Menggunakan kunci enkripsi yang dikelola pelanggan

Secara default, Cloud Tasks mengenkripsi konten pelanggan dalam penyimpanan. Cloud Tasks menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Cloud Tasks. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan, lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melihat log audit dan mengontrol siklus proses kunci. Alih-alih Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda, Anda yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Cloud Tasks Anda akan serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Yang dilindungi oleh CMEK

Saat mengaktifkan CMEK di Cloud Tasks, Anda mengaktifkannya untuk suatu region. Jika diaktifkan, isi dan header tugas yang dibuat di region tersebut akan dilindungi dengan kunci Anda saat tidak digunakan. Jika tugas dibuat saat CMEK diaktifkan, dan kunci kemudian dibuat tidak aktif (dengan menonaktifkan atau menghapus kunci, atau dengan menonaktifkan CMEK), tugas dienkripsi dengan kunci Anda, tetapi tidak dapat dieksekusi.

Tugas tidak dilindungi dengan CMEK dalam kasus berikut:

  • Tugas dibuat sebelum mengaktifkan CMEK
  • Tugas tidak berada di region tempat CMEK diaktifkan
  • Tugas terpengaruh oleh keterbatasan kompatibilitas

Batasan kompatibilitas

Integrasi Cloud Tasks dengan CMEK tidak mendukung hal berikut:

  • Versi google-gax di bawah 4.0.0: Paket NPM google-gax untuk Node.js memiliki dukungan terbatas pada versi yang lebih lama dari 4.0.0. Untuk versi ini, CMEK hanya didukung di region us-central1. Meskipun hanya memiliki tugas di region tersebut, sebaiknya Anda mengupgrade ke versi 4.0.0 atau yang lebih baru.

  • Layanan Taskqueue bawaan App Engine: Tugas yang dibuat menggunakan layanan Taskqueue bawaan App Engine tidak dilindungi oleh CMEK, meskipun jika tugas tersebut berada di region yang mengaktifkannya. Mengaktifkan CMEK tidak mencegah pembuatan atau pengoperasian (misalnya, eksekusi atau penghapusan) tugas ini.

  • Antrean tarik: Jika mengaktifkan CMEK, Anda dapat membuat dan menjalankan tugas di antrean tarik, tetapi tugas ini tidak dilindungi oleh CMEK. Pull queue tidak umum. Untuk memeriksa apakah antrean Anda adalah antrean tarik, jalankan perintah gcloud CLI berikut di terminal Anda:

    gcloud tasks queues describe QUEUE_NAME

    Ganti QUEUE_NAME dengan nama antrean Anda.

    Jika type yang tercantum adalah pull, antrean Anda adalah antrean pull. Jika type yang tercantum adalah push, batasan ini tidak memengaruhi tugas dalam antrean Anda.

  • Perutean tingkat antrean: Jika CMEK diaktifkan, Anda tidak dapat menerapkan perutean tingkat antrean. Selain itu, jika perutean tingkat antrean diaktifkan, Anda tidak dapat mengaktifkan CMEK. Untuk memeriksa apakah Anda telah mengaktifkan perutean tingkat antrean, lakukan hal berikut:

    1. Jalankan perintah gcloud CLI berikut di terminal Anda: 

      gcloud tasks queues describe QUEUE_NAME
       Ganti QUEUE_NAME dengan nama antrean Anda.

    2. Pada output, cari kolom httpTarget dan periksa apakah uriOverride telah ditetapkan. Jika host ditentukan, antrean Anda telah mengaktifkan perutean tingkat antrean dan tidak kompatibel dengan CMEK. Untuk menghapus perutean tingkat antrean, lihat Memperbarui atau menghapus perutean tingkat antrean. Jika output tidak menampilkan uriOverride dengan host yang ditentukan, antrean Anda tidak menggunakan perutean tingkat antrean.

  • TTL Tugas: Jika CMEK diaktifkan, Anda tidak dapat menetapkan task_ttl ke lebih dari 60 hari. Selain itu, jika Anda memiliki task_ttl yang ditetapkan ke lebih dari 60 hari, Anda tidak dapat mengaktifkan CMEK.

