Dengan kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK), Anda dapat mengontrol kunci enkripsi yang digunakan untuk melindungi data dalam penyimpanan Google Cloud. Artikel ini menjelaskan cara menyiapkan dan mengelola CMEK di Ads Data Hub.
Ads Data Hub mengenkripsi data dalam penyimpanan menggunakan kunci yang dikelola Google. Kecuali Anda memiliki persyaratan khusus yang mengharuskan penggunaan CMEK, enkripsi default Google adalah pilihan terbaik.
Untuk menggunakan CMEK, Anda harus:
- Gunakan Cloud Key Management Service (KMS).
- Sebelumnya telah mengonfigurasi project admin dan memperbarui ke akun layanan baru.
Mengaktifkan CMEK
- Di halaman Cloud KMS, buat kunci simetris.
- Anda dapat membuat kunci tersebut di project Google Cloud mana pun.
- Pastikan Anda membuat kunci di lokasi Cloud KMS yang kompatibel. Berdasarkan panduan Cloud KMS, penggunaan region “global” tidak disarankan karena adanya potensi keterbatasan performa. Jika tidak dapat mengingat wilayah Anda, hubungi dukungan Ads Data Hub.
Wilayah ADH Lokasi Cloud KMS Amerika Serikat Amerika Serikat Uni Eropa - EU europe asia-northeast1 asia, asia-northeast1 australia-southeast1 australia-southeast1
- Di halaman Cloud Identity and Access Management (IAM), beri akun layanan Ads Data Hub peran Encrypter/Decrypter Cloud KMS (
roles/cloudkms.cryptoKeyEncrypter). Atau, beri izin akun layanan Ads Data Hub langsung ke kunci di halaman Cloud KMS. - Di UI Ads Data Hub:
- Buka tab Setelan.
- Di bagian “Enkripsi yang dikelola pelanggan”, klik Edit.
- Alihkan tombol “Enkripsi yang dikelola pelanggan” ke “aktif”.
- Tempelkan ID resource kunci. Catatan: ini harus berupa seluruh ID resource untuk kunci, bukan versi tertentu. Pelajari cara mendapatkan ID resource Cloud KMS
- Klik Simpan.
Kelola kunci
Merotasi kunci
Merotasi kunci adalah praktik keamanan yang umum. Temukan petunjuk tentang cara merotasi kunci pada halaman Cloud KMS di sini.
Ads Data Hub tidak merotasi kunci enkripsi secara otomatis saat kunci Cloud KMS yang terkait dengan akun tersebut dirotasi. Tabel yang sudah ada akan terus menggunakan versi kunci yang bersamanya dibuat. Tabel baru menggunakan versi kunci saat ini.
Ubah kunci
Anda dapat mengubah ke kunci baru, bukan merotasi kunci yang sudah ada. Hal ini berguna saat Anda perlu menghancurkan kunci, atau membuat perubahan signifikan pada pengelolaan kunci; misalnya, beralih ke level perlindungan yang berbeda.
Untuk beralih ke kunci baru, ikuti petunjuk di bagian Aktifkan CMEK. Perhatian: mengubah atau menghancurkan kunci sebelumnya sebelum update selesai dapat mengakibatkan hilangnya data secara permanen.
Mencabut izin, menonaktifkan, atau menghancurkan kunci
Ikuti petunjuk dalam dokumentasi Google Cloud untuk tindakan berikut:
- Cabut izin akun layanan Ads Data Hub.
- Tindakan ini akan segera diterapkan. Anda tidak akan dapat menjalankan kueri di Ads Data Hub sampai masalah ini diselesaikan, dan tabel serta model sementara Anda mungkin mengalami kehilangan data yang tidak dapat dipulihkan.
- Menonaktifkan kunci.
- Tindakan ini mungkin memerlukan waktu hingga 3 jam untuk muncul di Ads Data Hub. Sementara itu, Anda dapat terus menjalankan kueri menggunakan kunci yang dinonaktifkan di Ads Data Hub.
- Menghancurkan kunci.
- Penting: Nonaktifkan CMEK sebelum menghancurkan kunci. Jika tidak, Anda tidak akan dapat menjalankan kueri di Ads Data Hub sampai masalah ini diselesaikan, dan tabel serta model sementara Anda mungkin mengalami kehilangan data yang tidak dapat dipulihkan.
Nonaktifkan CMEK
Anda harus menonaktifkan CMEK sebelum menghapus kunci aktif. Jika tidak, Anda akan kehilangan akses ke data yang dienkripsi menggunakan kunci yang dihapus.
Untuk menonaktifkan CMEK:
- Buka tab Setelan di Ads Data Hub.
- Di bagian “Enkripsi yang dikelola pelanggan”, klik Edit.
- Alihkan tombol “Enkripsi yang dikelola pelanggan” ke “nonaktif”.
- Klik Simpan.