Mengaktifkan kunci enkripsi yang dikelola pelanggan

Kunci enkripsi yang dikelola pelanggan (CMEK) memungkinkan Anda mengontrol kunci enkripsi yang digunakan untuk melindungi data Google Cloud dalam penyimpanan. Artikel ini menjelaskan cara menyiapkan dan mengelola CMEK di Ads Data Hub.

Ads Data Hub mengenkripsi data dalam penyimpanan menggunakan kunci yang dikelola Google. Kecuali jika Anda memiliki persyaratan khusus yang mewajibkan penggunaan CMEK, enkripsi default Google adalah pilihan terbaik Anda.

Untuk menggunakan CMEK, Anda harus:

  • Gunakan Cloud Key Management Service (KMS).
  • Sebelumnya telah mengonfigurasi project admin dan memperbarui ke akun layanan baru.

Pelajari CMEK lebih lanjut

Mengaktifkan CMEK

  1. Di halaman Cloud KMS, buat kunci simetris.
    1. Anda dapat membuat kunci di project Google Cloud mana pun.
    2. Pastikan Anda membuat kunci di lokasi Cloud KMS yang kompatibel. Sesuai dengan pedoman Cloud KMS, penggunaan region “global” tidak disarankan karena potensi batasan performa. Jika Anda tidak dapat mengingat wilayah Anda, hubungi dukungan Ads Data Hub.
      Region ADHLokasi Cloud KMS
      USUS
      Uni Eropaeurope
      asia-northeast1asia, asia-northeast1
      australia-southeast1australia-southeast1
  2. Di halaman Cloud Identity and Access Management (IAM), berikan peran Pengenkripsi/Pendekripsi Cloud KMS Akun (roles/cloudkms.cryptoKeyEncrypter). Atau, izinkan akun layanan Ads Data Hub langsung ke kunci di halaman Cloud KMS.
  3. Di UI Ads Data Hub:
    1. Buka tab Setelan.
    2. Di bagian “Enkripsi yang dikelola pelanggan”, klik Edit.
    3. Alihkan “Enkripsi yang dikelola pelanggan” ke “aktif”.
    4. Tempel ID resource kunci. Catatan: ini harus berupa seluruh ID resource untuk kunci, bukan versi tertentu. Pelajari cara mendapatkan ID resource Cloud KMS
    5. Klik Simpan.

Mengelola kunci

Merotasi kunci

Merotasi kunci adalah praktik keamanan umum. Temukan petunjuk tentang cara memutar kunci di halaman Cloud KMS di sini.

Ads Data Hub tidak otomatis merotasi kunci enkripsi saat kunci Cloud KMS yang terkait dengan akun dirotasi. Tabel yang ada akan terus menggunakan versi kunci yang digunakan untuk membuat tabel tersebut. Tabel baru menggunakan versi kunci saat ini.

Mengubah kunci

Anda dapat mengubah ke kunci baru, bukan memutar kunci yang ada. Hal ini berguna saat Anda perlu menghancurkan kunci, atau membuat perubahan signifikan pada pengelolaan kunci; seperti mengubah ke tingkat perlindungan yang berbeda.

Untuk beralih ke kunci baru, ikuti petunjuk di bagian Mengaktifkan CMEK. Perhatian: mengubah atau menghancurkan kunci sebelumnya sebelum update selesai dapat menyebabkan hilangnya data secara permanen.

Mencabut izin, menonaktifkan, atau menghancurkan kunci

Ikuti petunjuk dalam dokumentasi Google Cloud untuk tindakan berikut:

  • Cabut izin akun layanan Ads Data Hub.
    • Tindakan ini akan langsung diterapkan. Anda tidak akan dapat menjalankan kueri di Ads Data Hub hingga masalah ini teratasi dan tabel serta model sementara Anda mungkin mengalami kehilangan data yang tidak dapat dipulihkan.
  • Nonaktifkan kunci.
    • Tindakan ini mungkin memerlukan waktu hingga 3 jam untuk muncul di Ads Data Hub. Sebelum itu, Anda dapat terus menjalankan kueri menggunakan kunci yang dinonaktifkan di Ads Data Hub.
  • Menghancurkan kunci.
    • Penting: Nonaktifkan CMEK sebelum menghancurkan kunci Anda. Jika tidak, Anda tidak akan dapat menjalankan kueri di Ads Data Hub hingga masalah tersebut teratasi dan tabel serta model sementara Anda mungkin mengalami kehilangan data yang tidak dapat dipulihkan.

Menonaktifkan CMEK

Anda harus menonaktifkan CMEK sebelum menghapus kunci aktif. Jika tidak, Anda akan kehilangan akses ke data yang dienkripsi menggunakan kunci yang dihapus.

Untuk menonaktifkan CMEK:

  1. Buka tab Setelan di Ads Data Hub.
  2. Di bagian “Enkripsi yang dikelola pelanggan”, klik Edit.
  3. Alihkan “Enkripsi yang dikelola pelanggan” ke “nonaktif”.
  4. Klik Simpan.