Sebelum memulai

Sebelum menggunakan CMEK di Cloud Tasks, selesaikan langkah-langkah berikut:

  1. Aktifkan API.

    Konsol

    1. Enable the Cloud KMS and Cloud Tasks APIs.

      Enable the APIs

    gcloud

    1. In the Google Cloud console, activate Cloud Shell.

      Activate Cloud Shell

      At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    2. Tetapkan project default Anda. Project ini harus berupa project yang berisi resource Cloud Tasks yang ingin Anda lindungi dengan CMEK. Jika Anda perlu menjalankan perintah di project lain, seperti project yang berisi resource Cloud KMS, halaman ini akan menyertakan flag --project dalam perintah gcloud CLI dan memberi tahu Anda project mana yang harus ditentukan.

      gcloud config set project PROJECT_ID

      Ganti PROJECT_ID dengan ID project yang berisi resource Cloud Tasks Anda.

    3. Perbarui komponen gcloud. 

      gcloud components update

    4. Aktifkan Cloud KMS API dan Cloud Tasks API untuk project yang akan menyimpan kunci enkripsi Anda. 

      gcloud services enable cloudkms.googleapis.com cloudtasks.googleapis.com \
    --project=PROJECT_ID

      Ganti PROJECT_ID dengan ID project yang akan menyimpan kunci enkripsi Anda. Project ini dapat berupa project yang sama dengan resource Cloud Tasks Anda, tetapi untuk membatasi akses ke kunci Cloud KMS Anda, pertimbangkan untuk Menyiapkan Cloud KMS di project terpisah.

  2. Cloud KMS menghasilkan Cloud Audit Logs saat kunci diaktifkan, dinonaktifkan, atau digunakan oleh resource Cloud Tasks untuk mengenkripsi dan mendekripsi data. Pastikan logging diaktifkan untuk Cloud KMS API di project Anda, dan Anda telah memutuskan izin dan peran khusus logging mana yang berlaku untuk kasus penggunaan Anda. Untuk mengetahui informasi selengkapnya, lihat Informasi logging audit Cloud KMS.

  3. Mendapatkan peran Identity and Access Management.

    Untuk mendapatkan izin yang diperlukan untuk menggunakan CMEK dengan Cloud Tasks, minta administrator Anda untuk memberi Anda peran IAM berikut di project Anda:

    • Mengaktifkan atau menonaktifkan CMEK: roles/cloudtasks.admin
    • Melihat kunci yang digunakan: roles/cloudtasks.viewer

    Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

    Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.

    4. Buat key ring dan kunci Cloud KMS

    Jika Anda sudah memiliki key ring di region yang sama dengan resource Cloud Tasks dan ingin menggunakan kunci dan key ring tersebut, lewati bagian ini. Jika tidak, gunakan petunjuk ini untuk membuat kunci dan key ring Cloud KMS Anda.

    1. Buat key ring.

      • Key ring harus berada di region yang berisi resource Cloud Tasks yang ingin Anda lindungi. Untuk mengetahui informasi selengkapnya, lihat lokasi Cloud KMS dan lokasi Cloud Tasks.

      • Key ring dan resource Cloud Tasks yang dilindungi CMEK dapat berada dalam project yang sama, tetapi untuk membatasi akses ke kunci Cloud KMS Anda, pertimbangkan untuk menyiapkan Cloud KMS di project terpisah.

    2. Buat kunci untuk key ring tertentu.

    Mendapatkan ID untuk kunci Cloud KMS

    ID resource untuk kunci Cloud KMS diperlukan saat Anda mengaktifkan CMEK untuk Cloud Tasks.

