Mengaktifkan kunci enkripsi yang dikelola pelanggan

Dokumen ini menjelaskan cara mengenkripsi data Dataplex dengan kunci enkripsi yang dikelola pelanggan (CMEK).

Ringkasan

Secara default, Dataplex mengenkripsi konten pelanggan dalam penyimpanan. Dataplex menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan terintegrasi CMEK, termasuk Dataplex. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografis. Dengan Cloud KMS, Anda juga dapat melacak penggunaan kunci, melihat log audit, dan mengontrol siklus proses kunci. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Dataplex mirip dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Dataplex menggunakan satu CMEK per lokasi untuk semua resource Dataplex.

Anda dapat mengonfigurasi kunci CMEK di tingkat organisasi di Dataplex.

Untuk mengetahui informasi selengkapnya tentang CMEK secara umum, termasuk waktu dan alasan mengaktifkannya, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Manfaat CMEK

CMEK memungkinkan Anda melakukan hal berikut:

  • Mengelola operasi siklus proses utama dan izin akses.
  • Lacak penggunaan kunci dengan Key Inventory API dan dasbor Key Usage di Cloud KMS, yang memungkinkan Anda melihat hal-hal seperti kunci yang melindungi resource mana. Cloud Logging memberi tahu Anda kapan kunci diakses dan oleh siapa.
  • Memenuhi persyaratan peraturan tertentu dengan mengelola kunci enkripsi Anda.

Cara kerja CMEK dengan Dataplex

Administrator enkripsi Dataplex di project Google Cloud Anda dapat mengonfigurasi CMEK untuk Dataplex dengan memberikan kunci Cloud KMS. Kemudian, Dataplex menggunakan kunci Cloud KMS yang ditentukan untuk mengenkripsi semua data, termasuk data yang ada dan resource baru yang dibuat dalam Dataplex.

Fitur yang didukung

  • Dataplex mendukung enkripsi CMEK untuk fitur berikut:
  • Pelanggan Assured Workloads tidak dapat menggunakan fitur Dataplex lain karena enkripsi CMEK tidak didukung untuk mereka.
  • Pelanggan yang tidak menggunakan Assured Workloads dapat menggunakan fitur lain, tetapi data dienkripsi menggunakan enkripsi default Google.

Pertimbangan

  • Secara default, setiap organisasi disediakan menggunakan enkripsi default Google.
  • Administrator Organisasi dapat beralih ke CMEK di Dataplex untuk lokasi mana pun.
  • Dataplex mendukung kunci Cloud KMS, kunci Cloud HSM, dan kunci Cloud External Key Manager.
  • Rotasi kunci didukung, dan setelah tersedia, versi kunci baru akan digunakan secara otomatis untuk enkripsi data. Data yang ada juga dienkripsi dengan versi baru ini.
  • Dataplex menyimpan cadangan data selama maksimum 15 hari. Semua pencadangan yang dibuat setelah Anda mengaktifkan CMEK akan dienkripsi menggunakan kunci KMS yang ditentukan. Data yang dicadangkan sebelum mengaktifkan CMEK tetap dienkripsi dengan enkripsi default Google selama maksimal 15 hari.

Batasan

  • Beralih ke CMEK adalah proses yang tidak dapat diurungkan. Setelah memilih CMEK, Anda tidak dapat kembali ke enkripsi default Google.
  • Setelah dikonfigurasi untuk Dataplex, kunci Cloud KMS tidak dapat diperbarui atau diubah.
  • Dataplex hanya mendukung enkripsi tingkat organisasi. Akibatnya, konfigurasi enkripsi ditetapkan di tingkat organisasi untuk lokasi tertentu dan digunakan untuk mengenkripsi data Dataplex untuk semua project dalam organisasi dan lokasi tersebut. Enkripsi CMEK tidak didukung untuk project tertentu dalam organisasi atau folder. Penetapan kebijakan organisasi terkait CMEK memerlukan pertimbangan yang cermat.
  • Dataplex tidak mendukung CMEK di region global.

