Mengenkripsi data dengan kunci enkripsi yang dikelola pelanggan

Dokumen ini menunjukkan cara menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk mengenkripsi dan mengontrol data dalam penyimpanan di layanan cloud melalui Cloud Key Management Service. CMEK terintegrasi dengan penyesuaian kode untuk Gemini Code Assist. Gemini Code Assist tidak mendukung penggunaan kunci Cloud EKM.

Dalam dokumen ini, Anda akan melakukan hal berikut:

  • Pelajari cara membuat CMEK.
  • Berikan izin ke akun layanan Gemini Code Assist.
  • Buat indeks repositori kode dengan CMEK.
  • Menghapus akses ke repositori CMEK.

Secara default, Gemini untuk Google Cloud mengenkripsi konten pelanggan dalam penyimpanan. Gemini menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut enkripsi default Google.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Gemini Anda mirip dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi Anda, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Sebelum memulai

  1. Di salah satu lingkungan pengembangan berikut, siapkan gcloud CLI :

    Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  2. Di lingkungan shell, jalankan perintah gcloud components update untuk memastikan Anda telah mengupdate semua komponen gcloud yang diinstal ke versi terbaru. Untuk langkah ini, Anda dapat menginstal dan melakukan inisialisasi gcloud, atau Anda dapat menggunakan Cloud Shell.

    gcloud components update

Membuat CMEK dan memberikan izin

Untuk membuat CMEK dan memberikan izin akun layanan Gemini Code Assist pada kunci, lakukan tugas berikut:

  1. Di project Google Cloud tempat Anda ingin mengelola kunci, lakukan hal berikut:

    1. Aktifkan Cloud Key Management Service API.

    2. Buat key ring dan kunci menggunakan salah satu opsi berikut:

  2. Berikan peran IAM Pengenkripsi/Pendekripsi CryptoKey (roles/cloudkms.cryptoKeyEncrypterDecrypter) ke akun layanan Gemini Code Assist. Beri izin ini pada kunci yang Anda buat.

    Konsol

    1. Buka Pengelolaan kunci.

      Buka Key management

    2. Pilih kunci yang Anda buat.

    3. Berikan akses ke akun layanan Gemini Code Assist:

      1. Klik Tambahkan akun utama.
      2. Tambahkan akun layanan Gemini Code Assist. Akun layanan adalah service-PROJECT_NUMBER@gcp-sa-cloudaicompanions., dengan PROJECT_NUMBER adalah nomor project dari project Google Cloud tempat Gemini Code Assist diaktifkan.
      3. Di Pilih peran, pilih Cloud KMS > Cloud KMS CryptoKey Encrypter/Decrypter.
      4. Klik Simpan.

    4. Ulangi langkah sebelumnya untuk memberikan akses ke akun yang akan membuat indeks repositori kode dengan CMEK.

    5. Kembali ke halaman Key management dan pilih kunci lagi.

    6. Pilih Tampilkan panel info. Anda akan melihat peran di kolom Peran/Anggota.

    gcloud

    1. Untuk memberikan akses ke akun layanan Gemini Code Assist, di lingkungan shell, gunakan perintah kms keys add-iam-policy-binding:

      gcloud kms keys add-iam-policy-binding KEY_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --keyring=KEYRING_NAME \
    --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudaicompanion." \
    --role="roles/cloudkms.cryptoKeyEncrypterDecrypter"

      Ganti kode berikut:

      • KEY_NAME: nama kunci.
      • PROJECT_ID: ID project yang berisi kunci.
      • LOCATION: lokasi kunci.
      • KEYRING_NAME: nama key ring.
      • PROJECT_NUMBER: nomor project project Google Cloud dengan Gemini Code Assist diaktifkan.

    2. Ulangi langkah sebelumnya untuk memberikan akses ke akun yang akan membuat indeks repositori kode dengan CMEK.

    Untuk mengetahui informasi selengkapnya tentang perintah ini, lihat dokumentasi gcloud kms keys add-iam-policy-binding.

Sekarang Anda dapat membuat indeks repositori kode dengan CMEK menggunakan API, dan menentukan kunci yang akan digunakan untuk enkripsi.

Membuat indeks repositori kode dengan CMEK

Untuk membuat repositori baru yang memiliki perlindungan CMEK, lakukan salah satu hal berikut:

gcloud

Gunakan perintah gemini code-repository-indexes create:

gcloud gemini code-repository-indexes create CODE_REPOSITORY_INDEX_NAME \
    --location=LOCATION \
    --kms-key="projects/KEY_PROJECT_ID/locations/LOCATION/keyRings/KEYRING_NAME/cryptoKeys/KEY_NAME"

Ganti kode berikut:

  • CODE_REPOSITORY_INDEX_NAME: nama indeks repositori kode baru yang akan Anda buat.
  • LOCATION: lokasi kunci.
  • KEY_PROJECT_ID: project ID kunci.
  • KEYRING_NAME: nama key ring.
  • KEY_NAME: nama kunci.

API

  1. Buat file JSON yang berisi informasi berikut:

      {
    "kmsKey": "projects/KEY_PROJECT_ID/locations/KEY_LOCATION/keyRings/KEYRING_NAME/cryptoKeys/KEY_NAME"
  }

    Ganti kode berikut:

    • KEY_PROJECT_ID: ID project utama
    • KEY_LOCATION: lokasi kunci
    • KEYRING_NAME: nama key ring
    • KEY_NAME: adalah nama kunci

  2. Gunakan perintah cURL untuk memanggil metode projects.locations.codeRepositoryIndexes.create:

    curl -X POST --data-binary @JSON_FILE_NAME \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json" \
    "https://cloudaicompanion.googleapis.com/v1/projects/PROJECT_ID/locations/KEY_LOCATION/codeRepositoryIndexes?codeRepositoryIndexId=CODE_REPOSITORY_INDEX_NAME"

    Ganti kode berikut:

    • JSON_FILE_NAME: jalur untuk file JSON yang Anda buat di langkah sebelumnya.
    • PROJECT_ID: ID project tempat repositori akan dibuat.
    • KEY_LOCATION: lokasi untuk membuat repositori, yang harus cocok dengan lokasi tempat CMEK berada.
    • CODE_REPOSITORY_INDEX_NAME: nama indeks repositori kode baru yang akan Anda buat. Misalnya, zg-btf-0001.

Respons menampilkan sekumpulan entri log.

Menghapus akses ke repositori CMEK

Ada beberapa cara untuk menghapus akses ke repositori yang dienkripsi CMEK:

Sebaiknya batalkan izin dari akun layanan Gemini Code Assist sebelum menonaktifkan atau menghapus kunci. Perubahan pada izin akan diterapkan dalam hitungan detik, sehingga Anda dapat mengamati dampak penonaktifan atau penghancuran kunci.