Menggunakan kunci enkripsi yang dikelola pelanggan (CMEK)

Secara default, Colab Enterprise mengenkripsi konten pelanggan dalam penyimpanan. Colab Enterprise menangani enkripsi untuk Anda tanpa tindakan tambahan dari Anda. Opsi ini disebut Enkripsi default Google.

Jika ingin mengontrol kunci enkripsi, Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di Cloud KMS dengan layanan yang terintegrasi dengan CMEK, termasuk Colab Enterprise. Dengan menggunakan kunci Cloud KMS, Anda dapat mengontrol tingkat perlindungan , lokasi, jadwal rotasi, izin penggunaan dan akses, serta batasan kriptografisnya. Dengan Cloud KMS, Anda juga dapat melihat log audit dan mengontrol siklus proses kunci. Bukan Google yang memiliki dan mengelola kunci enkripsi kunci (KEK) simetris yang melindungi data Anda. Andalah yang mengontrol dan mengelola kunci ini di Cloud KMS.

Setelah Anda menyiapkan resource dengan CMEK, pengalaman mengakses resource Colab Enterprise Anda akan serupa dengan menggunakan enkripsi default Google. Untuk mengetahui informasi selengkapnya tentang opsi enkripsi, lihat Kunci enkripsi yang dikelola pelanggan (CMEK).

Panduan ini menjelaskan cara menggunakan CMEK untuk Colab Enterprise.

Untuk mengetahui informasi selengkapnya tentang cara menggunakan CMEK untuk Gemini Enterprise Agent Platform, lihat halaman CMEK Platform Agen.

CMEK untuk Colab Enterprise

Anda dapat menggunakan CMEK untuk mengenkripsi runtime Colab Enterprise dan file notebook (notebook).

Runtime

Saat Anda menjalankan kode di notebook Colab Enterprise, runtime akan menjalankan kode pada satu atau beberapa instance virtual machine (VM) yang dikelola oleh Colab Enterprise. Saat Anda mengaktifkan CMEK untuk runtime Colab Enterprise, kunci yang Anda tetapkan, bukan kunci yang dikelola oleh Google, digunakan untuk mengenkripsi data pada VM ini. Kunci CMEK mengenkripsi jenis data berikut:

  • Salinan kode Anda di VM.
  • Data apa pun yang dimuat oleh kode Anda.
  • Setiap data sementara yang disimpan ke disk lokal oleh kode Anda.

Anda dapat memulai, menghentikan, dan mengupgrade runtime tanpa memengaruhi enkripsi CMEK-nya.

Secara umum, kunci CMEK tidak mengenkripsi metadata yang terkait dengan operasi Anda, seperti nama runtime atau nama dan region notebook Anda. Metadata ini selalu dienkripsi menggunakan mekanisme enkripsi default Google.

Notebook

Notebook Colab Enterprise disimpan di repositori Dataform. Saat Anda membuat notebook, Colab Enterprise akan otomatis membuat repositori Dataform tersembunyi tempat notebook disimpan. Karena repositori tersembunyi, Anda tidak dapat mengubah setelan enkripsinya seperti yang Anda lakukan pada repositori Dataform lainnya.

Untuk menggunakan CMEK untuk notebook, Anda harus menetapkan kunci CMEK Dataform default untuk Google Cloud project yang akan berisi notebook Anda. Setelah Anda menetapkan kunci CMEK Dataform default, Dataform akan menerapkan kunci tersebut ke semua repositori baru yang dibuat di Google Cloud project secara default, termasuk repositori tersembunyi yang dibuat untuk menyimpan notebook Anda.

Kunci CMEK Dataform default tidak diterapkan ke repositori yang ada. Oleh karena itu, jika Anda sudah memiliki notebook di project tersebut, notebook tersebut tidak akan dienkripsi oleh kunci CMEK Dataform default. Untuk menggunakan CMEK dengan notebook yang dibuat sebelum Anda menetapkan kunci CMEK Dataform default project, Anda dapat menyimpan file notebook sebagai notebook Colab Enterprise baru.

Untuk mempelajari kunci CMEK Dataform default lebih lanjut, lihat Menggunakan kunci CMEK Dataform default.