Melindungi kunci enkripsi Anda

Untuk memastikan akses berkelanjutan ke data yang dienkripsi oleh CMEK, ikuti praktik terbaik berikut:

  • Pastikan kunci CMEK Anda tetap diaktifkan dan dapat diakses. Jika kunci dinonaktifkan atau dihancurkan, data Dataplex tidak dapat diakses. Jika kunci tidak tersedia selama lebih dari 30 hari, data yang dienkripsi dengan kunci tersebut akan otomatis dihapus dan tidak dapat dipulihkan.
  • Jika kunci Cloud KMS dihancurkan dan tidak dapat dipulihkan, semua data Dataplex terkait akan hilang secara permanen.
  • Jika Cloud KMS tidak tersedia untuk sementara, Dataplex akan terus mendukung operasi penuh dengan upaya terbaik hingga satu jam. Setelah periode ini, data tidak akan dapat diakses sementara sebagai tindakan pengamanan.
  • Saat menggunakan Cloud EKM, perlu diketahui bahwa Google tidak mengontrol ketersediaan kunci yang dikelola secara eksternal. Ketidaktersediaan kunci jangka pendek menyebabkan data tidak dapat diakses untuk sementara. Ketidaktersediaan kunci yang berlanjut selama 30 hari akan menyebabkan hilangnya data secara permanen.
  • Setelah mengaktifkan CMEK, jangan pindahkan project dari satu organisasi ke organisasi lain, karena tindakan ini akan mengakibatkan hilangnya data.

Ketersediaan Dataplex

Bagian berikut menguraikan proses dan dampak operasional yang diharapkan saat Anda mengaktifkan CMEK untuk organisasi Dataplex.

Penyediaan infrastruktur awal

Setelah Anda menyimpan konfigurasi enkripsi, Dataplex akan menyiapkan infrastruktur yang diperlukan. Proses ini biasanya memerlukan waktu 6 hingga 8 jam. Selama fase penyediaan ini, Anda mempertahankan akses penuh ke semua fitur dan fungsi Dataplex, dan data tetap dienkripsi melalui enkripsi yang dikelola Google. Jika kebijakan organisasi constraints/gcp.restrictNonCmekServices ditetapkan, permintaan pembuatan resource akan gagal hingga fase penyediaan selesai.

Enkripsi data dan ketersediaan API

Setelah penyediaan infrastruktur, Dataplex mulai mengenkripsi data yang ada dan disimpan dalam organisasi. Untuk memastikan integritas data dan mencegah potensi inkonsistensi selama proses enkripsi ini, metode Dataplex API tidak tersedia untuk sementara. Batasan ini mencegah operasi pembaruan data. Saat Anda pertama kali mengaktifkan CMEK untuk Dataplex, semua data yang ada akan dienkripsi. Operasi satu kali ini diperkirakan memerlukan waktu hingga dua jam.

Operasi pasca-enkripsi

Setelah enkripsi data yang ada berhasil diselesaikan, metode Dataplex API akan tersedia sepenuhnya. Membuat atau mengubah data dalam Dataplex otomatis dienkripsi menggunakanCMEK yang dikonfigurasi, tanpa gangguan operasional atau batasan API.

Membuat kunci dan mengaktifkan CMEK

Petunjuk berikut menjelaskan cara membuat kunci dan mengaktifkan CMEK untuk Dataplex. Anda dapat menggunakan kunci yang dibuat langsung di Cloud KMS atau kunci yang dikelola secara eksternal yang Anda sediakan dengan Cloud EKM.

  1. Di project Google Cloud tempat Anda ingin mengelola kunci, lakukan hal berikut:

    1. Aktifkan Cloud Key Management Service API.

    2. Buat key ring Cloud KMS di lokasi tempat Anda ingin menggunakannya.

    3. Buat kunci menggunakan salah satu opsi berikut:

  2. Buat dan tampilkan akun layanan yang dikelola Google:

    gcloud beta services identity create \
    --service=dataplex.googleapis.com \
    --organization=ORG_ID

    Ganti ORG_ID dengan ID organisasi yang berisi kunci.

    Jika Anda diminta untuk menginstal komponen perintah beta Google Cloud CLI, masukkan Y.

    Perintah services identity gcloud CLI membuat atau mendapatkan akun layanan khusus yang dikelola Google yang dapat digunakan Dataplex untuk mengakses kunci Cloud KMS.

    ID akun layanan diformat sebagai service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.

  3. Berikan peran IAM CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) ke akun layanan Dataplex. Berikan izin ini pada kunci yang Anda buat.

    Konsol

    1. Buka halaman Key management.

      Buka Key management

    2. Klik key ring.

    3. Dalam daftar kunci yang tersedia, klik kunci yang Anda buat.

    4. Klik tab Izin.

    5. Klik Grant access.

    6. Di panel Berikan akses yang terbuka, ikuti langkah-langkah berikut untuk memberikan akses ke akun layanan Dataplex:

      1. Di Add principals, masukkan akun layanan service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com.
      2. Di Tetapkan peran, pilih peran Encrypter/Decrypter Cloud KMS CryptoKey.
      3. Klik Simpan.

