Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi Key Access Justifications dengan Cloud KMS dan Cloud HSM

Halaman ini menjelaskan cara mengonfigurasi Justifikasi Akses Kunci dengan Cloud KMS atau Cloud HSM untuk Batas Data Jepang Assured Workloads.

Selama langkah-langkah untuk membuat folder Assured Workloads baru untuk region Jepang, Anda memiliki opsi untuk membuat project baru dan key ring untuk kunci kriptografis Anda. Kunci Cloud KMS dan Cloud HSM dapat ditambahkan ke key ring ini, dan Anda juga dapat mengonfigurasi kebijakan Key Access Justifications untuk mengontrol akses ke setiap kunci.

Sebelum memulai

Kemampuan untuk menggunakan Key Access Justifications dengan kunci Cloud KMS dan Cloud HSM hanya tersedia untuk Batas Data Jepang di Assured Workloads.
Pastikan administrator Anda telah memberi Anda salah satu peran Identity and Access Management (IAM) yang diperlukan untuk membuat dan mengelola kebijakan Pembenaran Akses Kunci serta kunci Cloud KMS dan Cloud HSM itu sendiri.

Izin IAM yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk membuat dan mengelola kunci Cloud KMS dan Cloud HSM serta kebijakan Key Access Justifications-nya, minta administrator untuk memberi Anda peran IAM Admin Cloud KMS (roles/cloudkms.admin) di project yang berisi key ring. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk membuat dan mengelola kunci Cloud KMS dan Cloud HSM serta kebijakan Pembenaran Akses Kunci-nya. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk membuat dan mengelola kunci Cloud KMS dan Cloud HSM serta kebijakan Key Access Justifications-nya:

cloudkms.cryptoKeys.create
cloudkms.cryptoKeys.update
cloudkms.cryptoKeys.get

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Mengonfigurasi kunci dengan Key Access Justifications

Untuk mengonfigurasi Key Access Justifications dengan kunci Cloud KMS atau Cloud HSM, Anda dapat menyertakan kebijakan akses kunci sebagai parameter saat membuat kunci, atau memperbarui kunci dengan kebijakan setelah kunci dibuat.

Buat kunci dan kebijakan baru

Konsol

Di konsol Google Cloud , buka halaman Pengelolaan kunci.

Buka Key management
Klik nama key ring tempat Anda ingin membuat kunci.
Klik Create key.
Untuk Key name, masukkan nama untuk kunci Anda.
Tingkat perlindungan, pilih Software atau HSM.
Lanjutkan memilih setelan sesuai kebutuhan.
Di bagian Setelan tambahan, pilih Setelan kebijakan Pembenaran Akses Kunci, lalu pilih Alasan pembenaran yang diizinkan.

Peringatan: Jika Anda memilih Tolak semua kode alasan, kunci tidak akan dapat digunakan.
Untuk Alasan pembenaran, pilih Akses yang dimulai pelanggan, Operasi sistem yang dimulai Google, dan kode alasan lain yang ingin Anda izinkan. Akses yang dimulai pelanggan dan operasi sistem yang dimulai Google sangat penting untuk fungsi normal.
Klik Buat.

REST

Buat kunci dan kebijakan baru menggunakan metode cryptoKeys.create:

POST https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME

Dalam permintaan, ganti nilai placeholder berikut:

PROJECT_ID: Project ID yang berisi key ring tempat Anda ingin menambahkan kunci—misalnya, 919698201234.
LOCATION: Lokasi key ring—misalnya, asia-northeast1.
KEY_RING: Nama key ring yang Anda tentukan saat membuat project pengelolaan kunci dan key ring folder Assured Workloads.
KEY_NAME: Nama kunci HSM yang ingin Anda buat—misalnya, my-hsm-key.

Isi permintaan:

{
  "purpose": "PURPOSE",
  "versionTemplate": {
    "protectionLevel": "PROTECTION_LEVEL",
    "algorithm": "ALGORITHM"
  },
  "keyAccessJustificationsPolicy": {
    "allowedAccessReasons": [
      ALLOWED_ACCESS_REASONS
    ]
  }
}

Dalam isi permintaan, ganti nilai placeholder berikut:

PURPOSE: Tujuan penggunaan kunci. Untuk mengetahui daftar berbagai tujuan kunci, lihat Tujuan kunci—misalnya, ENCRYPT_DECRYPT.
PROTECTION_LEVEL: Tingkat perlindungan kunci—misalnya, SOFTWARE atau HSM.
ALGORITHM: Algoritma kriptografi yang akan digunakan. Untuk mengetahui daftar algoritma yang tersedia, lihat Algoritma Cloud KMS—misalnya, GOOGLE_SYMMETRIC_ENCRYPTION.
ALLOWED_ACCESS_REASONS: Kebijakan Key Access Justifications yang menentukan nol atau lebih banyak kode justifikasi yang diizinkan untuk mengakses kunci enkripsi—misalnya, ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"].

