Lihat konektor yang didukung untuk Application Integration.
Kunci enkripsi yang dikelola pelanggan
Secara default, Application Integration mengenkripsi konten pelanggan dalam penyimpanan. Application Integration menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut enkripsi default Google.
Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Application Integration. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melihat log audit dan mengontrol siklus proses kunci. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Anda yang mengontrol dan mengelola kunci ini di Cloud KMS.
Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Integrasi Aplikasi Anda mirip dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).
Sebelum memulai
Pastikan tugas berikut telah diselesaikan sebelum menggunakan CMEK untuk Integrasi Aplikasi:
- Aktifkan Cloud KMS API untuk project yang akan menyimpan kunci enkripsi Anda.
- Jika Anda menggunakan CMEK di project yang berbeda (project bersama atau project hosting kunci) dengan project tempat Anda menyiapkan Integrasi Aplikasi:
- Aktifkan API berikut di project bersama atau project yang menghosting kunci:
- Berikan peran IAM berikut pada kunci CMEK ke akun layanan default Application Integration di project bersama atau project yang menghosting kunci:
- Tetapkan peran IAM Admin Cloud KMS kepada individu yang mengelola kunci CMEK. Selain itu, berikan izin IAM berikut untuk project yang menyimpan kunci enkripsi Anda:
cloudkms.cryptoKeys.setIamPolicycloudkms.keyRings.createcloudkms.cryptoKeys.createcloudkms.cryptoKeyVersions.useToEncrypt
Untuk mengetahui informasi tentang cara memberikan peran atau izin tambahan, lihat Memberikan, mengubah, dan mencabut akses.
- Buat key ring dan kunci.
Menambahkan akun layanan ke kunci CMEK
Untuk menggunakan kunci CMEK di Integrasi Aplikasi, Anda harus memastikan bahwa akun layanan default Anda ditambahkan dan diberi peran IAM Pengenkripsi/Pendekripsi CryptoKey untuk kunci CMEK tersebut.
- Di konsol Google Cloud , buka halaman Key Inventory.
- Centang kotak untuk kunci CMEK yang diinginkan.
Tab Permissions di panel jendela kanan akan tersedia.
- Klik Tambahkan prinsipal, lalu masukkan alamat email akun layanan default.
- Klik Select a role, lalu pilih peran Cloud KMS CryptoKey Encrypter/Decrypter dari menu drop-down yang tersedia.
- Klik Simpan.
Mengaktifkan enkripsi CMEK untuk region Integrasi Aplikasi
CMEK dapat digunakan untuk mengenkripsi dan mendekripsi data yang disimpan di PD dalam cakupan region yang disediakan.
Untuk mengaktifkan enkripsi CMEK bagi region Integrasi Aplikasi di project Google Cloud Anda, lakukan langkah-langkah berikut:- Di konsol Google Cloud , buka halaman Application Integration.
- Di menu navigasi, klik Regions.
Halaman Regions akan muncul, yang mencantumkan region yang disediakan untuk Integrasi Aplikasi.
- Untuk integrasi yang ada yang ingin Anda gunakan CMEK, klik Tindakan, lalu pilih Edit enkripsi.
- Di panel Edit enkripsi, luaskan bagian Setelan lanjutan.
- Pilih Gunakan Kunci enkripsi yang dikelola pelanggan (CMEK), lalu lakukan hal berikut:
- Pilih kunci CMEK dari daftar drop-down yang tersedia. Kunci CMEK yang tercantum di menu drop-down didasarkan pada region yang disediakan. Untuk membuat kunci baru, lihat Membuat kunci CMEK baru.
- Klik Verifikasi untuk memeriksa apakah akun layanan default Anda memiliki akses cryptokey ke kunci CMEK yang dipilih.
- Jika verifikasi untuk kunci CMEK yang dipilih gagal, klik Grant untuk menetapkan peran IAM CryptoKey Encrypter/Decrypter ke akun layanan default.
- Klik Selesai.
Membuat CMEK baru
Anda dapat membuat kunci CMEK baru jika tidak ingin menggunakan kunci yang ada, atau jika tidak memiliki kunci di region yang ditentukan.
Untuk membuat kunci enkripsi simetris baru, lakukan langkah-langkah berikut dalam dialog Create a new key:- Pilih Gantungan kunci:
- Klik Key ring, lalu pilih key ring yang ada di region yang ditentukan.
- Jika Anda ingin membuat key ring baru untuk kunci Anda, klik tombol Buat key ring dan lakukan langkah-langkah berikut:
- Klik Nama key ring, lalu masukkan nama key ring Anda.
- Klik Lokasi key ring, lalu pilih lokasi regional key ring Anda.
- Klik Lanjutkan.
- Buat Kunci:
- Klik Key name, lalu masukkan nama untuk kunci baru Anda.
- Klik Tingkat perlindungan, lalu pilih Software atau HSM.
Untuk mengetahui informasi tentang tingkat perlindungan, lihat Tingkat perlindungan Cloud KMS.
- Tinjau detail kunci dan gantungan kunci Anda, lalu klik Lanjutkan.
- Klik Buat.
Data terenkripsi
Tabel berikut mencantumkan data yang dienkripsi di Integrasi Aplikasi:
| Resource | Data terenkripsi |
|---|---|
| Detail integrasi |
|
| Informasi eksekusi integrasi |
|
| Kredensial profil autentikasi | |
| Detail tugas Persetujuan/Penangguhan | Konfigurasi persetujuan atau penangguhan |
Kuota Cloud KMS dan Application Integration
Saat Anda menggunakan CMEK di Application Integration, project Anda dapat memakai kuota permintaan kriptografis Cloud KMS. Misalnya, kunci CMEK dapat memakai kuota ini untuk setiap panggilan enkripsi dan dekripsi.
Operasi enkripsi dan dekripsi yang menggunakan kunci CMEK memengaruhi kuota Cloud KMS dengan cara berikut:
- Untuk kunci software CMEK yang dihasilkan di Cloud KMS, tidak ada kuota Cloud KMS yang digunakan.
- Untuk kunci hardware CMEK—terkadang disebut kunci Cloud HSM —operasi enkripsi dan dekripsi akan mengurangi kuota Cloud HSM dalam project yang berisi kunci tersebut.
- Untuk kunci eksternal CMEK—terkadang disebut kunci Cloud EKM —operasi enkripsi dan dekripsi akan mengurangi kuota Cloud EKM dalam project yang berisi kunci tersebut.
Untuk informasi selengkapnya, lihat kuota Cloud KMS.