman Key Management.

Buka Key Management
Klik tab Ringkasan, lalu klik Metrik enkripsi.
Gunakan pemilih project untuk memilih project. Dasbor menampilkan metrik enkripsi berikut untuk resource dan kunci dalam project tersebut:
- Diagram Resources in this project by protection type dan Resource protection type by service menampilkan metrik ringkasan cakupan CMEK.
- Diagram Penyelarasan dengan praktik terbaik penggunaan utama menampilkan metrik ringkasan penyelarasan utama; Anda juga dapat melihat detail penyelarasan utama.

Melihat detail penyelarasan kunci

Untuk melihat daftar kunci dalam project dan melihat praktik yang direkomendasikan yang sesuai dengan kunci tersebut, ikuti langkah-langkah berikut:

Di halaman Metrik enkripsi, temukan diagram Kesesuaian dengan praktik terbaik penggunaan kunci.
Opsional: Untuk berfokus hanya pada kunci yang dibuat oleh Autokey Cloud KMS, klik tab Cloud KMS (Autokey). Untuk berfokus hanya pada kunci yang dibuat secara manual, klik tab Cloud KMS (Manual).
Untuk melihat daftar kunci dan melihat apakah kunci tersebut selaras dengan setiap praktik yang direkomendasikan, klik bagian yang mewakili kategori, lalu klik Lihat.

Halaman Penyelarasan dengan praktik terbaik penggunaan kunci mencantumkan kunci Cloud KMS dalam project yang dipilih dan menunjukkan apakah setiap kunci Selaras atau Tidak selaras dengan setiap rekomendasi. Untuk mempelajari lebih lanjut arti kunci yang Sesuai atau Tidak sesuai untuk rekomendasi, lihat Kesesuaian kunci dalam dokumen ini.
Opsional: Untuk memfilter daftar kunci, masukkan istilah penelusuran Anda di kotak filter_list Filter, lalu tekan enter. Misalnya, Anda dapat memfilter daftar untuk hanya menampilkan kunci yang Selaras dengan rekomendasi Granularitas.

Memahami metrik enkripsi

Dasbor metrik enkripsi menggunakan layanan Cloud Asset Inventory untuk mengumpulkan informasi tentang resource dan kunci Cloud KMS Anda. Dasbor menghitung metrik sesuai permintaan menggunakan data terbaru yang tersedia.

Dasbor menampilkan dua kategori utama metrik: cakupan CMEK dan keselarasan kunci. Kedua metrik menampilkan tampilan ringkasan dengan informasi gabungan dan tampilan detail dengan daftar tabel resource atau kunci.

Cakupan CMEK

Metrik cakupan CMEK dalam diagram Resources in this project by protection type dan Resource protection type by service menunjukkan jumlah resource Anda yang dilindungi oleh CMEK. Metrik ini melihat resource yang mendukung integrasi CMEK dan pelacakan kunci Cloud KMS. Referensi dikelompokkan ke dalam kategori berikut:

Enkripsi yang Dikelola Google: resource yang dilindungi oleh enkripsi default Google.
Cloud KMS (Manual): resource yang dilindungi oleh CMEK yang Anda buat dan kelola secara manual.
Cloud KMS (Autokey): resource yang dilindungi oleh CMEK yang disediakan dan ditetapkan oleh layanan Autokey.

Metrik cakupan CMEK ditampilkan untuk project secara keseluruhan dan dikelompokkan berdasarkan layanan yang terkait dengan setiap resource yang dilindungi. Anda dapat menggunakan informasi ini untuk menilai jumlah resource dalam project yang dipilih yang menggunakan enkripsi default Google, padahal resource tersebut dapat menggunakan CMEK.

Untuk daftar jenis resource yang didukung, lihat Jenis resource yang dilacak.

Penyesuaian tombol

Metrik keselarasan kunci dalam diagram Keselarasan dengan praktik yang direkomendasikan untuk penggunaan kunci menunjukkan apakah kunci Cloud KMS Anda selaras dengan praktik keamanan yang direkomendasikan berikut:

Periode rotasi: kunci memiliki periode rotasi yang sesuai.
Granularitas: kunci melindungi resource yang ada dalam satu project dan milik satu layanan.
Pemisahan tugas: hanya akun layanan yang memiliki izin untuk mengenkripsi dan mendekripsi dengan kunci.
Lokasi: kunci hanya melindungi resource yang berada di lokasi cloud yang sama.

