Melindungi data Anda dengan CMEK

Halaman ini memberikan informasi tambahan untuk melindungi data Anda dengan kunci enkripsi yang dikelola pelanggan (CMEK) untuk fungsi yang dibuat menggunakan perintah gcloud functions atau Cloud Functions v2 API.

Untuk deskripsi mendetail tentang CMEK, termasuk penyiapan manual, penggunaan Autokey, dan pengujian perlindungan CMEK, lihat dokumentasi Cloud Run.

Jenis data fungsi Cloud Run berikut dienkripsi saat menggunakan CMEK:

  • Kode sumber fungsi yang diupload untuk penerapan dan disimpan oleh Google di Cloud Storage, yang digunakan dalam proses build.
  • Hasil proses build fungsi, termasuk:
    • Image container yang dibuat dari kode sumber fungsi Anda.
    • Setiap instance fungsi yang di-deploy.

Proses build fungsi itu sendiri dilindungi oleh kunci efemeral yang dibuat secara unik untuk setiap build. Lihat Kepatuhan CMEK di Cloud Build untuk mengetahui informasi selengkapnya. Selain itu, perhatikan hal-hal berikut:

  • Metadata file, seperti jalur sistem file atau stempel waktu modifikasi, tidak dienkripsi.

  • Jika kunci dinonaktifkan, image container tidak dapat di-deploy dan instance baru tidak dapat dimulai.

  • Perlindungan CMEK fungsi Cloud Run hanya berlaku untuk resource fungsi Cloud Run yang dikelola Google; Anda bertanggung jawab untuk melindungi data dan resource yang dikelola oleh Anda, seperti repositori kode sumber, saluran peristiwa yang ada di project pelanggan, atau layanan apa pun yang digunakan oleh fungsi Anda.

Sebelum memulai

  1. Buat kunci region tunggal untuk mengenkripsi fungsi Anda. Untuk mempelajari cara membuat kunci, lihat Membuat kunci enkripsi simetris.

  2. Buat repositori Artifact Registry yang telah mengaktifkan CMEK. Anda harus menggunakan kunci yang sama untuk repositori Artifact Registry seperti yang Anda gunakan saat mengaktifkan CMEK untuk suatu fungsi.

  3. Untuk fungsi berbasis peristiwa, ikuti langkah-langkah penyiapan tambahan yang diuraikan dalam Mengaktifkan CMEK untuk saluran Google.

Memberi akun layanan akses ke kunci

Untuk semua fungsi, Anda harus memberi akun layanan berikut akses ke kunci:

  • Agen layanan fungsi Cloud Run (service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com)

  • Agen layanan Artifact Registry (service-PROJECT_NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com)

  • Agen layanan Cloud Storage (service-PROJECT_NUMBER@gs-project-accounts.iam.gserviceaccount.com)

  • Agen layanan Cloud Run (service-PROJECT_NUMBER@serverless-robot-prod.iam.gserviceaccount.com)

  • Agen layanan Eventarc (service-PROJECT_NUMBER@gcp-sa-eventarc.iam.gserviceaccount.com)

Untuk memberi akun layanan ini akses ke kunci tersebut, tambahkan setiap akun layanan sebagai akun utama dari kunci tersebut, lalu berikan peran Cloud KMS CryptoKey Encrypter/Decrypter kepada akun layanan tersebut:

Konsol

  1. Buka halaman Cloud Key Management Service di konsol Google Cloud :
    Buka halaman Cloud KMS

  2. Klik nama key ring yang berisi kunci yang dipilih.

  3. Klik nama kunci untuk melihat detail kunci.

  4. Di tab Izin, klik Berikan akses.

  5. Di kolom New principals, masukkan alamat email ketiga akun layanan yang telah dibahas sebelumnya untuk menetapkan izin ke ketiga akun tersebut sekaligus.

  6. Di menu Select a role, pilih Cloud KMS CryptoKey Encrypter/Decrypter.

  7. Klik Simpan.

gcloud

Untuk setiap akun layanan yang telah dibahas sebelumnya, jalankan perintah berikut:

gcloud kms keys add-iam-policy-binding KEY \
  --keyring KEY_RING \
  --location LOCATION \
  --member serviceAccount:SERVICE_AGENT_EMAIL \
  --role roles/cloudkms.cryptoKeyEncrypterDecrypter

Ganti kode berikut:

  • KEY: Nama kunci. Contoh, my-key.

  • KEY_RING: Nama key ring. Contoh, my-keyring.

  • LOCATION: Lokasi kunci. Contoh, us-central1.

  • SERVICE_AGENT_EMAIL: Alamat email akun layanan.

Mengaktifkan CMEK untuk fungsi

Setelah menyiapkan repositori Artifact Registry dengan CMEK diaktifkan dan memberi fungsi Cloud Run akses ke kunci, Anda siap mengaktifkan CMEK untuk fungsi Anda.

Untuk mengaktifkan CMEK sebuah fungsi, jalankan perintah berikut:

gcloud functions deploy FUNCTION \
    --kms-key=KEY \
    --docker-repository=REPOSITORY \
    --source=YOUR_SOURCE_LOCATION
    FLAGS...

Ganti kode berikut:

  • FUNCTION: Nama fungsi untuk mengaktifkan CMEK. Contoh, cmek-function.

  • KEY: Nama kunci yang sepenuhnya memenuhi syarat, dalam format berikut: projects/PROJECT_NAME/locations/LOCATION/keyRings/KEYRING_NAME/cryptoKeys/KEY_NAME.

  • REPOSITORY: Nama repositori Artifact Registry yang sepenuhnya memenuhi syarat, dalam format berikut: projects/PROJECT_NAME/locations/LOCATION/repositories/REPOSITORY.

  • YOUR_SOURCE_LOCATION: Saat mengaktifkan CMEK untuk fungsi yang sudah ada, pastikan kode sumber yang dimaksud di-deploy ulang dengan menentukan parameter ini secara eksplisit.

  • FLAGS...: Flag tambahan yang mungkin diperlukan untuk men-deploy fungsi Anda, terutama untuk membuat deployment. Untuk mengetahui detailnya, lihat Men-deploy fungsi Cloud Run.

CMEK diaktifkan untuk fungsi ini. Secara opsional, aktifkan kebijakan organisasi CMEK untuk menerapkan semua fungsi baru agar mematuhi CMEK.

Perhatikan bahwa fungsi Cloud Run selalu menggunakan versi utama kunci untuk perlindungan CMEK. Anda tidak dapat menentukan versi kunci tertentu yang akan digunakan saat mengaktifkan CMEK untuk fungsi Anda.

Jika kunci dihancurkan atau dinonaktifkan, atau izin yang diperlukan atas kunci tersebut dicabut, instance aktif dari fungsi yang dilindungi oleh kunci tersebut tidak akan dinonaktifkan. Eksekusi fungsi yang sudah berjalan akan terus berjalan, tetapi eksekusi baru akan gagal selama fungsi Cloud Run tidak memiliki akses ke kunci.