Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan Cloud Key Management Service

Dengan Cloud Key Management Service (Cloud KMS), Anda dapat membuat dan mengelola kunci kriptografi untuk digunakan di layanan yang kompatibel Google Cloud dan di aplikasi Anda sendiri. Dengan Cloud KMS, Anda dapat melakukan hal berikut:

Buat kunci software atau hardware, impor kunci yang ada ke Cloud KMS, atau tautkan kunci eksternal di sistem pengelolaan kunci eksternal (EKM) yang kompatibel.
Buat kunci Cloud HSM dan gunakan dengan Cloud HSM untuk Google Workspace guna mengaktifkan enkripsi sisi klien (CSE) di Google Workspace.
Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Google Cloud produk dengan integrasi CMEK. Integrasi CMEK menggunakan kunci Cloud KMS Anda untuk mengenkripsi atau "menggabungkan" kunci enkripsi data (DEK) Anda. Membungkus DEK dengan kunci enkripsi kunci (KEK) disebut enkripsi penggabungan.
Gunakan Cloud KMS Autokey untuk mengotomatiskan penyediaan dan penetapan. Dengan Autokey, Anda tidak perlu menyediakan keyring, kunci, dan akun layanan sebelumnya. Sebagai gantinya, ID ini dibuat sesuai permintaan sebagai bagian dari pembuatan resource.
Gunakan kunci Cloud KMS untuk operasi enkripsi dan dekripsi. Misalnya, Anda dapat menggunakan Cloud KMS API atau library klien untuk menggunakan kunci Cloud KMS Anda untuk enkripsi sisi klien.
Gunakan kunci Cloud KMS untuk membuat atau memverifikasi tanda tangan digital atau tanda tangan kode autentikasi pesan (MAC).

Memilih enkripsi yang tepat untuk kebutuhan Anda

Anda dapat menggunakan tabel berikut untuk mengidentifikasi jenis enkripsi yang memenuhi kebutuhan Anda untuk setiap kasus penggunaan. Solusi terbaik untuk kebutuhan Anda mungkin mencakup kombinasi pendekatan enkripsi. Misalnya, Anda dapat menggunakan kunci software untuk data yang paling tidak sensitif dan kunci hardware atau eksternal untuk data yang paling sensitif. Untuk mengetahui informasi tambahan tentang opsi enkripsi yang dijelaskan di bagian ini, lihat Melindungi data di Google Cloud di halaman ini.