Metrik keselarasan kunci mencakup semua kunci enkripsi simetris Cloud KMS dalam project yang dipilih, meskipun kunci tersebut tidak digunakan untuk melindungi resource dalam layanan yang terintegrasi dengan CMEK. Metrik ini dinilai untuk kunci, bukan versi kunci. Misalnya, kunci tanpa versi kunci aktif masih dapat ditampilkan sebagai Selaras untuk semua atau salah satu praktik yang direkomendasikan ini.

Bagian berikut memberikan informasi selengkapnya tentang setiap praktik ini.

Perincian

Granularitas kunci mengacu pada skala dan cakupan penggunaan yang dimaksudkan dari suatu kunci. Kunci dapat sangat terperinci, hanya melindungi satu resource, atau kurang terperinci, melindungi banyak resource. Penggunaan kunci yang kurang terperinci akan meningkatkan potensi dampak insiden keamanan, termasuk akses tidak sah dan kehilangan data yang tidak disengaja.

Secara umum, kami merekomendasikan strategi perincian berikut:

Setiap kunci melindungi resource di satu lokasi—misalnya, us-central1.
Setiap kunci melindungi resource dalam satu layanan atau produk—misalnya, BigQuery.
Setiap kunci melindungi resource dalam satu Cloud de Confiance project.

Rekomendasi ini mungkin bukan strategi perincian yang ideal untuk organisasi Anda. Untuk sebagian besar organisasi, strategi ini memberikan keseimbangan yang baik antara overhead pemeliharaan banyak kunci yang sangat terperinci dan potensi risiko penggunaan kunci yang kurang terperinci yang dibagikan di antara banyak project, layanan, atau resource.

Setiap kunci dalam project Anda dianggap Selaras dengan rekomendasi ini jika resource yang dilindunginya semuanya berada dalam lokasi, layanan, dan project yang sama. Kunci dianggap Tidak selaras dengan rekomendasi ini jika resource yang dilindunginya berada di dua atau lebih lokasi, layanan, atau project.

Jika kunci Anda tidak sesuai dengan rekomendasi ini, pertimbangkan apakah menyesuaikan strategi perincian kunci tepat untuk organisasi Anda. Untuk mengetahui informasi selengkapnya tentang praktik yang direkomendasikan untuk perincian kunci, lihat Memilih strategi perincian kunci.

Lokasi

Dalam sebagian besar kasus, kunci Cloud KMS yang digunakan dengan layanan terintegrasi CMEK harus berada di Cloud de Confiance region atau multi-region yang sama persis dengan lokasi resource yang dilindunginya. Namun, beberapa layanan mengizinkan pengecualian terhadap aturan ini.

Setiap kunci di project Anda dianggap Selaras dengan rekomendasi ini jika resource yang dilindunginya semuanya berada di lokasi yang sama dengan kunci—misalnya, kunci di us-central1 yang melindungi resource di us-central1. Kunci regional dapat melindungi resource zona dalam region yang sama—misalnya, kunci di us-central1 yang melindungi resource di us-central1a.

Kunci dianggap Tidak selaras dengan rekomendasi ini jika melindungi resource di region atau multi-region yang berbeda—misalnya, kunci di multi-region us yang melindungi disk Compute Engine di region us-central1.

Jika kunci Anda tidak sesuai dengan rekomendasi ini, pertimbangkan untuk memindahkan atau mengganti resource atau kunci Anda agar berada di lokasi yang sama. Untuk mengetahui informasi selengkapnya tentang lokasi, lihat Lokasi Cloud KMS.

Rotasi

Mengganti kunci Anda secara rutin adalah aspek penting dalam keamanan informasi. Misalnya, beberapa standar mengharuskan Anda merotasi kunci sesuai jadwal tertentu. Kunci yang melindungi workload sensitif mungkin perlu dirotasi lebih sering. Cloud KMS memungkinkan Anda menyiapkan rotasi kunci otomatis untuk kunci Anda guna membantu memastikan jadwal yang Anda pilih diikuti.

Setiap kunci dalam project Anda dianggap Selaras dengan rekomendasi ini jika kunci tersebut memiliki jadwal rotasi yang ditetapkan. Kunci dianggap Tidak selaras jika tidak disiapkan untuk rotasi kunci otomatis.

