Halaman ini diterjemahkan oleh Cloud Translation API.

Mengaktifkan CMEK untuk Security Command Center

Secara default, Security Command Center mengenkripsi konten pelanggan dalam penyimpanan. Security Command Center menangani enkripsi untuk Anda tanpa perlu tindakan tambahan dari Anda. Opsi ini disebut enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Security Command Center. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melacak penggunaan kunci, melihat log audit, dan mengontrol siklus proses kunci. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Anda yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Security Command Center Anda serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Untuk mendukung pemisahan tugas dan kontrol yang lebih besar atas akses ke kunci, sebaiknya buat dan kelola kunci di project terpisah yang tidak menyertakan resource Google Cloud lain.

Untuk menggunakan CMEK dengan Security Command Center, Anda harus mengonfigurasi CMEK saat mengaktifkan Security Command Center untuk organisasi. Anda tidak dapat mengonfigurasi CMEK selama aktivasi tingkat project. Untuk mempelajari lebih lanjut, lihat Mengaktifkan Security Command Center Standard atau Premium untuk organisasi.

Saat Anda menggunakan CMEK di Security Command Center, project Anda dapat memakai kuota permintaan kriptografis Cloud KMS. Instance yang dienkripsi CMEK menggunakan kuota saat membaca atau menulis data di Security Command Center. Operasi enkripsi dan dekripsi menggunakan kunci CMEK memengaruhi kuota Cloud KMS hanya jika Anda menggunakan kunci hardware (Cloud HSM) atau kunci eksternal (Cloud EKM). Untuk mengetahui informasi selengkapnya, lihat Kuota Cloud KMS.

CMEK mengenkripsi data berikut di Security Command Center dan Security Command Center API:

Temuan
Konfigurasi notifikasi
Ekspor BigQuery
Konfigurasi bisukan audio

Sebelum memulai

Sebelum menyiapkan CMEK untuk Security Command Center, lakukan hal berikut:

Instal dan lakukan inisialisasi Google Cloud CLI:
1. Install the Google Cloud CLI.
2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
3. To initialize the gcloud CLI, run the following command:
```
gcloud init
```
Buat Google Cloud project dengan Cloud KMS diaktifkan. Ini adalah project utama Anda.
Buat key ring yang berada di lokasi yang benar. Lokasi key ring Anda harus sesuai dengan lokasi tempat Anda berencana mengaktifkan Security Command Center. Untuk melihat lokasi ring kunci yang sesuai dengan setiap lokasi Security Command Center, lihat tabel di bagian Lokasi kunci dalam dokumen ini. Untuk mengetahui informasi selengkapnya tentang cara membuat key ring, lihat Membuat key ring.
Buat kunci Cloud KMS pada key ring. Untuk mengetahui informasi selengkapnya tentang cara membuat kunci di key ring, lihat Membuat kunci.
Untuk memastikan Akun Layanan Cloud Security Command Center memiliki izin yang diperlukan untuk mengenkripsi dan mendekripsi data, minta administrator Anda untuk memberikan peran IAM Cloud KMS CryptoKey Encrypter/Decrypter (roles/cloudkms.cryptoKeyEncrypterDecrypter) kepada Akun Layanan Cloud Security Command Center di kunci Cloud KMS.
Penting: Anda harus memberikan peran ini kepada Akun Layanan Cloud Security Command Center, bukan kepada akun pengguna Anda. Kegagalan memberikan peran kepada akun utama yang benar dapat menyebabkan error izin.
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Administrator Anda mungkin juga dapat memberikan izin yang diperlukan kepada Akun Layanan Cloud Security Command Center melalui peran khusus atau peran bawaan lainnya.

Lokasi kunci

Lokasi kunci Cloud KMS Anda harus sesuai dengan lokasi tempat Anda mengaktifkan Security Command Center. Gunakan tabel berikut untuk mengidentifikasi lokasi kunci Cloud KMS mana yang sesuai dengan lokasi Security Command Center mana.

Lokasi Security Command Center	Lokasi kunci Cloud KMS
`eu`	`europe`
`global`	`us`
`sa`	`me-central2`
`us`	`us`

Jika Anda tidak mengaktifkan residensi data saat mengaktifkan Security Command Center, gunakan global untuk lokasi Security Command Center dan us untuk lokasi kunci Cloud KMS Anda. Untuk mengetahui informasi selengkapnya tentang residensi data, lihat Merencanakan residensi data.

Batasan

Jika organisasi yang Anda aktifkan berisi satu atau beberapa project dengan Security Command Center, Anda tidak dapat menggunakan CMEK untuk Security Command Center bagi organisasi tersebut.