    Konsol

    1. Di konsol Google Cloud , buka halaman Key management, lalu pilih tab Key inventory.

      Buka Inventaris utama

    2. Untuk kunci yang ID resource-nya Anda ambil, klik Tindakan.

    3. Klik Salin nama resource.

      ID resource untuk kunci disalin ke papan klip Anda. Formatnya mirip dengan berikut:

      projects/PROJECT_NAME/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME

    gcloud

    1. Mencantumkan semua kunci pada key ring tertentu:

      gcloud kms keys list --keyring=KEY_RING --location=LOCATION --project=PROJECT_ID

      Ganti kode berikut:

      • KEY_RING: nama key ring
      • LOCATION: region key ring
      • PROJECT_ID: ID project yang berisi key ring

      Output mencakup ID kunci untuk setiap kunci. Contoh:

      NAME: projects/PROJECT_NAME/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME

    Memberi agen layanan Cloud Tasks akses ke kunci

    Anda harus memberikan peran Identity and Access Management (IAM) Pengenkripsi/Pendekripsi CryptoKey Cloud KMS kepada agen layanan Cloud Tasks agar agen layanan tersebut dapat mengakses kunci Cloud KMS:

    Konsol

    1. Di konsol Google Cloud , buka halaman IAM (Identity and Access Management).

      Buka IAM

    2. Centang kotak Include Google-provided role grants.

    3. Temukan akun layanan Cloud Tasks dengan mengetik cloudtasks.iam.gserviceaccount.com di filter.

      Akun layanan Cloud Tasks memiliki format service-PROJECT_NUMBER@gcp-sa-cloudtasks.iam.gserviceaccount.com.

    4. Klik ikon pensil Edit akun utama.

    5. Di panel yang terbuka, klik Tambahkan peran lain.

    6. Telusuri dan pilih peran Cloud KMS CryptoKey Encrypter/Decrypter.

    7. Klik Simpan.

    gcloud 

    gcloud kms keys add-iam-policy-binding KEY_ID \
    --member=serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudtasks.iam.gserviceaccount.com \
    --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

    Ganti kode berikut:

    • KEY_ID: ID resource yang memenuhi syarat sepenuhnya untuk kunci Anda. Untuk mengetahui petunjuk cara menemukannya, lihat Mengambil ID untuk kunci Cloud KMS. Jangan sertakan nomor versi kunci. Menyertakan nomor versi kunci dapat menyebabkan perintah ini gagal.

    • PROJECT_NUMBER: nomor project Google Cloud Anda. Anda dapat menemukan nomor project di halaman Selamat Datang di konsol Google Cloud atau dengan menjalankan perintah berikut:

      PROJECT=$(gcloud info --format='value(config.project)')
gcloud projects describe ${PROJECT} --format="value(projectNumber)"

    Selama agen layanan memiliki peran roles/cloudkms.cryptoKeyEncrypterDecrypter, tugas di region yang mendukung CMEK dapat mengenkripsi dan mendekripsi datanya menggunakan kunci CMEK. Jika Anda mencabut peran ini, atau jika Anda menonaktifkan atau menghancurkan kunci CMEK, data tersebut tidak dapat diakses. Dalam dokumen ini, lihat bagian Menonaktifkan CMEK untuk Cloud Tasks.

    Mengaktifkan CMEK untuk Cloud Tasks

    Anda dapat mengaktifkan CMEK menggunakan API atau gcloud CLI. Untuk Cloud Tasks, CMEK diaktifkan menurut region. Fitur ini tidak diaktifkan oleh tugas individual. Jika CMEK diaktifkan untuk region tertentu di Cloud Tasks, semua tugas di region tersebut akan dilindungi oleh CMEK.

    gcloud

    Untuk mengaktifkan CMEK menggunakan Google Cloud CLI, jalankan perintah berikut:

    gcloud tasks cmek-config update --location=LOCATION --kms-key-name=KEY_ID

    Ganti kode berikut:

    • LOCATION: region resource Cloud Tasks Anda
    • KEY_ID: ID resource yang memenuhi syarat sepenuhnya untuk kunci Anda. Untuk mengetahui petunjuk cara menemukannya, lihat Mengambil ID untuk kunci Cloud KMS. Jangan sertakan nomor versi kunci. Menyertakan nomor versi kunci dapat menyebabkan perintah ini gagal.

    REST

    Anda dapat mengaktifkan CMEK dengan memanggil metode Update CMEK config. Cloud Tasks API menyediakan metode Update CMEK config di REST dan RPC API:

    Untuk memverifikasi bahwa kunci telah berhasil diaktifkan, ikuti petunjuk di bagian Mengidentifikasi kunci yang sedang digunakan.