Untuk mengaktifkan rotasi otomatis, Anda dapat melakukan salah satu hal berikut:

Buat kunci baru secara manual dengan jadwal rotasi kustom.
Gunakan Autokey Cloud KMS saat Anda membuat resource baru. Kunci yang dibuat oleh Autokey Cloud KMS memiliki periode rotasi default selama satu tahun, tetapi periode rotasi dapat diubah setelah kunci dibuat.
Perbarui kunci yang ada untuk menambahkan jadwal rotasi.

Pemisahan tugas

Pemisahan tugas adalah praktik keamanan yang bertujuan untuk menghindari pemberian terlalu banyak izin kepada pengguna atau prinsipal lainnya. Dalam konteks integrasi Cloud KMS dan CMEK, hal ini berarti bahwa pengguna yang mengelola kunci Cloud KMS Anda tidak boleh memiliki izin untuk menggunakan kunci tersebut, dan pokok yang menggunakan kunci untuk mengenkripsi dan mendekripsi resource Anda tidak memiliki izin lain pada kunci tersebut.

Setiap kunci dalam project Anda dianggap Selaras dengan rekomendasi ini jika kedua hal berikut terpenuhi:

Akun layanan untuk resource yang dilindungi adalah satu-satunya prinsipal dengan izin cloudkms.cryptoKeyVersions.useToEncrypt dan cloudkms.cryptoKeyVersions.useToDecrypt pada kunci.
Akun layanan untuk resource yang dilindungi tidak memiliki peran yang memberikan izin administrasi kunci pada kunci, termasuk roles/cloudkms.admin, roles/editor, dan roles/owner.

Kunci dianggap Tidak selaras jika akun layanan memiliki izin administrasi atau akun utama lain memiliki izin enkripsi atau dekripsi.

Jika kunci Anda tidak sesuai dengan rekomendasi ini, tinjau peran dan izin IAM pada kunci Anda dan resource Cloud KMS lainnya, lalu hapus pemberian peran dan izin yang tidak diperlukan. Untuk mengetahui informasi selengkapnya tentang peran Cloud KMS dan izin yang disertakan, lihat Izin dan peran. Untuk mengetahui informasi selengkapnya tentang cara melihat dan menghapus peran IAM di resource Cloud KMS, lihat Kontrol akses dengan IAM.

Batasan

Dasbor Metrik enkripsi memiliki batasan berikut:

Dasbor menampilkan metrik untuk satu project dalam satu waktu.
Dasbor memiliki batas 10.000 resource atau kunci per project. Jika project Anda berisi lebih dari 10.000 kunci atau jika kunci dalam project Anda melindungi lebih dari 10.000 resource, hanya metrik parsial yang ditampilkan.
Dasbor ini mengandalkan data dari layanan Inventaris Aset Cloud. Jika ada data di Inventaris Aset Cloud yang sudah tidak berlaku, dasbor mungkin menampilkan informasi yang tidak akurat atau tidak lengkap.
Dasbor hanya mempertimbangkan kunci simetris untuk keselarasan kunci dan cakupan CMEK.
Dasbor hanya mempertimbangkan resource yang mendukung pelacakan penggunaan kunci.
Metrik penyelarasan kunci tidak membedakan antara kunci yang sedang digunakan secara aktif sebagai CMEK yang melindungi resource yang dapat dilacak, kunci yang sedang digunakan secara aktif untuk kasus penggunaan lain, dan kunci yang tidak memiliki versi kunci aktif. Misalnya, data penyelarasan kunci Anda mungkin mencakup kunci yang digunakan untuk aplikasi kustom.
Jika data penyelarasan kunci mencakup kunci yang melindungi resource yang tidak dapat dilacak dan aplikasi kustom, detail penyelarasan untuk kunci ini mungkin tidak akurat. Misalnya, kunci yang digunakan di beberapa aplikasi kustom di beberapa project mungkin ditampilkan sebagai Selaras dengan rekomendasi perincian kunci meskipun tidak.

Langkah berikutnya

Pelajari lebih lanjut pelacakan penggunaan kunci.
Pelajari lebih lanjut praktik terbaik untuk kunci enkripsi yang dikelola pelanggan.