Jenis enkripsi	Biaya	Layanan yang kompatibel	Fitur
Google-owned and Google-managed encryption keys (Google Cloud default encryption)	Disertakan	Semua Google Cloud layanan yang menyimpan data pelanggan	Tidak memerlukan konfigurasi. Secara otomatis mengenkripsi data pelanggan yang disimpan di layanan Google Cloud mana pun. Sebagian besar layanan otomatis merotasi kunci. Mendukung enkripsi menggunakan AES-256. Tervalidasi FIPS 140-2 Level 1.
Kunci enkripsi yang dikelola pelanggan - software (kunci Cloud KMS)	$0,06 per versi kunci	40+ layanan	Anda mengontrol jadwal rotasi kunci otomatis; peran dan izin IAM; mengaktifkan, menonaktifkan, atau menghancurkan versi kunci. Mendukung kunci simetris dan asimetris untuk enkripsi dan dekripsi. Merotasi kunci simetris secara otomatis. Mendukung beberapa algoritma umum. Tervalidasi FIPS 140-2 Level 1. Kunci bersifat unik untuk pelanggan.
Kunci enkripsi yang dikelola pelanggan - hardware (kunci Cloud HSM)	$1,00 hingga $2,50 per versi kunci per bulan	40+ layanan	Dikelola secara opsional melalui Autokey Cloud KMS. Anda mengontrol jadwal rotasi kunci otomatis; peran dan izin IAM; mengaktifkan, menonaktifkan, atau menghancurkan versi kunci. Mendukung kunci simetris dan asimetris untuk enkripsi dan dekripsi. Merotasi kunci simetris secara otomatis. Mendukung beberapa algoritma umum. Tervalidasi FIPS 140-2 Level 3. Kunci bersifat unik untuk pelanggan.
Kunci enkripsi yang dikelola pelanggan - eksternal (Kunci Cloud EKM)	$3,00 per versi kunci per bulan	30+ layanan	Anda mengontrol peran dan izin IAM; mengaktifkan, menonaktifkan, atau menghancurkan versi kunci. Kunci tidak pernah dikirim ke Google. Materi kunci berada di penyedia pengelolaan kunci eksternal (EKM) yang kompatibel. Layanan yang kompatibel Google Cloud terhubung ke penyedia EKM Anda melalui internet atau Virtual Private Cloud (VPC). Mendukung kunci simetris untuk enkripsi dan dekripsi. Putar kunci Anda secara manual dengan berkoordinasi dengan Cloud EKM dan penyedia EKM Anda. Divalidasi FIPS 140-2 Level 2 atau FIPS 140-2 Level 3, bergantung pada EKM. Kunci bersifat unik untuk pelanggan.
Enkripsi sisi klien menggunakan kunci Cloud KMS	Biaya versi kunci aktif bergantung pada tingkat perlindungan kunci.	Menggunakan library klien dalam aplikasi Anda	Anda mengontrol jadwal rotasi kunci otomatis; peran dan izin IAM; mengaktifkan, menonaktifkan, atau menghancurkan versi kunci. Mendukung kunci simetris dan asimetris untuk enkripsi, dekripsi, penandatanganan, dan validasi tanda tangan. Fungsi bervariasi menurut tingkat perlindungan kunci.
Cloud HSM untuk Google Workspace	Biaya bulanan tarif tetap untuk setiap instance, ditambah biaya versi kunci aktif dan operasi kriptografi.	Menggunakan kunci Cloud HSM untuk enkripsi sisi klien di Google Workspace	Anda mengontrol jadwal rotasi kunci otomatis; peran dan izin IAM; mengaktifkan, menonaktifkan, atau menghancurkan versi kunci. Gunakan kunci simetris untuk enkripsi dan dekripsi.
Kunci enkripsi yang disediakan pelanggan	Dapat meningkatkan biaya yang terkait dengan Compute Engine atau Cloud Storage	Compute Engine Cloud Storage	Anda menyediakan materi utama jika diperlukan. Materi kunci berada di dalam memori - Google tidak menyimpan kunci Anda secara permanen di server kami.
Confidential Computing	Biaya tambahan untuk setiap VM rahasia; dapat meningkatkan penggunaan log dan biaya terkait	Compute Engine GKE Dataproc	Menyediakan enkripsi saat digunakan untuk VM yang menangani data atau workload sensitif. Kunci tidak dapat diakses oleh Google.

Melindungi data dalam Google Cloud

Google-owned and Google-managed encryption keys (Google Cloud enkripsi default)

Secara default, data dalam keadaan nonaktif di Google Cloud dilindungi oleh kunci di Keystore, Google Cloud's internal key management service. Kunci di Keystore dikelola secara otomatis oleh Google Cloud, tanpa konfigurasi yang diperlukan dari Anda. Sebagian besar layanan otomatis merotasi kunci untuk Anda. Keystore mendukung versi kunci utama dan sejumlah kecil versi kunci lama. Versi kunci utama digunakan untuk mengenkripsi kunci enkripsi data baru. Versi kunci yang lebih lama masih dapat digunakan untuk mendekripsi kunci enkripsi data yang ada. Anda tidak dapat melihat atau mengelola kunci ini atau meninjau log penggunaan kunci. Data dari beberapa pelanggan mungkin menggunakan kunci enkripsi kunci yang sama.

Enkripsi default ini menggunakan modul kriptografi yang divalidasi agar mematuhi FIPS 140-2 Level 1.

Kunci enkripsi yang dikelola pelanggan (CMEK)

Kunci Cloud KMS yang digunakan untuk melindungi resource Anda di layanan yang terintegrasi dengan CMEK adalah kunci enkripsi yang dikelola pelanggan (CMEK). Anda dapat memiliki dan mengontrol CMEK, sekaligus mendelegasikan tugas pembuatan dan penetapan kunci ke Cloud KMS Autokey. Untuk mempelajari lebih lanjut cara mengotomatiskan penyediaan CMEK, lihat Cloud Key Management Service dengan Autokey.

Anda dapat menggunakan kunci Cloud KMS di layanan yang kompatibel untuk membantu Anda mencapai tujuan berikut:

Miliki kunci enkripsi Anda sendiri.
Kontrol dan kelola kunci enkripsi Anda, termasuk pilihan lokasi, tingkat perlindungan, pembuatan, kontrol akses, rotasi, penggunaan, dan penghancuran.
Menghapus data yang dilindungi oleh kunci Anda secara selektif jika terjadi penghentian penggunaan atau untuk memulihkan peristiwa keamanan (penghancuran kripto).
Buat kunci khusus tenant tunggal yang menetapkan batas kriptografi di sekitar data Anda.
Mencatat akses administratif dan data ke kunci enkripsi.
Memenuhi peraturan saat ini atau mendatang yang mewajibkan salah satu sasaran ini.

Saat menggunakan kunci Cloud KMS dengan layanan yang terintegrasi dengan CMEK, Anda dapat menggunakan kebijakan organisasi untuk memastikan bahwa CMEK digunakan seperti yang ditentukan dalam kebijakan. Misalnya, Anda dapat menetapkan kebijakan organisasi yang memastikan bahwa resource Google Cloud yang kompatibel menggunakan kunci Cloud KMS untuk enkripsi. Kebijakan organisasi juga dapat menentukan project tempat resource utama harus berada.

Fitur dan tingkat perlindungan yang diberikan bergantung pada tingkat perlindungan kunci:

Kunci software - Anda dapat membuat kunci software di Cloud KMS dan menggunakannya di semua Google Cloud lokasi. Anda dapat membuat kunci simetris dengan rotasi otomatis atau kunci asimetris dengan rotasi manual. Kunci software yang dikelola pelanggan menggunakan modul kriptografi software yang divalidasi FIPS 140-2 Level 1. Anda juga memiliki kontrol atas periode rotasi, peran dan izin Identity and Access Management (IAM), serta kebijakan organisasi yang mengatur kunci Anda. Anda dapat menggunakan kunci software dengan banyak resource yang kompatibel Google Cloud.
Kunci software yang diimpor - Anda dapat mengimpor kunci software yang Anda buat di tempat lain untuk digunakan di Cloud KMS. Anda dapat mengimpor versi kunci baru untuk merotasi kunci yang diimpor secara manual. Anda dapat menggunakan peran dan izin IAM serta kebijakan organisasi untuk mengatur penggunaan kunci yang diimpor.
Kunci hardware dan Cloud HSM - Anda dapat membuat kunci hardware di cluster Modul Keamanan Hardware (HSM) FIPS 140-2 Level 3. Anda memiliki kontrol atas periode rotasi, peran dan izin IAM, serta kebijakan organisasi yang mengatur kunci Anda. Saat Anda membuat kunci HSM menggunakan Cloud HSM, Google Cloudmengelola cluster HSM sehingga Anda tidak perlu melakukannya. Anda dapat menggunakan kunci HSM dengan banyak resource yang kompatibel Google Cloud—layanan yang sama yang mendukung kunci software. Untuk kepatuhan keamanan tingkat tertinggi, gunakan kunci hardware.
Kunci eksternal dan Cloud EKM - Anda dapat menggunakan kunci yang berada di pengelola kunci eksternal (EKM). Dengan Cloud EKM, Anda dapat menggunakan kunci yang disimpan di pengelola kunci yang didukung untuk mengamankan Google Cloud resource. Anda dapat terhubung ke EKM melalui internet atau melalui Virtual Private Cloud (VPC). Beberapa Google Cloud layanan yang mendukung kunci Cloud KMS tidak mendukung kunci Cloud EKM.

Untuk mempelajari lebih lanjut lokasi Cloud KMS yang mendukung tingkat perlindungan tertentu, lihat Lokasi Cloud KMS.

Kunci Cloud KMS

Anda dapat menggunakan kunci Cloud KMS di aplikasi kustom menggunakan library klien Cloud KMS atau Cloud KMS API. Library klien dan API memungkinkan Anda mengenkripsi dan mendekripsi data, menandatangani data, dan memvalidasi tanda tangan.

Kunci Cloud HSM

Anda dapat menggunakan kunci Cloud HSM di Cloud HSM for Google Workspace untuk mengelola kunci yang digunakan untuk enkripsi sisi klien (CSE) di Google Workspace. Anda dapat Menggunakan Cloud HSM untuk Google Workspace.

Kunci enkripsi yang disediakan pelanggan (CSEK)

Cloud Storage dan Compute Engine dapat menggunakan kunci enkripsi yang disediakan pelanggan (CSEK). Dengan kunci enkripsi yang disediakan pelanggan, Anda menyimpan materi kunci dan memberikannya ke Cloud Storage atau Compute Engine saat diperlukan. Google Cloud tidak menyimpan CSEK Anda dengan cara apa pun.

Confidential Computing

Di Compute Engine, GKE, dan Dataproc, Anda dapat menggunakan platform Confidential Computing untuk mengenkripsi data aktif Anda. Confidential Computing memastikan bahwa data Anda tetap bersifat pribadi dan terenkripsi bahkan saat sedang diproses.