Anda tidak dapat mengubah kunci Cloud KMS atau beralih ke Google-owned and Google-managed encryption key setelah mengaktifkan Security Command Center.

Anda dapat merotasi kunci, yang menyebabkan Security Command Center menggunakan versi kunci baru. Namun, beberapa kemampuan Security Command Center akan terus menggunakan kunci lama selama 30 hari.

Menyiapkan CMEK untuk Security Command Center

Untuk menggunakan CMEK dengan Security Command Center:

Selama penyiapan Security Command Center untuk organisasi, di halaman Select services, di bagian Data encryption, pilih Change data encryption key management solution (optional). Opsi Enkripsi akan terbuka.
Pilih Kunci Cloud KMS.
Pilih project.
Pilih kunci. Anda dapat memilih kunci dari project Google Cloud mana pun, termasuk yang tidak ada di organisasi yang Anda aktifkan. Hanya kunci di lokasi yang kompatibel yang ditampilkan dalam daftar. Untuk mengetahui informasi selengkapnya tentang lokasi kunci untuk CMEK bagi Security Command Center, lihat tabel di bagian Lokasi kunci.

Setelah memberikan peran dan menyelesaikan penyiapan Security Command Center, Security Command Center akan mengenkripsi data Anda menggunakan kunci Cloud KMS yang Anda pilih.

Periksa konfigurasi CMEK

Untuk memeriksa apakah Anda berhasil menyiapkan CMEK untuk Security Command Center:

Di Security Command Center, pilih Setelan.
Buka tab Detail Tingkatan.
Di Detail penyiapan > Enkripsi data, jika CMEK untuk Security Command Center disiapkan, nama kunci akan ditampilkan sebagai link setelah Enkripsi data.

Harga

Meskipun tidak ada biaya tambahan untuk mengaktifkan CMEK di Security Command Center Standard dan Premium, biaya berlaku di Cloud KMS saat Security Command Center menggunakan CMEK Anda untuk mengenkripsi dan mendekripsi data. Untuk mengetahui informasi selengkapnya, lihat harga Cloud KMS.

Memulihkan akses ke Security Command Center

Dengan CMEK yang diaktifkan, akun layanan Security Command Center memerlukan akses ke kunci Cloud KMS Anda agar dapat berfungsi. Jangan mencabut izin akun layanan ke CMEK, menonaktifkan CMEK, atau menjadwalkan penghancuran CMEK. Semua tindakan ini menyebabkan kemampuan Security Command Center berikut berhenti berfungsi:

Temuan
Konfigurasi ekspor berkelanjutan
Ekspor BigQuery
Aturan penonaktifan

Jika Anda mencoba menggunakan Security Command Center saat kunci Cloud KMS tidak tersedia, Anda akan melihat pesan error di Security Command Center atau error FAILED_PRECONDITION di API.

Anda dapat kehilangan kemampuan Security Command Center karena kunci Cloud KMS karena salah satu alasan berikut:

Peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS pada kunci di akun layanan mungkin telah dicabut. Anda dapat memulihkan akses ke Security Command Center setelah kunci di- cabut.
Kunci Cloud KMS mungkin telah dinonaktifkan. Anda dapat memulihkan akses ke Security Command Center setelah kunci dinonaktifkan.
Kunci mungkin dijadwalkan untuk dimusnahkan. Anda dapat memulihkan akses ke Security Command Center setelah kunci dijadwalkan untuk dihancurkan.

Memulihkan akses ke Security Command Center setelah kunci dicabut

Untuk memulihkan akses ke kunci Anda di Security Command Center, berikan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS kepada Akun Layanan Cloud Security Command Center di kunci tersebut:

gcloud kms keys add-iam-policy-binding KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --member=serviceAccount:service-org-ORG_NUMBER@security-center-api.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Ganti kode berikut:

KEY_RING: key ring untuk kunci Cloud KMS Anda
LOCATION: lokasi kunci Cloud KMS Anda
KEY_NAME: nama kunci Cloud KMS Anda
ORG_NUMBER: nomor organisasi Anda

Memulihkan akses ke Security Command Center setelah kunci dinonaktifkan

Untuk mengetahui informasi selengkapnya tentang cara mengaktifkan kunci yang dinonaktifkan, lihat Mengaktifkan versi kunci.

Memulihkan akses ke Security Command Center setelah kunci dijadwalkan untuk dimusnahkan

Untuk mengetahui informasi selengkapnya tentang cara memulihkan kunci yang dijadwalkan untuk dimusnahkan, lihat Menghancurkan dan memulihkan versi kunci.

Setelah kunci dihancurkan, Anda tidak dapat memulihkannya dan Anda tidak dapat memulihkan akses ke Security Command Center.