Untuk menggunakan CMEK untuk notebook, lihat Menetapkan kunci CMEK Dataform.

Kunci yang didukung

Colab Enterprise mendukung jenis kunci CMEK berikut:

Ketersediaan kunci bervariasi menurut jenis kunci dan region. Untuk mengetahui informasi selengkapnya tentang ketersediaan geografis kunci CMEK, lihat Lokasi Cloud KMS.

Batas dan pembatasan

Colab Enterprise mendukung CMEK dengan batas dan pembatasan berikut:

  • Kuota default di Platform Agen adalah satu kunci enkripsi per project dan region. Jika Anda perlu mendaftarkan lebih dari satu kunci untuk region di project Anda, hubungi tim akun Google Anda untuk meminta peningkatan kuota untuk konfigurasi CMEK, dengan memberikan alasan mengapa Anda memerlukan lebih dari satu kunci.

Kuota Cloud KMS dan Colab Enterprise

Saat Anda menggunakan CMEK di Colab Enterprise, project Anda dapat memakai kuota permintaan kriptografis Cloud KMS. Operasi enkripsi dan dekripsi menggunakan kunci CMEK memengaruhi kuota Cloud KMS hanya jika Anda menggunakan kunci hardware (Cloud HSM) atau kunci eksternal (Cloud EKM). Untuk mengetahui informasi selengkapnya, lihat Kuota Cloud KMS.

Mengonfigurasi CMEK untuk runtime

Bagian berikut menjelaskan cara membuat key ring dan kunci di Cloud Key Management Service, memberikan izin bagi pengenkripsi dan pendekripsi Colab Enterprise untuk kunci Anda, serta membuat konfigurasi template runtime untuk menggunakan CMEK. Setiap runtime yang dibuat Colab Enterprise dari template runtime ini menggunakan enkripsi CMEK.

Sebelum memulai

Panduan ini mengasumsikan bahwa Anda menggunakan duaproject yang terpisah guna mengonfigurasi CMEK untuk runtime Colab Enterprise: Google Cloud

  • Project untuk mengelola kunci enkripsi Anda (disebut sebagai "project Cloud KMS").
  • Project untuk mengakses resource Colab Enterprise Anda dan berinteraksi dengan produk lain yang Anda perlukan Google Cloud (disebut sebagai "project Notebook").

Penyiapan yang direkomendasikan ini mendukung pemisahan tugas.

Atau, Anda dapat menggunakan satu Google Cloud project untuk seluruh panduan. Untuk melakukannya, gunakan project yang sama untuk semua tugas berikut yang merujuk ke project Cloud KMS dan tugas yang merujuk ke project Notebook.

Menyiapkan project Cloud KMS

  1. Login keakun Anda. Google Cloud Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Cloud KMS API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Cloud KMS API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

Menyiapkan project Notebook

  1. Login keakun Anda. Google Cloud Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Gemini Enterprise Agent Platform API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  5. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  6. Verify that billing is enabled for your Google Cloud project.

  7. Enable the Gemini Enterprise Agent Platform API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    8.

Menyiapkan Google Cloud CLI

Gcloud CLI diwajibkan untuk beberapa langkah dalam panduan ini, dan bersifat opsional untuk langkah lainnya.

Instal Google Cloud CLI. Setelah penginstalan, inisialisasi Google Cloud CLI dengan menjalankan perintah berikut: 

gcloud init

Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus terlebih dahulu login ke gcloud CLI dengan identitas gabungan Anda.

Membuat key ring dan kunci

Ikuti Panduan Cloud KMS untuk membuat kunci simetris kunci untuk membuat key ring dan kunci. Saat Anda membuat key ring, tentukan region yang mendukung operasi Colab Enterprise sebagai lokasi key ring. Colab Enterprise hanya mendukung CMEK jika runtime dan kunci Anda menggunakan region yang sama. Anda tidak boleh menentukan lokasi region ganda, multi-region, atau global untuk key ring Anda.

Pastikan untuk membuat key ring dan kunci di project Cloud KMS Anda.

Memberikan izin Colab Enterprise

Untuk menggunakan CMEK untuk resource Anda, Anda harus memberikan izin kepada Colab Enterprise untuk mengenkripsi dan mendekripsi data menggunakan kunci Anda. Colab Enterprise menggunakan agen layanan yang dikelola Google untuk menjalankan operasi menggunakan resource Anda. Akun layanan ini diidentifikasi oleh email alamat dengan format berikut: service-PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com.

