Halaman ini diterjemahkan oleh Cloud Translation API.

Melakukan orientasi ke Cloud HSM untuk Google Workspace

Halaman ini menjelaskan cara mengaktifkan Cloud HSM for Google Workspace (CHGWS), layanan kunci enkripsi untuk Google Workspace yang ditawarkan oleh Cloud Key Management Service (Cloud KMS). Cloud HSM untuk Google Workspace memberikan kontrol privasi yang ditingkatkan untuk Google Workspace, membantu Anda mencapai standar peraturan seperti DISA IL5 dan meningkatkan keamanan data. Cloud HSM adalah layanan pengelolaan kunci yang sesuai standar, sangat tersedia, dan terkelola sepenuhnya yang dioperasikan dalam skala cloud dengan kunci yang didukung hardware yang disimpan di HSM (modul keamanan hardware) yang mematuhi FIPS 140-2 Level 3.

Sebelum memulai

Sebelum mengaktifkan Cloud HSM untuk Google Workspace, selesaikan prasyarat berikut:

Siapkan Google Workspace.
Aktifkan Enkripsi Sisi Klien (CSE) Google Workspace di Google Workspace Anda.
Konfigurasi Penyedia Identitas (IdP) Anda di CSE Google Workspace. Catat Client ID untuk IdP Anda. Jika Anda menggunakan Google Identity Platform, temukan Client ID di Google Cloud project Anda.
Opsional: Jika Anda mengizinkan akses ke konten terenkripsi CSE di aplikasi platform selain web (seperti seluler atau desktop), tambahkan ID klien untuk platform tersebut di setelan IdP Anda di Konsol Admin Google Workspace. Catat semua ID klien untuk IdP ini. Jika Anda menggunakan Google Identity Platform, temukan client ID ini di project Anda. Google Cloud Untuk Penyedia Identitas lainnya, buat client ID ini secara terpisah.

Meminta orientasi Google Workspace

Untuk melakukan orientasi ke Cloud HSM untuk Google Workspace, kirimkan permintaan orientasi. Berikan informasi berikut:

ID Google Workspace: ID Google Workspace Anda. Temukan ID Google Workspace Anda dengan mengikuti petunjuk di Menemukan ID pelanggan Anda.
Alamat email administrator Google Workspace: Berikan daftar alamat email administrator yang dipisahkan koma.
Detail Penyedia Identitas (IdP) Utama:
- URL Set Kunci Web JSON (JWKS) IdP: Untuk Google Identity Platform, gunakan https://www.googleapis.com/oauth2/v3/certs.
- Penerbit token JSON Web Token (JWT): Untuk Google Identity Platform, gunakan https://accounts.google.com.
- Audiens JWT: Client ID IdP Anda untuk aplikasi web.
- Audiens JWT tambahan: Opsional. Berikan client ID untuk aplikasi platform non-web jika dikonfigurasi. Untuk Google Identity Platform, gunakan client ID yang diberikan di Jika Anda akan menggunakan identitas Google untuk CSE.
Detail IdP tamu: Opsional. Selesaikan bagian ini jika Anda menggunakan IdP tamu.
- URL JWKS IdP tamu: URL JWKS IdP tamu Anda.
- Penerbit token JWT tamu: Penerbit token JWT IdP tamu Anda.
- Audiens JWT tamu: Client ID IdP tamu Anda untuk aplikasi web, kecuali Google Meet.
- Audiens JWT tambahan tamu: Opsional. Jika Anda mengonfigurasi client ID web Google Meet atau client ID aplikasi platform non-web lainnya, berikan client ID untuk masing-masing aplikasi. Untuk Google Identity Platform, gunakan client ID yang diberikan di Jika Anda akan menggunakan identitas Google untuk CSE.
Lokasi endpoint: us-central1.
Perkiraan jumlah pengguna: Berikan perkiraan jumlah pengguna di instance Google Workspace Anda.

