Mengenkripsi data menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)

Halaman ini menjelaskan cara mengenkripsi data yang disimpan di instance AI AML dengan kunci enkripsi yang dikelola pelanggan (CMEK).

Ringkasan

Semua Data Pelanggan dalam instance AI AML dienkripsi saat dalam penyimpanan menggunakan kunci CMEK. Anda mengelola kunci di dalam Cloud Key Management Service (Cloud KMS), dan Anda mengontrol akses ke kunci menggunakan Identity and Access Management. Jika Anda menonaktifkan untuk sementara atau menghancurkan kunci CMEK secara permanen, data yang dienkripsi dengan kunci tersebut tidak dapat diakses.

AI AML hanya mendukung CMEK dengan menggunakan Cloud KMS. Perangkat ini tidak mendukung Enkripsi Default Google.

CMEK memberi Anda kontrol atas lebih banyak aspek siklus proses dan pengelolaan kunci Anda, tetapi juga menimbulkan biaya tambahan untuk layanan Cloud KMS.

Cloud KMS dapat berjalan di project yang sama dengan AML AI atau di project terpisah tempat Anda mengelola kunci secara terpusat untuk beberapa project. Google Cloud

Konfigurasi enkripsi disiapkan saat Anda membuat instance. Setelah instance dibuat, Anda tidak dapat menetapkan kunci Cloud KMS yang berbeda. Anda tetap dapat merotasi kunci.

Untuk mengetahui informasi selengkapnya tentang CMEK secara umum, lihat dokumentasi Cloud KMS.

Level perlindungan

Cloud KMS memungkinkan Anda memilih dari berbagai tingkat perlindungan yang berbeda, termasuk:

  • Kunci software
  • Modul Keamanan Hardware (HSM) menggunakan Cloud HSM

Baca cara mengonfigurasi CMEK di AML AI. Tidak semua tingkat perlindungan tersedia di semua wilayah. Perhatikan bahwa AI AML tidak mendukung Kunci Enkripsi yang Disediakan Pelanggan (CSEK) atau Cloud External Key Manager.

Data Pelanggan

Semua Data Pelanggan yang ditangani oleh AML AI dienkripsi dalam penyimpanan menggunakan kunci CMEK yang ditentukan dalam resource Instance induk yang sesuai. Hal ini mencakup semua Data Pelanggan yang terkait dengan resource AML AI, seperti set data, konfigurasi mesin, model, dan lainnya. Semua penyimpanan sementara dan persisten Data Pelanggan, termasuk salinan input dan output, fitur ML yang dihasilkan, hyperparameter model, bobot model, dan hasil prediksi, dienkripsi menggunakan kunci CMEK dari instance yang sesuai.

Lihat persyaratan khusus layanan untuk mengetahui definisi data pelanggan, yang mungkin tidak mencakup ID resource, atribut, atau label data lainnya.

Mengenkripsi data input dan output

Konfigurasi enkripsi AML AI dalam instance hanya digunakan untuk resource AML AI dan datanya. AML AI tidak mengelola enkripsi data input atau output di project Google CloudAnda. Jika Anda ingin data ini dienkripsi menggunakan CMEK, Anda harus menyiapkan kunci Cloud KMS agar sesuai dengan tingkat perlindungan kunci yang dipilih yang dikonfigurasi di set data BigQuery. Anda juga dapat menggunakan kembali kunci yang sama yang digunakan oleh AI AML.

Baca selengkapnya tentang enkripsi di BigQuery.

Rotasi kunci

Merotasi kunci secara berkala dan otomatis adalah praktik keamanan yang direkomendasikan. Dengan CMEK, rotasi kunci dikontrol oleh Anda. Saat Anda merotasi kunci, data yang dienkripsi dengan versi kunci sebelumnya tidak akan otomatis dienkripsi ulang dengan versi kunci baru.

Satu resource AI AML dapat disimpan secara internal sebagai beberapa unit. Jika, selama masa aktif resource AI AML, versi kunci dirotasi, tidak semua unit dapat dienkripsi dengan versi kunci yang sama.

