Halaman ini menjelaskan penggunaan kunci enkripsi yang dikelola pelanggan (CMEK) untuk mengelola Google Cloud NetApp Volumes.
Tentang CMEK
NetApp Volumes selalu mengenkripsi data Anda dengan kunci khusus volume. NetApp Volumes selalu mengenkripsi data Anda saat disimpan.
Dengan CMEK, Cloud Key Management Service mengenkapsulasi kunci volume yang disimpan. Fitur ini memberi Anda kontrol yang lebih besar atas kunci enkripsi yang Anda gunakan dan keamanan tambahan untuk menyimpan kunci di sistem atau lokasi yang berbeda dengan data. NetApp Volumes mendukung kemampuan Cloud Key Management Service seperti modul keamanan hardware, dan siklus proses pengelolaan kunci penuh untuk pembuatan, penggunaan, rotasi, dan penghancuran.
NetApp Volumes mendukung satu kebijakan CMEK per region. Kebijakan CMEK dilampirkan ke kumpulan penyimpanan dan semua volume yang dibuat di kumpulan tersebut menggunakannya. Anda dapat memiliki campuran kumpulan penyimpanan dengan dan tanpa kebijakan CMEK di suatu region. Jika memiliki kumpulan tanpa CMEK di region tertentu, Anda dapat mengonversinya ke CMEK menggunakan tindakan migrasi kebijakan CMEK region.
Penggunaan CMEK bersifat opsional. Jika digunakan, kebijakan CMEK bersifat spesifik per region. Anda hanya dapat mengonfigurasi satu kebijakan per region.
Pertimbangan
Bagian berikut mencakup batasan untuk CMEK yang perlu dipertimbangkan.
Pengelolaan kunci
Dengan menggunakan CMEK, Anda sepenuhnya bertanggung jawab atas kunci dan data Anda.
Konfigurasi Cloud KMS
CMEK menggunakan kunci simetris untuk enkripsi dan dekripsi.
Setelah semua volume dihapus di region untuk project, konfigurasi Cloud KMS akan kembali ke status Ready dibuat. Volume ini digunakan lagi saat Anda membuat volume berikutnya di region tersebut.
Key ring regional
NetApp Volumes hanya mendukung ring kunci KMS regional dan harus berada di region yang sama dengan kebijakan CMEK.
Tingkat layanan
CMEK mendukung kumpulan penyimpanan tingkat layanan Flex, Standard, Premium, dan Extreme.
Kontrol Layanan VPC
Saat Anda menggunakan Kontrol Layanan VPC, pastikan untuk mempertimbangkan Batasan Kontrol Layanan VPC untuk Volume NetApp.
Kebijakan organisasi CMEK
Kebijakan organisasi CMEK untuk NetApp Volumes memberi organisasi kontrol atas kunci enkripsi data dan membatasi kunci yang dapat digunakan untuk CMEK. Hal ini dicapai dengan menerapkan penggunaan CMEK untuk mengenkripsi data dalam penyimpanan di pool penyimpanan baru dan memungkinkan organisasi mengelola kunci enkripsi menggunakan Cloud KMS. Kebijakan organisasi diterapkan saat pembuatan pool penyimpanan dan tidak memengaruhi pool penyimpanan yang ada.
Kebijakan organisasi memungkinkan administrator menerapkan dan memberlakukan batasan yang konsisten di semua project dan resource. Hal ini penting bagi organisasi yang mengelola beberapa project dan resource untuk menerapkan kebijakan standar.
Ada dua jenis batasan kebijakan organisasi yang dapat diterapkan ke CMEK:
Batasi Layanan Non-CMEK: memungkinkan Anda menentukan layanan mana dalam organisasi, project, atau folder yang dapat dikonfigurasi tanpa CMEK. Jika Anda menambahkan layanan ke daftar penolakan atau mengecualikannya dalam daftar yang diizinkan, resource untuk layanan tersebut akan memerlukan CMEK. Secara default, batasan ini mengizinkan pembuatan resource non-CMEK.
Batasi Project CryptoKey CMEK: memungkinkan Anda menentukan project mana yang dapat menyediakan kunci KMS untuk CMEK saat mengonfigurasi resource dalam organisasi, project, atau folder. Jika batasan ini ditetapkan, hanya kunci KMS dari project yang ditentukan yang dapat digunakan untuk resource yang dilindungi CMEK. Jika batasan tidak ditetapkan, CryptoKey dari project mana pun dapat digunakan.
Untuk mengetahui informasi selengkapnya tentang cara menerapkan kebijakan organisasi, lihat Menerapkan kebijakan organisasi CMEK.
Opsi CMEK
NetApp Volumes menawarkan dukungan untuk CMEK, yang dapat disimpan sebagai kunci software, kunci hardware dalam cluster HSM, atau sebagai kunci eksternal yang disimpan di Cloud External Key Manager (Cloud EKM).
Untuk mengetahui informasi selengkapnya, lihat Cloud Key Management Service.
Dampak operasional error utama
Resource dan operasi NetApp Volumes dapat terpengaruh jika kunci Cloud KMS yang digunakan dalam kebijakan CMEK dinonaktifkan, atau jika akses ke kunci eksternal hilang.
Kunci eksternal dikelola oleh pihak ketiga, dan Google Cloud tidak bertanggung jawab atas ketersediaan kunci.
Jika External Key Manager (EKM) memberi tahu Cloud Key Management Service bahwa kunci eksternal tidak dapat dijangkau, volume yang menggunakan kunci tersebut akan di-offline-kan, sehingga mencegah operasi baca dan tulis. Hasil yang sama akan terjadi jika kunci Cloud KMS dinonaktifkan.
Pengguna juga akan menerima error dengan detail tentang status kunci saat ini jika salah satu operasi berikut dicoba saat EKM tidak dapat dijangkau atau kunci Cloud KMS dinonaktifkan di region sumber atau tujuan untuk replikasi: