Halaman ini diterjemahkan oleh Cloud Translation API.

Kunci enkripsi yang dikelola pelanggan

Secara default, Integration Connectors mengenkripsi konten pelanggan dalam penyimpanan. Integration Connectors menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Integration Connectors. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melihat log audit dan mengontrol siklus proses kunci. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Anda yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Integration Connectors Anda serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Sebelum memulai

Pastikan tugas berikut telah diselesaikan sebelum menggunakan CMEK untuk Integration Connectors:

Aktifkan Cloud KMS API untuk project yang akan menyimpan kunci enkripsi Anda.
Mengaktifkan Cloud KMS API
Tips: Anda dapat menjalankan Integration Connectors dan Cloud KMS di project Google Cloud yang sama, atau di project yang berbeda.
Tetapkan peran IAM Admin Cloud KMS atau berikan izin IAM berikut untuk project yang akan menyimpan kunci enkripsi Anda:
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
Untuk mengetahui informasi tentang cara memberikan peran atau izin tambahan, lihat Memberikan, mengubah, dan mencabut akses.

Perhatian: Peran Admin Cloud KMS berisi izin untuk pemeliharaan kunci dan penghancuran versi kunci. Untuk melindungi resource Cloud KMS Anda, peran ini hanya boleh ditetapkan kepada individu yang bertanggung jawab atas administrasi kunci.
Buat key ring dan kunci.
Catatan: Key ring harus dibuat di region yang sama dengan tempat Anda menyiapkan Integration Connectors.

Menambahkan akun layanan ke kunci CMEK

Untuk menggunakan kunci CMEK di Integration Connectors, Anda harus memastikan bahwa akun layanan default Anda (dengan format service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com) ditambahkan dan diberi peran IAM CryptoKey Encrypter/Decrypter untuk kunci CMEK tersebut.

Catatan: Akun layanan default mungkin tidak ada jika Anda menyediakan region pertama. Untuk membuat akun layanan, jalankan perintah gcloud beta services identity create --service=connectors.googleapis.com --project=PROJECT_ID.

Di konsol Google Cloud , buka halaman Key Inventory.
Buka halaman Key Inventory
Centang kotak untuk kunci CMEK yang diinginkan.
Tab Permissions di panel jendela kanan akan tersedia.
Klik Tambahkan prinsipal, lalu masukkan alamat email akun layanan default.
Klik Select a role, lalu pilih peran Cloud KMS CryptoKey Encrypter/Decrypter dari menu drop-down yang tersedia.
Klik Simpan.

Mengaktifkan enkripsi CMEK untuk region Integration Connectors yang ada

Anda dapat menggunakan CMEK untuk mengenkripsi dan mendekripsi data yang didukung yang disimpan di suatu region (juga disebut sebagai lokasi). Untuk mengaktifkan enkripsi CMEK untuk region Integration Connectors yang sudah ada, lakukan langkah-langkah berikut:

Di konsol Google Cloud , buka halaman Integration Connectors > Connections.
Buka halaman Buka semua koneksi.
Filter koneksi untuk Lokasi yang diperlukan.
Anda akan mendapatkan daftar semua koneksi untuk lokasi (region) yang ditentukan.
Tunda semua koneksi di region.
Buka halaman Integration Connectors > Regions. Bagian ini mencantumkan semua region tempat Integration Connectors tersedia.
Untuk region tempat Anda ingin mengaktifkan CMEK, klik Edit enkripsi di menu Tindakan. Tindakan ini akan menampilkan panel Edit enkripsi.
Pilih Customer-managed encryption key (CMEK), lalu pilih kunci yang diperlukan dari menu drop-down Customer-managed key.
Anda mungkin diminta untuk memberikan peran cloudkms.cryptoKeyEncrypterDecrypter ke akun layanan. Klik Berikan.
Klik Selesai.

Mengaktifkan enkripsi CMEK untuk region Integration Connectors baru

Di konsol Google Cloud , buka halaman Integration Connectors > Regions.
Buka halaman Wilayah.
Klik Provision new region. Tindakan ini akan menampilkan halaman buat region.
Pilih region yang diperlukan dari menu drop-down Region.
Di bagian Advanced settings, pilih Customer-managed encryption key (CMEK), lalu pilih kunci yang diperlukan dari menu drop-down Customer-managed key
Anda mungkin diminta untuk memberikan peran cloudkms.cryptoKeyEncrypterDecrypter ke akun layanan. Klik Berikan.
Klik Selesai.

Kuota Cloud KMS dan Integration Connectors

Saat Anda menggunakan CMEK di Integration Connectors, project Anda dapat memakai kuota permintaan kriptografi Cloud KMS. Misalnya, kunci CMEK dapat memakai kuota ini untuk setiap panggilan enkripsi dan dekripsi.

Operasi enkripsi dan dekripsi yang menggunakan kunci CMEK memengaruhi kuota Cloud KMS dengan cara berikut:

Untuk kunci software CMEK yang dihasilkan di Cloud KMS, tidak ada kuota Cloud KMS yang digunakan.
Untuk kunci hardware CMEK—terkadang disebut kunci Cloud HSM —operasi enkripsi dan dekripsi akan mengurangi kuota Cloud HSM dalam project yang berisi kunci tersebut.
Untuk kunci eksternal CMEK—terkadang disebut kunci Cloud EKM —operasi enkripsi dan dekripsi akan mengurangi kuota Cloud EKM dalam project yang berisi kunci tersebut.

Untuk informasi selengkapnya, lihat kuota Cloud KMS.