Pastikan URL JWKS IdP Anda dapat diakses secara publik. Konfirmasi nilai Penerbit Token JWT dan Audiens JWT dengan administrator IdP Anda.

Tim CHGWS akan merespons dalam waktu 24 hingga 48 jam dengan status penyiapan Google Workspace Anda. Setelah orientasi berhasil, lanjutkan untuk menyiapkan project Google Cloud Anda untuk Cloud KMS.

Menyiapkan Google Cloud project untuk Cloud KMS

Endpoint Cloud HSM untuk Google Workspace mengandalkan kunci Cloud KMS untuk operasi kriptografi. Siapkan project baru Google Cloud untuk menghosting kunci Cloud KMS.

Buat Google Cloud project. Ini adalah project utama Anda. Catat project ID dan nomor project; Anda memerlukan keduanya untuk menyelesaikan penyiapan.
Aktifkan penagihan pada project yang Anda buat.
Aktifkan Cloud KMS API di Google Cloud project kunci Anda.

Mengaktifkan API
Di Google Cloud konsol, klik terminal Aktifkan Cloud Shell.
Pastikan Anda berada di project yang benar dengan membandingkan project ID Anda dengan project ID di prompt Cloud Shell.
Dengan menggunakan Cloud Shell, buat akun layanan Cloud HSM for Google Workspace:
```
gcloud beta services identity create --service=cloudkmskacls-pa.googleapis.com
```
Catat identitas layanan yang dibuat oleh perintah ini. Anda memerlukan nama identitas layanan pada langkah berikutnya.

Berikan peran CHGWS key Service Agent ke akun layanan yang Anda buat:

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:service-PROJECT_NUMBER>@gcp-sa-cloudkmskacls.iam.gserviceaccount.com \
    --role=roles/cloudkmskacls.serviceAgent

Ganti kode berikut:

PROJECT_ID: Project ID project utama Anda.
PROJECT_NUMBER: Nomor project untuk project utama Anda.

Mengelola endpoint layanan CHGWS

Bagian berikut menunjukkan cara menyiapkan dan mengelola endpoint CHGWS Anda.

Menyiapkan kunci Cloud KMS

Siapkan resource Cloud KMS untuk endpoint layanan kunci CHGWS Anda.

Buat key ring di region us-central1:
```
gcloud kms keyrings create KEY_RING --location us-central1
```
Ganti KEY_RING dengan nama yang ingin Anda gunakan untuk ring kunci CHGWS—misalnya, CHGWS_KEY_RING.
Buat kunci Cloud HSM:
```
gcloud kms keys create KEY_NAME \
--protection-level "hsm" \
--keyring KEY_RING \
--location us-central1 \
--purpose "encryption" \
--rotation-period ROTATION_PERIOD \
--next-rotation-time NEXT_ROTATION_TIME
```
Ganti kode berikut:
- KEY_NAME: Nama yang ingin Anda gunakan untuk kunci—misalnya, CHGWS_KEY_RING.
- KEY_RING: Nama dering kunci Anda—misalnya, CHGWS_KEY.
- ROTATION_PERIOD: Frekuensi rotasi kunci yang Anda inginkan, misalnya, 7d.
- NEXT_ROTATION_TIME: Tanggal dan waktu saat rotasi kunci berikutnya terjadi—misalnya, 2024-03-20T01:00:00.

Meminta pembuatan endpoint

Untuk meminta pembuatan endpoint, kirimkan permintaan pembuatan endpoint. Berikan informasi berikut:

ID Workspace: <var>GOOGLE_WORKSPACE_ID</var>
ID Project Google Cloud: PROJECT_ID
Nomor Project Google Cloud: PROJECT_NUMBER
Nama key ring Cloud KMS: KEY_RING
Lokasi keyring Cloud KMS: us-central1
Nama kunci Cloud KMS: KEY_NAME
URL Dasar CHGWS: Opsional. Daftar URL untuk mengaktifkan migrasi kunci. Jika Anda menyiapkan CHGWS untuk pertama kalinya di Google Workspace ini, biarkan kolom ini kosong.

Tim CHGWS akan merespons dalam waktu 24 hingga 48 jam dengan URL endpoint CHGWS setelah endpoint tersedia.

Mengonfigurasi endpoint CHGWS di CSE Google Workspace

Konfigurasi CSE Google Workspace untuk menggunakan URL CHGWS yang dibuat saat Anda membuat endpoint CHGWS. Ikuti petunjuk di Menambahkan dan mengelola layanan kunci enkripsi untuk enkripsi sisi klien.

Endpoint Migrasi

CHGWS memberikan fleksibilitas untuk memindahkan layanan kunci Anda ke atau dari CHGWS. Untuk memulai migrasi CHGWS, kirimkan permintaan migrasi. Dalam permintaan, sertakan informasi berikut:

ID Endpoint: ID endpoint CHGWS.
URL Dasar CHGWS: Daftar URL untuk mengaktifkan migrasi kunci CHGWS.
- Jika Anda bermigrasi ke Cloud HSM untuk Google Workspace, berikan URL dasar setiap endpoint CHGWS yang Anda migrasikan.
- Jika Anda melakukan migrasi dari Cloud HSM untuk Google Workspace, berikan URL dasar endpoint CHGWS yang ingin Anda migrasikan.

Jika Anda melakukan migrasi antara dua endpoint Cloud HSM for Google Workspace yang berbeda, kirimkan dua permintaan terpisah: satu dari endpoint sebelumnya dan yang lainnya ke endpoint baru.

Tim CHGWS akan merespons dalam waktu 24 hingga 48 jam untuk memberi tahu Anda bahwa endpoint siap untuk dimigrasikan.

Menghapus atau menonaktifkan endpoint

Operasi penghapusan atau penonaktifan di endpoint Cloud HSM untuk Google Workspace tidak didukung secara langsung. Namun, Anda dapat menonaktifkan endpoint Cloud HSM untuk Google Workspace dengan menonaktifkan semua versi kunci Cloud KMS pendukung.

Untuk setiap versi kunci Cloud KMS yang mendukung endpoint, jalankan perintah berikut:
```
gcloud kms keys versions disable KEY_VERSION --keyring \
    KEY_RING --location us-central1 --key KEY_NAME
```
Ganti kode berikut:
- KEY_VERSION: Versi kunci yang ingin Anda nonaktifkan—misalnya, 1.
- KEY_RING: Nama key ring—misalnya, CHGWS_KEY_RING.
- KEY_NAME: Nama kunci—misalnya, CHGWS_KEY.

Mengaktifkan endpoint

Jika Anda telah menonaktifkan endpoint CHGWS dengan menonaktifkan semua versi kunci Cloud KMS pendukung, Anda dapat mengaktifkan kembali endpoint CHGWS. Untuk mengaktifkan kembali endpoint, aktifkan semua versi aktif kunci Cloud KMS pendukung menggunakan perintah gcloud CLI berikut:

Untuk setiap versi kunci Cloud KMS yang mendukung endpoint, jalankan perintah berikut:
```
gcloud kms keys versions enable KEY_VERSION \
    --keyring KEY_RING --location us-central1 --key KEY_NAME
```
Ganti kode berikut:
- KEY_VERSION: Versi kunci yang ingin Anda nonaktifkan—misalnya, 1.
- KEY_RING: Nama key ring—misalnya, CHGWS_KEY_RING.
- KEY_NAME: Nama kunci—misalnya, CHGWS_KEY.

Langkah berikutnya

Pelajari Cloud Key Management Service lebih lanjut.
Pelajari cara menambahkan dan mengelola layanan kunci enkripsi untuk enkripsi sisi klien.

Melakukan orientasi ke Cloud HSM untuk Google Workspace Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.