Halaman ini menjelaskan cara menggunakan Kunci Enkripsi yang Dikelola Pelanggan (CMEK) untuk melindungi layanan Metastore Dataproc. CMEK menyediakan enkripsi data dalam penyimpanan dengan kunci yang dapat Anda kontrol melalui Cloud Key Management Service. Anda dapat menyimpan kunci sebagai kunci software, dalam cluster HSM, atau secara eksternal.
Sebelum memulai
Jika ingin layanan Dataproc Metastore berjalan di dalam perimeter Kontrol Layanan VPC, Anda harus menambahkan Cloud Key Management Service (Cloud KMS) API ke perimeter.
Mengonfigurasi dukungan CMEK untuk Metastore Dataproc
Untuk mengonfigurasi dukungan CMEK untuk Dataproc Metastore, Anda harus memberikan izin kunci Cloud KMS terlebih dahulu ke akun layanan Dataproc Metastore dan Cloud Storage. Kemudian, Anda dapat membuat layanan Metastore Dataproc yang menggunakan kunci CMEK.
Memberikan izin kunci Cloud KMS
Gunakan perintah berikut untuk memberikan izin kunci Cloud KMS untuk Dataproc Metastore:
gcloud
Buat kunci CMEK di Cloud KMS (jika belum tersedia). Perintah berikut adalah contoh cara membuat kunci software:
gcloud config set project PROJECT_ID gcloud kms keyrings create KEY_RING \ --project KEY_PROJECT \ --location=LOCATION gcloud kms keys create KEY_NAME \ --project KEY_PROJECT \ --location=LOCATION \ --keyring=KEY_RING \ --purpose=encryption
Demikian pula, Anda dapat membuat kunci HSM, atau membuat kunci EKM.
Berikan izin ke akun layanan Agen Layanan Dataproc Metastore:
gcloud kms keys add-iam-policy-binding KEY_NAME \ --location LOCATION \ --keyring KEY_RING \ --member=serviceAccount:$(gcloud beta services identity create \ --service=metastore.googleapis.com 2>&1 | awk '{print $4}') \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypterBerikan izin ke akun layanan Cloud Storage:
gcloud storage service-agent --authorize-cmek projects/KEY_PROJECT/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
Membuat layanan Metastore Dataproc dengan kunci CMEK
Gunakan langkah-langkah berikut untuk mengonfigurasi enkripsi CMEK selama pembuatan layanan:
Konsol
Di konsol Google Cloud, buka halaman Metastore Dataproc:
Di bagian atas halaman Dataproc Metastore, klik Create.
Halaman Buat layanan akan terbuka.
Konfigurasi layanan Anda sesuai kebutuhan.
Di bagian Enkripsi, klik Gunakan kunci enkripsi yang dikelola pelanggan (CMEK).
Pilih kunci yang dikelola pelanggan.
Klik Kirim.
Verifikasi konfigurasi enkripsi layanan:
Di konsol Google Cloud, buka halaman Metastore Dataproc:
Di halaman Dataproc Metastore, klik nama layanan yang ingin Anda lihat.
Halaman Detail layanan untuk layanan tersebut akan terbuka.
Di tab Configuration, pastikan detail menunjukkan bahwa CMEK diaktifkan.
gcloud
Jalankan perintah
gcloud metastore services createuntuk membuat layanan dengan enkripsi CMEK:gcloud metastore services create SERVICE \ --encryption-kms-key=KMS_KEY
Ganti kode berikut:
SERVICE: Nama layanan baru.KMS_KEY: Mengacu pada ID resource kunci.
Pastikan pembuatan berhasil.
Data Dataproc Metastore dilindungi dengan kunci enkripsi yang disediakan Google
Database Cloud Monitoring tidak mendukung enkripsi CMEK. Sebagai gantinya, Google Cloud menggunakan kunci enkripsi Google untuk melindungi nama dan konfigurasi layanan layanan Dataproc Metastore Anda.
Mengimpor dan mengekspor data dari dan ke layanan yang mendukung CMEK
Jika ingin data Anda tetap dienkripsi dengan kunci yang dikelola pelanggan selama impor, Anda harus menetapkan CMEK di bucket Cloud Storage sebelum mengimpor data darinya.
Anda dapat mengimpor dari bucket Cloud Storage yang tidak dilindungi CMEK. Setelah diimpor, data yang disimpan di Dataproc Metastore akan dilindungi sesuai dengan setelan CMEK layanan tujuan.
Saat mengekspor, dump database yang diekspor dilindungi sesuai dengan setelan CMEK bucket penyimpanan tujuan.
Catatan CMEK untuk Metastore Dataproc
Menonaktifkan atau menghapus CMEK untuk layanan yang mengaktifkan CMEK akan membuat layanan tersebut tidak dapat digunakan dan tidak dapat dipulihkan.
- Data akan hilang secara permanen.
Anda tidak dapat mengaktifkan kunci enkripsi yang dikelola pelanggan pada layanan yang ada.
Anda tidak dapat memutar kunci yang digunakan oleh layanan yang mendukung CMEK.
Layanan yang mengaktifkan CMEK tidak mendukung sinkronisasi Data Catalog. Memperbarui layanan yang mengaktifkan CMEK untuk mengaktifkan sinkronisasi Data Catalog gagal. Selain itu, Anda tidak dapat membuat layanan baru dengan kedua fitur tersebut diaktifkan.
Anda tidak dapat menggunakan kunci enkripsi yang dikelola pelanggan untuk mengenkripsi data pengguna selama pengiriman, seperti kueri dan respons pengguna.
Saat Anda menggunakan kunci Cloud EKM, Google tidak memiliki kontrol atas ketersediaan kunci yang dikelola secara eksternal. Jika kunci tidak tersedia selama periode pembuatan layanan Dataproc Metastore, pembuatan layanan akan gagal. Setelah layanan Dataproc Metastore dibuat, jika kunci tidak tersedia, layanan tidak akan tersedia hingga kunci tersedia. Untuk pertimbangan lainnya saat menggunakan kunci eksternal, lihat Pertimbangan Cloud EKM.