Untuk menemukan akun layanan yang sesuai dengan project Notebook Anda, buka halaman IAM di Google Cloud konsol dan temukan anggota yang cocok dengan format alamat email ini, dengan nomor project untuk project Notebook Anda yang menggantikan NOTEBOOK_PROJECT_NUMBER variabel. Akun layanan juga memiliki nama Vertex AI Service Agent.

Buka halaman IAM

Catat alamat email untuk akun layanan ini, dan gunakan dalam langkah-langkah berikut guna memberi akan layanan tersebut izin untuk mengenkripsi dan mendekripsi data menggunakan kunci Anda. Anda dapat memberikan izin menggunakan Google Cloud konsol atau menggunakan Google Cloud CLI:

Google Cloud Konsol

  1. Di Google Cloud konsol, Klik Keamanan dan pilih Pengelolaan Kunci. Anda akan diarahkan ke halaman Cryptographic Keys dan pilih project Cloud KMS Anda.

    Buka halaman Cryptographic Keys

  2. Klik nama key ring yang Anda buat di bagian sebelumnya dalam panduan ini untuk membuka halaman Key ring details.

  3. Centang kotak untuk kunci yang Anda buat di bagian sebelumnya dalam panduan ini. Jika panel info yang berlabel nama kunci Anda belum terbuka, klik Show info panel.

  4. Di panel info, klik Tambah anggota untuk membuka dialog Add members to "KEY_NAME". Dalam dialog ini, lakukan hal berikut:

    1. Di kotak New members, masukkan alamat email akun layanan yang Anda catat di bagian sebelumnya: service-NOTEBOOK_PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com

    2. Di menu drop-down Select a role , klik Cloud KMS , lalu pilih peran Cloud KMS CryptoKey Encrypter/Decrypter.

    3. Klik Simpan.

gcloud

Jalankan perintah berikut:

gcloud kms keys add-iam-policy-binding KEY_NAME \
  --keyring=KEY_RING_NAME \
  --location=REGION \
  --project=KMS_PROJECT_ID \
  --member=serviceAccount:service-NOTEBOOK_PROJECT_NUMBER@gcp-sa-aiplatform.iam.gserviceaccount.com \
  --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

Dalam perintah ini, ganti placeholder berikut:

  • KEY_NAME: Nama kunci yang Anda buat di bagian sebelumnya dalam panduan ini.
  • KEY_RING_NAME: Key ring yang Anda buat di bagian sebelumnya dalam panduan ini.
  • REGION: Region tempat Anda membuat key ring.
  • KMS_PROJECT_ID: ID project Cloud KMS Anda.
  • NOTEBOOK_PROJECT_NUMBER: Nomor project Notebook Anda, yang telah Anda catat di bagian sebelumnya sebagai bagian dari alamat email akun layanan.

Mengonfigurasi template runtime dengan kunci KMS

Saat membuat resource yang didukung CMEK baru, Anda dapat menentukan kunci sebagai salah satu parameter pembuatan. Untuk membuat runtime Colab Enterprise, Anda membuat template runtime dengan kunci CMEK yang ditentukan sebagai parameter. Setiap runtime yang dibuat Colab Enterprise dari template runtime ini menggunakan enkripsi CMEK.

Untuk membuat template runtime menggunakan Google Cloud konsol, Anda menentukan kunci dalam dialog Create new runtime template. Lakukan tindakan berikut:

  1. Di Google Cloud konsol, buka halaman Colab Enterprise Runtime templates.

    Buka Template Runtime

  2. Klik  New template.

    Dialog Create new runtime template akan muncul.

  3. Di bagian Configure compute, di Encryption, pilih Cloud KMS key.

  4. Untuk Key type, pilih Cloud KMS, dan lalu, di kolom berikutnya, pilih kunci enkripsi yang dikelola pelanggan.

  5. Selesaikan dialog pembuatan instance selanjutnya, dan kemudian klik Buat.

    Template runtime Anda akan muncul dalam daftar di tab Runtime templates.

Langkah berikutnya