Menggunakan CMEK dengan Dataproc Serverless

Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Secara default, Dataproc Serverless mengenkripsi konten pelanggan dalam penyimpanan. Dataproc Serverless menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan terintegrasi CMEK, termasuk Dataproc Serverless. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batas kriptografisnya. Dengan Cloud KMS, Anda juga dapat melacak penggunaan kunci, melihat log audit, dan mengontrol siklus proses kunci. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Dataproc Serverless mirip dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi Anda, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Menggunakan CMEK

Ikuti langkah-langkah di bagian ini untuk menggunakan CMEK guna mengenkripsi data yang ditulis Dataproc Serverless ke disk persisten dan ke bucket staging Dataproc.

1. Buat kunci menggunakan Cloud Key Management Service (Cloud KMS).

2. Salin nama resource.

   

   Nama resource dibuat sebagai berikut:

   projects/PROJECT_ID/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
   

3. Aktifkan akun layanan Compute Engine, Dataproc, dan Agen Layanan Cloud Storage untuk menggunakan kunci Anda:

   1. Lihat Melindungi resource dengan menggunakan kunci Cloud KMS > Peran yang Diperlukan untuk menetapkan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS ke akun layanan Agen Layanan Compute Engine. Jika akun layanan ini tidak tercantum di halaman IAM di konsol Google Cloud, klik Sertakan pemberian peran yang disediakan Google untuk mencantumkannya.

   2. Tetapkan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS ke akun layanan Agen Layanan Dataproc. Anda dapat menggunakan Google Cloud CLI untuk menetapkan peran:

       gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
       --member serviceAccount:service-PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com \
       --role roles/cloudkms.cryptoKeyEncrypterDecrypter
      

      Ganti kode berikut:

      KMS_PROJECT_ID: ID project Google Cloud Anda yang menjalankan Cloud KMS. Project ini juga dapat menjadi project yang menjalankan resource Dataproc.

      PROJECT_NUMBER: nomor project (bukan project ID) dari project Google Cloud Anda yang menjalankan resource Dataproc.

   3. Aktifkan Cloud KMS API di project yang menjalankan resource Dataproc Serverless.

   4. Jika peran Agen Layanan Dataproc tidak dilampirkan ke akun layanan Agen Layanan Dataproc, tambahkan izin serviceusage.services.use ke peran kustom yang dilampirkan ke akun layanan Agen Layanan Dataproc. Jika peran Agen Layanan Dataproc disertakan ke akun layanan Agen Layanan Dataproc, Anda dapat melewati langkah ini.

   5. Ikuti langkah-langkah untuk menambahkan kunci Anda di bucket.

4. Saat Anda mengirimkan beban kerja batch:

   1. Tentukan kunci Anda dalam parameter Batch kmsKey.
   2. Tentukan nama bucket Cloud Storage Anda di parameter Batch stagingBucket.