Application Integration でサポートされているコネクタをご覧ください。

顧客管理の暗号鍵

デフォルトでは、Application Integration は、Google が管理する暗号鍵を使用して、自動的に保存されているデータを暗号化します。データを保護する鍵について特定のコンプライアンスや規制の要件がある場合、または暗号化を自分で制御、管理する場合は、顧客管理の暗号鍵（CMEK）を使用できます。CMEK 鍵は、ソフトウェア鍵として HSM クラスタに保存するか、外部から Cloud External Key Manager（Cloud EKM）に保存できます。

CMEK の詳細については、Cloud Key Management Service のドキュメントをご覧ください。

準備

Application Integration で CMEK を使用する前に、次のタスクが完了していることを確認してください。

暗号鍵を格納するプロジェクトの Cloud KMS API を有効にする。
Cloud KMS API の有効化
ヒント: Application Integration と Cloud KMS は、同じ Google Cloud プロジェクトまたは異なるプロジェクトで実行できます。
Cloud KMS 管理者 IAM ロールを割り当てるか、暗号鍵を保存するプロジェクトに対して次の IAM 権限を付与します。
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
追加のロールまたは権限の付与については、アクセス権の付与、変更、取り消しをご覧ください。

注意: Cloud KMS 管理者のロールには、鍵のメンテナンスと鍵の破棄を行うための権限が含まれています。Cloud KMS リソースを保護するには、このロールを鍵管理を担当する個人にのみ割り当てる必要があります。
鍵リングと鍵を作成します。
注: キーリングは、Application Integration を設定したリージョンと同じリージョンに作成する必要があります。

CMEK 鍵へのサービスアカウントの追加

Application Integration で CMEK 鍵を使用するには、デフォルトのサービスアカウントが追加され、その CMEK 鍵の CryptoKey Encrypter/Decrypter IAM ロールが割り当てられている必要があります。

Google Cloud コンソールで、[主なインベントリ] ページに移動します。
[鍵のインベントリ] ページに移動
使用する鍵のチェックボックスをオンにします。
右側のウィンドウの [権限] タブが有効になります。
[プリンシパルを追加] をクリックし、デフォルトのサービスアカウントのメールアドレスを入力します。
[ロールを選択] をクリックし、使用可能なプルダウンリストから [クラウド KMS 暗号鍵の暗号化/復号化] ロールを選択します。
[保存] をクリックします。

Application Integration リージョンの CMEK 暗号化を有効にする

CMEK は、プロビジョニングされたリージョンのスコープ内の PD に保存されているデータを暗号化および復号するために使用できます。

Google Cloud プロジェクトの Application Integration リージョンで CMEK 暗号化を有効にするには、次の手順を行います。

Google Cloud コンソールで [Application Integration] ページに移動します。
Application Integration に移動
ナビゲーションメニューで、[リージョン] をクリックします。
[リージョン] ページが開き、Application Integration でプロビジョニングされたリージョンが一覧表示されます。
CMEK を使用する既存の統合では、 [アクション] をクリックして [暗号化を編集] を選択します。
[暗号化の編集] ペインで、[詳細設定] セクションを展開します。
[顧客管理の暗号鍵（CMEK）を使用する] を選択し、次の操作を行います。
1. 使用可能なプルダウンリストから CMEK 鍵を選択します。プルダウンに一覧表示されている CMEK 鍵は、プロビジョニングされたリージョンに基づいています。新しい鍵を作成するには、新しい CMEK 鍵を作成するをご覧ください。
2. [確認] をクリックして、デフォルトのサービスアカウントに、選択した CMEK 鍵への暗号鍵へのアクセス権があるかどうかを確認します。
3. 選択した CMEK 鍵の検証に失敗した場合は、[付与] をクリックし、暗号鍵の暗号化 / 復号 IAM ロールをデフォルトのサービスアカウントに割り当てます。
[完了] をクリックします。

新しい CMEK 鍵の作成

既存の鍵を使用しない場合、または指定したリージョンに鍵がない場合は、新しい CMEK 鍵を作成できます。

新しい対称暗号鍵を作成するには、[新しい鍵を作成] ダイアログで次の手順を行います。

[キーリング] を選択します。
1. [キーリング] をクリックし、指定したリージョンにある既存のキーリングを選択します。
2. 鍵の新しいキーリングを作成する場合は、[キーリングを作成] 切り替えボタンをクリックして、次の操作を行います。
  1. [キーリング名] をクリックしてキーリングの名前を入力します。
  2. [キーリングのロケーション] をクリックし、キーリングのリージョンのロケーションを選択します。
    注: CMEK 暗号化では、キーリングを Application Integration と同じリージョンに作成する必要があります。
3. [続行] をクリックします。
キーを作成
1. [キー名] をクリックして、新しいキーの名前を入力します。
2. [保護レベル] をクリックし、[ソフトウェア] または [HSM] を選択します。
  保護レベルの詳細については、Cloud KMS 保護レベルをご覧ください。
鍵とキーリングの詳細を確認し、[続行] をクリックします。
[作成] をクリックします。

Cloud KMS の割り当てとアプリケーションの統合

Application Integration で CMEK を使用すると、プロジェクトで Cloud KMS 暗号リクエストの割り当てが消費されます。たとえば、CMEK 鍵は暗号化と復号の呼び出しごとにこれらの割り当てを消費できます。

CMEK 鍵を使用した暗号化と復号のオペレーションは、次のように Cloud KMS の割り当てに影響します。

Cloud KMS で生成されたソフトウェア CMEK 鍵の場合、Cloud KMS の割り当ては消費されません。
ハードウェア CMEK 鍵（Cloud HSM 鍵とも呼ばれる）の場合、暗号化と復号のオペレーションは、その鍵が含まれるプロジェクトの Cloud HSM の割り当てにカウントされます。
外部 CMEK 鍵（Cloud EKM 鍵とも呼ばれる）の場合、暗号化と復号のオペレーションは、その鍵が含まれるプロジェクトの Cloud EKM の割り当てにカウントされます。

詳細については、Cloud KMS の割り当てをご覧ください。