    Mengaktifkan untuk tugas yang sudah ada

    CMEK tidak melindungi tugas yang dibuat sebelum CMEK diaktifkan untuk Cloud Tasks. Untuk melindungi tugas yang sudah ada dengan CMEK:

    1. Aktifkan CMEK (lihat bagian tentang mengaktifkan CMEK).

    2. Mengganti tugas yang sudah ada sebelumnya. Ada dua cara utama untuk melakukannya. Cara terbaik untuk melakukannya bergantung pada apa yang penting bagi Anda:

      • Eksekusi berkelanjutan: Untuk memastikan eksekusi berkelanjutan (pengiriman "setidaknya sekali"), Anda dapat membuat ulang tugas terlebih dahulu, lalu menghapus tugas yang sudah ada sebelumnya setelah memverifikasi bahwa tugas baru berfungsi seperti yang diharapkan. Hal ini dapat menyebabkan eksekusi duplikat, karena tugas lama dan baru dapat dieksekusi sebelum Anda menghapus tugas lama.

      • Pencegahan duplikasi: Untuk mencegah eksekusi duplikat (pengiriman "paling banyak sekali"), Anda dapat menghapus tugas lama terlebih dahulu, lalu membuatnya kembali. Hal ini dapat mengakibatkan hilangnya eksekusi, karena waktu yang berlalu antara penghapusan tugas lama dan pembuatan tugas baru.

    Mengidentifikasi kunci yang digunakan

    Untuk mengidentifikasi kunci CMEK yang digunakan untuk resource Cloud Tasks Anda, jalankan perintah gcloud CLI berikut:

    gcloud tasks cmek-config describe --location=LOCATION

    Ganti LOCATION dengan region resource Cloud Tasks Anda.

    Jika tidak ada output, berarti CMEK tidak dikonfigurasi untuk lokasi yang ditentukan.

    Menerapkan kebijakan organisasi CMEK

    Cloud Tasks terintegrasi dengan dua batasan kebijakan organisasi untuk membantu memastikan penggunaan CMEK di seluruh organisasi:

    • constraints/gcp.restrictNonCmekServices digunakan untuk mewajibkan perlindungan CMEK.
    • constraints/gcp.restrictCmekCryptoKeyProjects digunakan untuk membatasi kunci Cloud KMS yang digunakan untuk perlindungan CMEK.

    Integrasi ini memungkinkan Anda menentukan persyaratan kepatuhan enkripsi berikut untuk resource Cloud Tasks di organisasi Anda:

    Pertimbangan saat menerapkan kebijakan organisasi

    Sebelum menerapkan kebijakan organisasi CMEK, Anda harus mengetahui hal-hal berikut.

    Bersiap untuk penundaan propagasi

    Setelah Anda menetapkan atau memperbarui kebijakan organisasi, perlu waktu hingga 15 menit agar kebijakan baru dapat diterapkan.

    Mempertimbangkan resource yang ada

    Resource yang ada tidak tunduk pada kebijakan organisasi yang baru dibuat. Misalnya, kebijakan organisasi tidak berlaku secara surut untuk tugas yang ada. Resource tersebut masih dapat diakses tanpa CMEK dan, jika berlaku, masih dienkripsi dengan kunci yang ada. Jika ingin menerapkan kebijakan ke tugas yang ada, Anda harus mengaktifkan CMEK untuk tugas yang sudah ada.

    Memverifikasi izin yang diperlukan untuk menetapkan kebijakan organisasi

    Izin untuk menetapkan atau memperbarui kebijakan organisasi mungkin sulit diperoleh untuk tujuan pengujian. Anda harus diberi peran Administrator Kebijakan Organisasi, yang hanya dapat diberikan di tingkat organisasi (bukan di tingkat project atau folder).

    Meskipun peran ini harus diberikan di tingkat organisasi, Anda tetap dapat menentukan kebijakan yang hanya berlaku untuk project atau folder tertentu.

    Mewajibkan CMEK untuk semua resource Cloud Tasks baru

    Anda dapat menggunakan batasan constraints/gcp.restrictNonCmekServices untuk mewajibkan CMEK digunakan untuk melindungi semua resource Cloud Tasks baru dalam organisasi.