Contoh permintaan dan isi permintaan berikut membuat kunci Cloud HSM yang hanya mengizinkan justifikasi akses untuk beberapa alasan:

POST https://cloudkms.googleapis.com/v1/projects/919698201234/locations/asia-northeast1/keyRings/my-key-ring/cryptoKeys?crypto_key_id=my-hsm-key

{
  "purpose": "ENCRYPT_DECRYPT",
  "versionTemplate": {
    "protectionLevel": "HSM",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "keyAccessJustificationsPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Memperbarui kebijakan kunci yang ada

Konsol

Di konsol Google Cloud , buka halaman Pengelolaan kunci.

Buka Key management
Klik nama key ring tempat Anda membuat kunci.
Klik nama kunci yang ingin Anda perbarui kebijakan Justifikasi Akses Kunci-nya.
Klik Edit kebijakan Key Access Justifications.
Lakukan salah satu hal berikut:
- Untuk menonaktifkan kebijakan Key Access Justifications pada kunci, hapus centang pada kotak Set Key Access Justification policy.
- Untuk mengubah alasan justifikasi yang diizinkan, klik kotak Alasan justifikasi, lalu pilih atau hapus kode alasan sesuai kebutuhan. Akses yang dimulai pelanggan dan operasi sistem yang dimulai Google sangat penting untuk fungsi normal.
- Untuk menolak semua kode alasan, pilih Tolak semua kode alasan (tidak direkomendasikan). Tindakan ini mencegah kunci digunakan meskipun kunci diaktifkan dan pemohon memiliki izin yang diperlukan.
Klik Simpan.

REST

Perbarui kunci yang ada di Cloud KMS menggunakan metode cryptoKeys.patch:

PATCH https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME?update_mask=keyAccessJustificationsPolicy

Dalam permintaan, ganti nilai placeholder berikut:

PROJECT_ID: Project ID project yang berisi ring kunci untuk kunci—misalnya, 919698201234.
LOCATION: Lokasi key ring—misalnya, asia-northeast1.
KEY_RING: Nama key ring yang Anda tentukan saat membuat project pengelolaan kunci dan key ring folder Assured Workloads.
KEY_NAME: Nama kunci yang ingin Anda perbarui.

Isi permintaan:

{
  "purpose": "PURPOSE",
  "versionTemplate": {
    "protectionLevel": "PROTECTION_LEVEL",
    "algorithm": "ALGORITHM"
  },
  "keyAccessJustificationsPolicy": {
    "allowedAccessReasons": [
      ALLOWED_ACCESS_REASONS
    ]
  }
}

Dalam isi permintaan, ganti nilai placeholder berikut:

PURPOSE: Tujuan penggunaan kunci. Untuk mengetahui daftar berbagai tujuan kunci, lihat Tujuan kunci—misalnya, ENCRYPT_DECRYPT.
PROTECTION_LEVEL: Tingkat perlindungan kunci—misalnya, SOFTWARE atau HSM.
ALGORITHM: Algoritma kriptografi yang akan digunakan. Untuk mengetahui daftar algoritma yang tersedia, lihat Algoritma Cloud KMS—misalnya, GOOGLE_SYMMETRIC_ENCRYPTION.
ALLOWED_ACCESS_REASONS: Kebijakan Key Access Justifications yang menentukan nol atau lebih banyak kode justifikasi yang diizinkan untuk mengakses kunci enkripsi—misalnya, ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"].

Contoh permintaan dan isi permintaan berikut hanya mengizinkan justifikasi akses karena beberapa alasan:

PATCH https://cloudkms.googleapis.com/v1/projects/919698201234/locations/asia-northeast1/keyRings/my-key-ring/cryptoKeys/my-hsm-key?keyAccessJustificationsPolicy

{
  "purpose": "ENCRYPT_DECRYPT",
  "versionTemplate": {
    "protectionLevel": "HSM",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "keyAccessJustificationsPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Mendapatkan kebijakan Key Access Justifications untuk kunci

REST

Dapatkan metadata tentang kunci yang ada di Cloud KMS menggunakan metode cryptoKeys.get:

GET https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME

Dalam parameter permintaan, ganti nilai placeholder berikut dengan nilai Anda sendiri:

PROJECT_ID: Project ID yang berisi key ring untuk kunci—misalnya, 919698201234.
LOCATION: Lokasi key ring—misalnya, asia-northeast1.
KEY_RING: Nama key ring yang Anda tentukan saat membuat project pengelolaan kunci dan key ring folder Assured Workloads—misalnya, my-key-ring.
KEY_NAME: Nama kunci yang ingin Anda dapatkan.

Contoh permintaan berikut mendapatkan metadata tentang kunci di Cloud KMS:

GET https://cloudkms.googleapis.com/v1/projects/919698201234/locations/asia-northeast1/keyRings/my-key-ring/cryptoKeys/my-hsm-key

Isi respons berisi metadata tentang kunci Anda, termasuk keyAccessJustificationsPolicy. Contoh:

{
  "purpose": "ENCRYPT_DECRYPT",
  "versionTemplate": {
    "protectionLevel": "HSM",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "keyAccessJustificationsPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Langkah berikutnya

Anda juga dapat Menetapkan kebijakan Pembenaran Akses Kunci default (Pratinjau).