Halaman ini menjelaskan cara menggunakan kunci enkripsi yang dikelola pelanggan Cloud KMS di layanan lain untuk mengamankan resource Anda. Google Cloud Untuk informasi selengkapnya, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).
Jika layanan mendukung CMEK, layanan tersebut dikatakan memiliki integrasi CMEK. Beberapa layanan, seperti GKE, memiliki beberapa integrasi CMEK untuk melindungi berbagai jenis data yang terkait dengan layanan tersebut. Untuk mengetahui daftar layanan dengan integrasi CMEK, lihat Mengaktifkan CMEK untuk layanan yang didukung di halaman ini.
Sebelum memulai
Sebelum dapat menggunakan kunci Cloud KMS di layanan Google Cloud lain, Anda harus memiliki resource project untuk menyimpan kunci Cloud KMS Anda. Sebaiknya gunakan project terpisah untuk resource Cloud KMS Anda yang tidak berisi resource Google Cloud lain.
Integrasi CMEK
Bersiap untuk mengaktifkan integrasi CMEK
Untuk mengetahui langkah-langkah persisnya dalam mengaktifkan CMEK, lihat dokumentasi untuk layanan Google Cloud yang relevan. Anda dapat menemukan link ke dokumentasi CMEK untuk setiap layanan di Mengaktifkan CMEK untuk layanan yang didukung di halaman ini. Untuk setiap layanan, Anda dapat mengikuti langkah-langkah yang mirip dengan berikut:
Buat key ring atau pilih key ring yang sudah ada. Key ring harus berlokasi sedekat mungkin secara geografis dengan resource yang ingin Anda amankan.
Di key ring yang dipilih, buat kunci atau pilih kunci yang ada. Pastikan tingkat perlindungan, tujuan, dan algoritma untuk kunci sesuai dengan resource yang ingin Anda lindungi. Kunci ini adalah kunci CMEK.
Dapatkan ID resource untuk kunci CMEK. Anda akan memerlukan ID resource ini nanti.
Berikan peran IAM Pengenkripsi/Pendekripsi CryptoKey (
roles/cloudkms.cryptoKeyEncrypterDecrypter) pada kunci CMEK ke akun layanan untuk layanan tersebut.
Setelah membuat kunci dan menetapkan izin yang diperlukan, Anda dapat membuat atau mengonfigurasi layanan untuk menggunakan kunci CMEK Anda.
Menggunakan kunci Cloud KMS dengan layanan yang terintegrasi dengan CMEK
Langkah-langkah berikut menggunakan Secret Manager sebagai contoh. Untuk mengetahui langkah-langkah persisnya dalam menggunakan kunci CMEK Cloud KMS di layanan tertentu, temukan layanan tersebut dalam daftar layanan yang terintegrasi dengan CMEK.
Di Secret Manager, Anda dapat menggunakan CMEK untuk melindungi data dalam penyimpanan.
Di konsol Google Cloud , buka halaman Secret Manager.
Untuk membuat secret, klik Buat Secret.
Di bagian Encryption, pilih Use a customer-managed encryption key (CMEK).
Di kotak Encryption key, lakukan hal berikut:
Opsional: Untuk menggunakan kunci di project lain, lakukan hal berikut:
- Klik Ganti project.
- Masukkan semua atau sebagian nama project di kotak penelusuran, lalu pilih project.
- Untuk melihat kunci yang tersedia untuk project yang dipilih, klik Pilih.
Opsional: Untuk memfilter kunci yang tersedia menurut lokasi, gantungan kunci, nama, atau tingkat perlindungan, masukkan istilah penelusuran di kolom filter .
Pilih kunci dari daftar kunci yang tersedia di project yang dipilih. Anda dapat menggunakan detail lokasi, key ring, dan tingkat perlindungan yang ditampilkan untuk memastikan Anda memilih kunci yang benar.
Jika kunci yang ingin Anda gunakan tidak ditampilkan dalam daftar, klik Masukkan kunci secara manual, lalu masukkan ID resource kunci tersebut
Selesaikan konfigurasi rahasia Anda, lalu klik Buat rahasia. Secret Manager membuat secret dan mengenkripsinya menggunakan kunci CMEK yang ditentukan.