    gcloud

    Berikan peran cloudkms.cryptoKeyEncrypterDecrypter kepada akun layanan:

    gcloud kms keys add-iam-policy-binding KEY_NAME \
    --location=LOCATION \
    --keyring KEY_RING \
    --project=KEY_PROJECT_ID \
    --member serviceAccount:service-org-ORG_ID@gcp-sa-dataplex.iam.gserviceaccount.com \
    --role roles/cloudkms.cryptoKeyEncrypterDecrypter

    Ganti kode berikut:

    • KEY_NAME: adalah nama kunci
    • LOCATION: lokasi
    • KEY_RING: key ring
    • KEY_PROJECT_ID: project ID kunci

  4. Tetapkan peran Dataplex Encryption Admin untuk diri Anda sendiri.

    Konsol

    Ikuti petunjuk untuk memberikan peran IAM.

    gcloud 

    gcloud organizations add-iam-policy-binding ORG_ID \
    --member='user:USER_EMAIL' \
    --role='roles/dataplex.encryptionAdmin'

    Ganti kode berikut:

    • ORG_ID: ID organisasi yang berisi kunci.
    • USER_EMAIL: alamat email pengguna.

  5. Konfigurasikan Dataplex untuk menggunakan kunci CMEK Anda.

    Konsol

    1. Di Google Cloud console, buka halaman Dataplex.

      Buka Dataplex

    2. Klik Setelan.

    3. Di Pilih region untuk CMEK, pilih region. Region yang Anda pilih harus cocok dengan lokasi kunci Cloud KMS.

    4. Di Select encryption key, pilih kunci yang Anda buat.

    5. Klik Simpan.

      Proses enkripsi data memerlukan waktu beberapa saat untuk diselesaikan. Setelah proses selesai, pesan berikut akan muncul: Data Encryption is complete. Your selected CMEK key is now protecting your data.

    gcloud

    1. Tetapkan konfigurasi enkripsi di Dataplex:

      gcloud alpha dataplex encryption-config create default \
    --location=LOCATION \
    --organization=ORG_ID \
    --key=KEY_RESOURCE_ID

      Ganti kode berikut:

      • ORG_ID: ID organisasi yang berisi kunci.
      • KEY_RESOURCE_ID: ID resource kunci - misalnya, projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME. Ganti PROJECT_ID dengan project ID kunci.

    2. Pastikan proses enkripsi sudah selesai:

      gcloud alpha dataplex encryption-config describe default \
    --location=LOCATION \
    --organization=ORG_ID

    Proses enkripsi data memerlukan waktu beberapa saat untuk diselesaikan. Setelah proses selesai, pesan berikut akan muncul: encryptionState: COMPLETED.

Logging dan pemantauan

Audit permintaan Dataplex ke Cloud KMS dengan mengaktifkan logging audit untuk Cloud KMS API.

Kebijakan organisasi CMEK

Google Cloud memberikan batasan kebijakan organisasi untuk menerapkan penggunaan CMEK dan mengontrol kunci Cloud KMS yang diizinkan dalam organisasi Anda. Batasan ini membantu memastikan bahwa data dalam Dataplex dilindungi secara konsisten oleh CMEK.

  • constraints/gcp.restrictNonCmekServices menerapkan penggunaan CMEK wajib untuk resource Dataplex.

    • Menambahkan dataplex.googleapis.com ke daftar nama layanan Google Cloud dan menetapkan batasan ke Deny akan melarang pembuatan resource Dataplex yang tidak memiliki perlindungan CMEK.

    • Jika kunci Cloud KMS tidak ditentukan untuk lokasi yang diminta di setelan enkripsi CMEK, permintaan untuk membuat resource dalam Dataplex akan gagal.

    • Kebijakan ini divalidasi di tingkat project resource individual.

  • constraints/gcp.restrictCmekCryptoKeyProjects membatasi pemilihan kunci Cloud KMS untuk CMEK ke hierarki resource yang ditetapkan.

    • Dengan mengonfigurasi daftar indikator hierarki resource (project, folder, atau organisasi) dan menetapkan batasan ke Allow, Dataplex dibatasi untuk menggunakan kunci CMEK hanya dari lokasi yang ditentukan.

    • Jika kunci Cloud KMS dari project yang tidak diizinkan diberikan, permintaan untuk membuat resource yang dilindungi CMEK di Dataplex akan gagal.

    • Kebijakan ini divalidasi di tingkat project resource selama pembuatan resource.

    • Kebijakan ini divalidasi di tingkat organisasi saat mengonfigurasi setelan enkripsi CMEK.

    • Untuk mencegah inkonsistensi, pastikan konfigurasi tingkat project selaras dengan kebijakan seluruh organisasi.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi kebijakan organisasi, lihat kebijakan organisasi CMEK.

Langkah berikutnya

  • Pelajari CMEK lebih lanjut.