    Jika ditetapkan, kebijakan organisasi ini akan menyebabkan semua permintaan pembuatan resource tanpa kunci Cloud KMS yang ditentukan akan gagal.

    Setelah ditetapkan, kebijakan ini hanya berlaku untuk resource baru dalam project. Setiap resource yang ada tanpa kunci Cloud KMS yang diterapkan akan tetap ada dan dapat diakses tanpa masalah.

    Konsol

    1. Di konsol Google Cloud , buka halaman Kebijakan organisasi.

      Buka Organization policies

    2. Dengan menggunakan Filter, telusuri batasan berikut:

      constraints/gcp.restrictNonCmekServices

    3. Di kolom Nama, klik Batasi layanan mana yang dapat membuat resource tanpa CMEK.

    4. Klik Kelola Kebijakan.

    5. Di halaman Edit kebijakan, di bagian Sumber kebijakan, pilih Ganti kebijakan induk.

    6. Di bagian Aturan, klik Tambahkan aturan.

    7. Dalam daftar Nilai kebijakan, pilih Kustom.

    8. Dalam daftar Jenis kebijakan, pilih Tolak.

    9. Di kolom Nilai kustom, masukkan berikut ini:

      is:cloudtasks.googleapis.com

    10. Klik Selesai, lalu klik Tetapkan kebijakan.

    gcloud

    1. Membuat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:

        name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
  spec:
    rules:
    - values:
        deniedValues:
        - is:cloudtasks.googleapis.com

      Ganti PROJECT_ID dengan ID project tempat Anda menerapkan batasan ini.

    2. Jalankan perintah org-policies set-policy :

      gcloud org-policies set-policy /tmp/policy.yaml

    Untuk memverifikasi bahwa kebijakan berhasil diterapkan, Anda dapat mencoba membuat antrean dalam project. Proses ini akan gagal kecuali jika Anda menentukan kunci Cloud KMS.

    Membatasi kunci Cloud KMS untuk project Cloud Tasks

    Anda dapat menggunakan batasan constraints/gcp.restrictCmekCryptoKeyProjects untuk membatasi kunci Cloud KMS yang dapat digunakan untuk melindungi resource dalam project Cloud Tasks.

    Misalnya, Anda dapat menentukan aturan yang mirip dengan berikut ini: "Untuk semua resource Cloud Tasks di projects/my-company-data-project, kunci Cloud KMS yang digunakan dalam project ini harus berasal dari projects/my-company-central-keys ATAU projects/team-specific-keys."

    Konsol

    1. Di konsol Google Cloud , buka halaman Kebijakan organisasi.

      Buka Organization policies

    2. Dengan menggunakan Filter, telusuri batasan berikut:

      constraints/gcp.restrictCmekCryptoKeyProjects

    3. Di kolom Nama, klik Batasi project mana yang dapat menyediakan CryptoKey KMS untuk CMEK.

    4. Klik Kelola Kebijakan.

    5. Di halaman Edit kebijakan, di bagian Sumber kebijakan, pilih Ganti kebijakan induk.

    6. Di bagian Aturan, klik Tambahkan aturan.

    7. Dalam daftar Nilai kebijakan, pilih Kustom.

    8. Dalam daftar Jenis kebijakan, pilih Izinkan.

    9. Di kolom Nilai kustom, masukkan berikut ini:

      under:projects/KMS_PROJECT_ID

      Ganti KMS_PROJECT_ID dengan ID project tempat kunci Cloud KMS yang ingin Anda gunakan berada.

      Misalnya, under:projects/my-kms-project.

    10. Klik Selesai, lalu klik Tetapkan kebijakan.

    gcloud

    1. Membuat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:

        name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
  spec:
    rules:
    - values:
        allowedValues:
        - under:projects/KMS_PROJECT_ID

      Ganti kode berikut:

      • PROJECT_ID: ID project tempat Anda menerapkan batasan ini.
      • KMS_PROJECT_ID: ID project tempat kunci Cloud KMS yang ingin Anda gunakan berada.