Mengaktifkan CMEK untuk layanan yang didukung
Untuk mengaktifkan CMEK, temukan terlebih dahulu layanan yang diinginkan dalam tabel berikut. Anda dapat memasukkan istilah penelusuran di kolom untuk memfilter tabel. Semua layanan dalam daftar ini mendukung kunci software dan hardware (HSM). Produk yang terintegrasi dengan Cloud KMS saat menggunakan kunci Cloud EKM eksternal ditunjukkan di kolom Didukung EKM.
Ikuti petunjuk untuk setiap layanan yang ingin Anda aktifkan kunci CMEK-nya.
| Layanan | Dilindungi dengan CMEK | EKM didukung | Topik |
|---|---|---|---|
| Agent Assist | Data dalam penyimpanan | Ya | Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK) |
| Aplikasi AI | Data dalam penyimpanan | Tidak | Kunci enkripsi yang dikelola pelanggan |
| AlloyDB untuk PostgreSQL | Data yang ditulis ke database | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
| Anti Money Laundering AI | Data dalam resource instance AML AI | Tidak | Mengenkripsi data menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) |
| Apigee | Data dalam penyimpanan | Tidak | Pengantar CMEK |
| Hub API Apigee | Data dalam penyimpanan | Ya | Enkripsi |
| Application Integration | Data dalam penyimpanan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
| Artifact Registry | Data dalam repositori | Ya | Mengaktifkan kunci enkripsi yang dikelola pelanggan |
| Pencadangan untuk GKE | Data di Backup for GKE | Ya | Tentang enkripsi CMEK Pencadangan untuk GKE |
| BigQuery | Data di BigQuery | Ya | Melindungi data dengan kunci Cloud KMS |
| Bigtable | Data dalam penyimpanan | Ya | Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK) |
| Cloud Composer | Data lingkungan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
| Cloud Data Fusion | Data lingkungan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
| Cloud Healthcare API | Set data Cloud Healthcare API | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) |
| Cloud Logging | Data di Router Log | Ya | Mengelola kunci yang melindungi data Log Router |
| Cloud Logging | Data di penyimpanan Logging | Ya | Mengelola kunci yang melindungi data penyimpanan Logging |
| Cloud Run | Image container | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan dengan Cloud Run |
| Cloud Run Functions | Data di Cloud Run Functions | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
| Cloud SQL | Data yang ditulis ke database | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
| Cloud Storage | Data dalam bucket penyimpanan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
| Cloud Tasks | Isi dan header tugas saat tidak aktif | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
| Cloud Workstations | Data di disk VM | Ya | Mengenkripsi resource workstation |
| Colab Enterprise | Runtime dan file notebook | Tidak | Menggunakan kunci enkripsi yang dikelola pelanggan |
| Compute Engine | Persistent disk | Ya | Melindungi resource dengan kunci Cloud KMS |
| Compute Engine | Snapshot | Ya | Melindungi resource dengan kunci Cloud KMS |
| Compute Engine | Image kustom | Ya | Melindungi resource dengan kunci Cloud KMS |
| Compute Engine | Image mesin | Ya | Melindungi resource dengan kunci Cloud KMS |
| Insight Berbasis Percakapan | Data dalam penyimpanan | Ya | Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK) |
| Migrasi Homogen Database Migration Service | Migrasi MySQL - data yang ditulis ke database | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) |
| Migrasi Homogen Database Migration Service | Migrasi PostgreSQL - Data yang ditulis ke database | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) |
| Migrasi Homogen Database Migration Service | Migrasi PostgreSQL ke AlloyDB - Data yang ditulis ke database | Ya | Tentang CMEK |
| Migrasi Homogen Database Migration Service | Migrasi SQL Server - Data yang ditulis ke database | Ya | Tentang CMEK |
| Migrasi Heterogen Database Migration Service | Data Oracle ke PostgreSQL saat tidak digunakan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk migrasi berkelanjutan |