Jika Anda mengganti kunci, tidak ada cara di AML AI untuk memaksa enkripsi ulang atau untuk menentukan apakah versi kunci yang lebih lama aman untuk dihapus.

Baca selengkapnya tentang rotasi kunci dengan Cloud KMS.

Membuat kunci dan memberikan izin

Petunjuk berikut menjelaskan cara membuat kunci untuk instance dan memberikan izin untuk mengenkripsi dan mendekripsi data instance dengan kunci tersebut. Anda dapat menggunakan kunci yang dibuat langsung di Cloud KMS atau kunci yang dikelola secara eksternal yang Anda sediakan dengan Cloud External Key Manager.

  1. Di project Google Cloud tempat Anda ingin mengelola kunci:

    1. Aktifkan Cloud KMS API.

    2. Buat key ring menggunakan metode projects.locations.keyRings.create. Lokasi key ring Cloud KMS harus cocok dengan lokasi instance yang Anda enkripsi.

      REST

      Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

      • KMS_PROJECT_ID: ID project untuk project yang berisi key ring Google Cloud
      • LOCATION: lokasi key ring; gunakan salah satu wilayah yang didukung
        Tampilkan lokasi
        • us-central1
        • us-east1
        • asia-south1
        • europe-west1
        • europe-west2
        • europe-west4
        • northamerica-northeast1
        • southamerica-east1
        • australia-southeast1
      • KEY_RING_ID: ID yang ditentukan pengguna untuk key ring

      Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:

      curl

      Jalankan perintah berikut: 

      curl -X POST \
           -H "Authorization: Bearer $(gcloud auth print-access-token)" \
           -H "Content-Type: application/json; charset=utf-8" \
           -d "" \
           "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID"

      PowerShell

      Jalankan perintah berikut: 

      $cred = gcloud auth print-access-token
      $headers = @{ "Authorization" = "Bearer $cred" }

      Invoke-WebRequest `
          -Method POST `
          -Headers $headers `
          -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings?key_ring_id=KEY_RING_ID" | Select-Object -Expand Content

      Anda akan melihat respons JSON seperti berikut:

      {
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID",
  "createTime": "2023-03-14T15:52:55.358979323Z"
}

      gcloud

      Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

      • KMS_PROJECT_ID: ID project untuk project yang berisi key ring Google Cloud
      • LOCATION: lokasi key ring; gunakan salah satu wilayah yang didukung
        Tampilkan lokasi
        • us-central1
        • us-east1
        • asia-south1
        • europe-west1
        • europe-west2
        • europe-west4
        • northamerica-northeast1
        • southamerica-east1
        • australia-southeast1
      • KEY_RING_ID: ID yang ditentukan pengguna untuk key ring

      Jalankan perintah berikut:

      Linux, macOS, atau Cloud Shell

      gcloud kms keyrings create KEY_RING_ID \
  --project KMS_PROJECT_ID --location LOCATION

      Windows (PowerShell)

      gcloud kms keyrings create KEY_RING_ID `
  --project KMS_PROJECT_ID --location LOCATION

      Windows (cmd.exe)

      gcloud kms keyrings create KEY_RING_ID ^
  --project KMS_PROJECT_ID --location LOCATION
             Anda akan menerima respons kosong: 
      $

    3. Buat kunci menggunakan metode projects.locations.keyRings.cryptoKeys.

      REST

      Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

      • KMS_PROJECT_ID: ID project untuk project yang berisi key ring Google Cloud
      • LOCATION: lokasi key ring; gunakan salah satu wilayah yang didukung
        Tampilkan lokasi
        • us-central1
        • us-east1
        • asia-south1
        • europe-west1
        • europe-west2
        • europe-west4
        • northamerica-northeast1
        • southamerica-east1
        • australia-southeast1
      • KEY_RING_ID: ID yang ditentukan pengguna untuk key ring
      • KEY_ID: ID yang ditentukan pengguna untuk kunci

      Meminta isi JSON: 