    2. Jalankan perintah org-policies set-policy :

      gcloud org-policies set-policy /tmp/policy.yaml

    Untuk memverifikasi bahwa kebijakan berhasil diterapkan, Anda dapat mencoba membuat antrean menggunakan kunci Cloud KMS dari project lain. Proses tersebut akan gagal.

    Menonaktifkan CMEK untuk Cloud Tasks

    Anda dapat menonaktifkan CMEK menggunakan API atau gcloud CLI. Untuk Cloud Tasks, CMEK dinonaktifkan menurut region. Tidak dinonaktifkan oleh tugas individual. Jika CMEK dinonaktifkan untuk region tertentu di Cloud Tasks, tugas di region tersebut tidak dilindungi oleh CMEK.

    Menonaktifkan CMEK memengaruhi tugas yang dibuat pada masa mendatang, bukan tugas yang dibuat pada masa lalu:

    • Tugas baru: tidak dilindungi oleh CMEK

    • Tugas yang sudah ada: tugas yang dibuat saat CMEK diaktifkan tetap dienkripsi dan terus dijalankan selama kunci Cloud KMS tetap aktif.

    gcloud

    Untuk menonaktifkan CMEK menggunakan Google Cloud CLI, gunakan perintah berikut:

    gcloud tasks cmek-config update --location=LOCATION --clear-kms-key

    Ganti kode berikut:

    • LOCATION: region resource Cloud Tasks Anda.

    REST

    Anda dapat menonaktifkan CMEK dengan memanggil metode Update CMEK config dan menghapus kunci Cloud KMS dengan menggantinya dengan string kosong. Cloud Tasks API menyediakan metode Update CMEK config di REST dan RPC API:

    Menghapus Cloud KMS

    Jika ingin mencabut akses data ke tugas Anda, Anda dapat menghapus Cloud KMS. Ada tiga cara untuk melakukannya:

    • Nonaktifkan kunci enkripsi yang dikelola pelanggan. Menonaktifkan kunci CMEK akan menangguhkan akses ke semua data yang dilindungi oleh versi kunci tersebut saat kunci dinonaktifkan. Anda tidak dapat mengakses atau membuat tugas dengan kunci yang dinonaktifkan. Mencoba menjalankan tugas yang dilindungi CMEK saat kunci dinonaktifkan akan menghasilkan error UNKNOWN di Cloud Logging. Anda dapat mengaktifkan kembali kunci nanti jika Anda mau. Saat Anda menonaktifkan kunci enkripsi yang dikelola pelanggan, perlu waktu hingga 5 menit agar perubahan diterapkan.

    • Hancurkan kunci enkripsi yang dikelola pelanggan. Menghancurkan kunci CMEK akan menangguhkan akses ke semua data yang dilindungi oleh versi kunci tersebut secara permanen. Anda tidak dapat mengakses atau membuat tugas dengan kunci yang telah dihancurkan. Jika tugas dibuat saat CMEK diaktifkan, dan kunci dihancurkan di kemudian hari, tugas dienkripsi dengan kunci Anda, tetapi tidak dapat dieksekusi. Jika tugas mencoba dieksekusi, Cloud Logging akan mencatat error UNKNOWN. Saat Anda menghancurkan kunci enkripsi yang dikelola pelanggan, perubahan tersebut dapat memerlukan waktu hingga 5 menit untuk diterapkan.

    • Cabut peran IAM cloudkms.cryptoKeyEncrypterDecrypter dari agen layanan Cloud Tasks. Tindakan ini memengaruhi semua tugas dalam projectGoogle Cloud yang mendukung enkripsi menggunakan CMEK. Anda tidak dapat membuat tugas baru yang terintegrasi dengan CMEK, atau melihat resource yang dienkripsi CMEK.

    Meskipun tidak ada jaminan pencabutan akses instan untuk semua operasi ini, perubahan IAM umumnya diterapkan lebih cepat. Untuk mengetahui informasi selengkapnya, lihat Konsistensi resource Cloud KMS dan Penerapan perubahan akses.

    Harga

    Integrasi ini tidak menimbulkan biaya tambahan di luar operasi utama, yang ditagih ke project Google Cloud Anda. Untuk mengetahui informasi harga saat ini, lihat harga Cloud KMS.