| Dataflow | Data status pipeline | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
| Dataform | Data dalam repositori | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
| Katalog Universal Dataplex | Data dalam penyimpanan | Ya | Kunci enkripsi yang dikelola pelanggan |
| Dataproc | Data cluster Dataproc di disk VM | Ya | Kunci enkripsi yang dikelola pelanggan |
| Dataproc | Data Dataproc Serverless di disk VM | Ya | Kunci enkripsi yang dikelola pelanggan |
| Dataproc Metastore | Data dalam penyimpanan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
| Datastream | Data dalam pengiriman | Tidak | Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) |
| Dialogflow CX | Data dalam penyimpanan | Ya | Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK) |
| Document AI | Data dalam penyimpanan dan data aktif | Ya | Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK) |
| Eventarc Advanced (Pratinjau) | Data dalam penyimpanan | Tidak | Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) |
| Eventarc Standard | Data dalam penyimpanan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) |
| Filestore | Data dalam penyimpanan | Ya | Mengenkripsi data dengan kunci enkripsi yang dikelola pelanggan |
| Firestore | Data dalam penyimpanan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) |
| Gemini Code Assist | Data dalam penyimpanan | Tidak | Mengenkripsi data dengan kunci enkripsi yang dikelola pelanggan |
| Google Agentspace - NotebookLM Enterprise | Data dalam penyimpanan | Tidak | Kunci enkripsi yang dikelola pelanggan |
| Google Agentspace Enterprise | Data dalam penyimpanan | Tidak | Kunci enkripsi yang dikelola pelanggan |
| Layanan Terkelola Google Cloud untuk Apache Kafka | Data yang terkait dengan topik | Ya | Mengonfigurasi enkripsi pesan |
| Google Cloud NetApp Volumes | Data dalam penyimpanan | Tidak | Buat kebijakan CMEK |
| Google Distributed Cloud | Data di node Edge | Ya | Keamanan penyimpanan lokal |
| Google Kubernetes Engine | Data di disk VM | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) |
| Google Kubernetes Engine | Rahasia lapisan aplikasi | Ya | Enkripsi Secret lapisan aplikasi |
| Integration Connectors | Data dalam penyimpanan | Ya | Metode enkripsi |
| Looker (Google Cloud core) | Data dalam penyimpanan | Ya | Mengaktifkan CMEK untuk Looker (Google Cloud core) |
| Memorystore for Redis | Data dalam penyimpanan | Ya | Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK) |
| Migrate to Virtual Machines | Data yang dimigrasikan dari sumber VM VMware, AWS, dan Azure | Ya | Menggunakan CMEK untuk mengenkripsi data yang disimpan selama migrasi |
| Migrate to Virtual Machines | Data dimigrasikan dari sumber disk dan image mesin | Ya | Menggunakan CMEK untuk mengenkripsi data pada disk target dan image mesin |
| Parameter Manager | Payload versi parameter | Ya | Mengaktifkan kunci enkripsi yang dikelola pelanggan untuk Parameter Manager |
| Pub/Sub | Data yang terkait dengan topik | Ya | Mengonfigurasi enkripsi pesan |
| Secret Manager | Payload rahasia | Ya | Mengaktifkan Kunci Enkripsi yang Dikelola Pelanggan untuk Secret Manager |
| Secure Source Manager | Instance | Ya | Mengenkripsi data dengan kunci enkripsi yang dikelola pelanggan |
| Spanner | Data dalam penyimpanan | Ya | Kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK) |
| Speaker ID (GA Terbatas) | Data dalam penyimpanan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
| Speech-to-Text | Data dalam penyimpanan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
| Vertex AI | Data yang terkait dengan resource | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan |
| Notebook terkelola Vertex AI Workbench | Data pengguna dalam penyimpanan | Tidak | Kunci enkripsi yang dikelola pelanggan |
| Notebook Vertex AI Workbench yang dikelola pengguna | Data di disk VM | Tidak | Kunci enkripsi yang dikelola pelanggan |
| Instance Vertex AI Workbench | Data di disk VM | Ya | Kunci enkripsi yang dikelola pelanggan |
| Workflows | Data dalam penyimpanan | Ya | Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) |