      {
  "purpose": "ENCRYPT_DECRYPT"
}

      Untuk mengirim permintaan Anda, pilih salah satu opsi berikut:

      curl

      Simpan isi permintaan dalam file bernama request.json. Jalankan perintah berikut di terminal untuk membuat atau menimpa file ini di direktori saat ini: 

      cat > request.json << 'EOF'
{
  "purpose": "ENCRYPT_DECRYPT"
}
EOF

      Kemudian, jalankan perintah berikut untuk mengirim permintaan REST Anda: 

      curl -X POST \
           -H "Authorization: Bearer $(gcloud auth print-access-token)" \
           -H "Content-Type: application/json; charset=utf-8" \
           -d @request.json \
           "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID"

      PowerShell

      Simpan isi permintaan dalam file bernama request.json. Jalankan perintah berikut di terminal untuk membuat atau menimpa file ini di direktori saat ini: 

      @'
{
  "purpose": "ENCRYPT_DECRYPT"
}
'@  | Out-File -FilePath request.json -Encoding utf8

      Kemudian jalankan perintah berikut untuk mengirim permintaan REST Anda: 

      $cred = gcloud auth print-access-token
      $headers = @{ "Authorization" = "Bearer $cred" }

      Invoke-WebRequest `
          -Method POST `
          -Headers $headers `
          -ContentType: "application/json; charset=utf-8" `
          -InFile request.json `
          -Uri "https://cloudkms.googleapis.com/v1/projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys?crypto_key_id=KEY_ID" | Select-Object -Expand Content

      Anda akan melihat respons JSON seperti berikut:

      {
  "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID",
  "primary": {
    "name": "projects/KMS_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_ID/cryptoKeys/KEY_ID/cryptoKeyVersions/1",
    "state": "ENABLED",
    "createTime": "2023-03-14T15:52:55.358979323Z",
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION",
    "generateTime": "2023-03-14T15:52:55.358979323Z"
  },
  "purpose": "ENCRYPT_DECRYPT",
  "createTime": "2023-03-14T15:52:55.358979323Z",
  "versionTemplate": {
    "protectionLevel": "SOFTWARE",
    "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION"
  },
  "destroyScheduledDuration": "86400s"
}

      gcloud

      Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

      • KMS_PROJECT_ID: ID project untuk project yang berisi key ring Google Cloud
      • LOCATION: lokasi key ring; gunakan salah satu wilayah yang didukung
        Tampilkan lokasi
        • us-central1
        • us-east1
        • asia-south1
        • europe-west1
        • europe-west2
        • europe-west4
        • northamerica-northeast1
        • southamerica-east1
        • australia-southeast1
      • KEY_RING_ID: ID yang ditentukan pengguna untuk key ring
      • KEY_ID: ID yang ditentukan pengguna untuk kunci

      Jalankan perintah berikut:

      Linux, macOS, atau Cloud Shell

      gcloud kms keys create KEY_ID \
  --keyring KEY_RING_ID \
  --project KMS_PROJECT_ID \
  --location LOCATION \
  --purpose "encryption"

      Windows (PowerShell)

      gcloud kms keys create KEY_ID `
  --keyring KEY_RING_ID `
  --project KMS_PROJECT_ID `
  --location LOCATION `
  --purpose "encryption"

      Windows (cmd.exe)

      gcloud kms keys create KEY_ID ^
  --keyring KEY_RING_ID ^
  --project KMS_PROJECT_ID ^
  --location LOCATION ^
  --purpose "encryption"
             Anda akan menerima respons kosong: 
      $

  2. Jika Anda belum membuat instance AML AI di project AML AI, akun layanan AML AI belum ada. Buat akun layanan.

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • PROJECT_ID: ID Google Cloud project untuk project tempat AML AI berjalan

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud beta services identity create --service=financialservices.googleapis.com --project=PROJECT_ID

    Windows (PowerShell)

    gcloud beta services identity create --service=financialservices.googleapis.com --project=PROJECT_ID

    Windows (cmd.exe)

    gcloud beta services identity create --service=financialservices.googleapis.com --project=PROJECT_ID

    Anda akan melihat respons seperti berikut:

    Service identity created: service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com

  3. Berikan peran IAM CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) ke akun layanan AML AI. Beri izin ini pada kunci yang Anda buat.

    Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

    • PROJECT_ID: ID Google Cloud project untuk project tempat AML AI berjalan
    • KEY_ID: ID yang ditentukan pengguna untuk kunci
    • LOCATION: lokasi key ring; gunakan salah satu wilayah yang didukung
      Tampilkan lokasi
      • us-central1
      • us-east1
      • asia-south1
      • europe-west1
      • europe-west2
      • europe-west4
      • northamerica-northeast1
      • southamerica-east1
      • australia-southeast1
    • KEY_RING_ID: ID yang ditentukan pengguna untuk key ring
    • PROJECT_NUMBER: Google Cloud nomor project untuk project tempat AML AI berjalan

    Jalankan perintah berikut:

    Linux, macOS, atau Cloud Shell

    gcloud kms keys add-iam-policy-binding KEY_ID --project=PROJECT_ID \
  --location LOCATION --keyring=KEY_RING_ID \
  --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com \
  --role roles/cloudkms.cryptoKeyEncrypterDecrypter

    Windows (PowerShell)

    gcloud kms keys add-iam-policy-binding KEY_ID --project=PROJECT_ID `
  --location LOCATION --keyring=KEY_RING_ID `
  --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com `
  --role roles/cloudkms.cryptoKeyEncrypterDecrypter

    Windows (cmd.exe)

    gcloud kms keys add-iam-policy-binding KEY_ID --project=PROJECT_ID ^
  --location LOCATION --keyring=KEY_RING_ID ^
  --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com ^
  --role roles/cloudkms.cryptoKeyEncrypterDecrypter

    Anda akan melihat respons seperti berikut:

    Updated IAM policy for key KEY_ID.
bindings:
- members:
  - serviceAccount:service-PROJECT_NUMBER@gcp-sa-financialservices.iam.gserviceaccount.com
  role: roles/cloudkms.cryptoKeyEncrypterDecrypter
etag: BwYCq0Sq4Ho=
version: 1

    Untuk mengetahui informasi selengkapnya tentang perintah ini, lihat dokumentasi gcloud kms keys add-iam-policy-binding.

Sekarang Anda dapat membuat instance dan menentukan kunci yang akan digunakan untuk enkripsi.

Menghapus akses

Ada beberapa cara untuk menghapus akses ke kunci dari instance yang dienkripsi CMEK:

Sebaiknya Anda mencabut izin dari akun layanan AML AI sebelum menonaktifkan atau menghapus kunci. Perubahan pada izin disebarkan dalam hitungan detik, sehingga Anda dapat mengamati dampak penonaktifan atau penghancuran kunci.

Jika Anda menonaktifkan atau menghancurkan kunci enkripsi untuk instance, Anda akan kehilangan kemampuan untuk menggunakan atau mengambil data pelanggan yang terkait dengan instance tersebut. Semua data pelanggan yang disimpan di instance menjadi tidak dapat diakses, termasuk model, konfigurasi mesin, hasil pengujian ulang, dan hasil prediksi. Pengguna dengan peran pelihat AI AML apa pun masih dapat melihat kolom seperti nama instance atau kolom resource lain yang ditampilkan dengan mengambil resource AI AML.

Setiap operasi yang menggunakan atau mengekspor data pelanggan, misalnya mengekspor metadata backtestResults, akan gagal.

Pengguna dengan peran Administrator AML AI atau Pemilik dapat menghapus instance.

Kebijakan organisasi CMEK

AI AML tidak mendukung kebijakan organisasi CMEK. Namun, AI AML selalu memerlukan penggunaan CMEK, terlepas dari kebijakan organisasi constraints/gcp.restrictNonCmekServices.

Interaksi dengan VPC-SC

Jika Anda telah mengonfigurasi AML AI di dalam perimeter VPC-SC, kunci CMEK harus tetap dapat diakses oleh akun layanan. Jika kunci tidak berada di dalam perimeter VPC-SC yang sama, ada beberapa cara untuk melakukannya, termasuk:

  • Menggunakan aturan keluar untuk memasukkan resource ke daftar yang diizinkan
  • Menggunakan peering perimeter VPC

Apa langkah selanjutnya?