Application Integration でサポートされているコネクタをご覧ください。

顧客管理の暗号鍵

デフォルトでは、Application Integration は Google が管理する暗号鍵を使用して、保存されているデータを自動的に暗号化します。データを保護する鍵について特定のコンプライアンス要件や規制要件がある場合、または暗号化を自分で制御および管理する場合は、顧客管理の暗号鍵（CMEK）を使用できます。CMEK 鍵は、HSM クラスタにソフトウェア鍵として保存できます。また、Cloud External Key Manager（Cloud EKM）に外部で保存することもできます。

CMEK の詳細については、Cloud Key Management Service のドキュメントをご覧ください。

準備

Application Integration で CMEK を使用する前に、次のタスクが完了していることを確認してください。

暗号鍵を格納するプロジェクトの Cloud KMS API を有効にする。
Cloud KMS API の有効化
ヒント: Application Integration と Cloud KMS は、同じ Google Cloud プロジェクトで実行することも、別のプロジェクトで実行することもできます。
暗号鍵を保存するプロジェクトに Cloud KMS 管理者 IAM ロールを割り当てるか、次の IAM 権限を付与します。
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
追加のロールまたは権限の付与については、アクセス権の付与、変更、取り消しをご覧ください。

注意: Cloud KMS 管理者のロールには、鍵のメンテナンスと鍵の破棄を行うための権限が含まれています。Cloud KMS リソースを保護するには、このロールを鍵管理を担当する個人にのみ割り当てる必要があります。
鍵リングと鍵を作成します。
注: キーリングは、アプリケーション統合を設定したリージョンと同じリージョンに作成する必要があります。

CMEK キーにサービスアカウントを追加する

Application Integration で CMEK 鍵を使用するには、デフォルトのサービスアカウントが追加され、その CMEK 鍵の暗号鍵の暗号化/復号 IAM ロールが割り当てられていることを確認する必要があります。

Google Cloud コンソールで、[主なインベントリ] ページに移動します。
[鍵のインベントリ] ページに移動
使用する鍵のチェックボックスをオンにします。
右側のウィンドウの [権限] タブが有効になります。
[プリンシパルを追加] をクリックし、デフォルトのサービスアカウントのメールアドレスを入力します。
[ロールを選択] をクリックし、使用可能なプルダウンリストから [Cloud KMS 暗号鍵の暗号化/復号] ロールを選択します。
[保存] をクリックします。

Application Integration リージョンの CMEK 暗号化を有効にする

CMEK を使用すると、プロビジョニングされたリージョンのスコープ内の PD に保存されているデータの暗号化と復号を行うことができます。

Google Cloud プロジェクトの Application Integration リージョンで CMEK 暗号化を有効にするには、次の操作を行います。

Google Cloud コンソールで [Application Integration] ページに移動します。
Application Integration に移動
ナビゲーションメニューで、[Regions] をクリックします。
[Regions] ページに、Application Integration にプロビジョニングされたリージョンが一覧表示されます。
CMEK を使用する既存の統合に対して、 [アクション] をクリックし、[暗号化を編集] を選択します。
[暗号化を編集する] ペインで、[詳細設定] セクションを開きます。
[顧客管理の暗号鍵（CMEK）を使用する] を選択し、次の操作を行います。
1. 使用可能なプルダウンリストから CMEK 鍵を選択します。プルダウンに表示される CMEK 鍵は、プロビジョニングされたリージョンに基づいています。新しい鍵を作成するには、新しい CMEK 鍵を作成するをご覧ください。
2. [確認] をクリックして、デフォルトのサービスアカウントに、選択した CMEK 鍵への暗号鍵へのアクセス権があるかどうかを確認します。
3. 選択した CMEK 鍵の検証に失敗した場合は、[付与] をクリックし、暗号鍵の暗号化 / 復号 IAM ロールをデフォルトのサービスアカウントに割り当てます。
[完了] をクリックします。

新しい CMEK 鍵を作成する

既存の鍵を使用しない場合や、指定したリージョンに鍵がない場合は、新しい CMEK 鍵を作成できます。

新しい対称暗号鍵を作成するには、[新しい鍵を作成する] ダイアログで次の操作を行います。

キーリングを選択します。
1. [キーリング] をクリックし、指定したリージョンの既存のキーリングを選択します。
2. 鍵の新しいキーリングを作成する場合は、[キーリングを作成] 切り替えボタンをクリックし、次の手順を行います。
  1. [キーリング名] をクリックして、キーリングの名前を入力します。
  2. [キーリングのロケーション] をクリックし、キーリングのリージョンのロケーションを選択します。
    注: CMEK 暗号化の場合、キーリングは Application Integration と同じリージョンに作成する必要があります。
3. [続行] をクリックします。
キーを作成
1. [鍵名] をクリックし、新しい鍵の名前を入力します。
2. [保護レベル] をクリックし、[ソフトウェア] または [HSM] を選択します。
  保護レベルの詳細については、Cloud KMS の保護レベルをご覧ください。
鍵とキーリングの詳細を確認し、[続行] をクリックします。
[作成] をクリックします。

Cloud KMS の割り当てとアプリケーション統合

アプリケーションインテグレーションで CMEK を使用すると、プロジェクトで Cloud KMS 暗号リクエストの割り当てを使用できます。たとえば、CMEK 鍵は、暗号化と復号の呼び出しごとにこれらの割り当てを使用できます。

CMEK 鍵を使用する暗号化と復号のオペレーションは、次のように Cloud KMS の割り当てに影響します。

Cloud KMS で生成されたソフトウェア CMEK 鍵の場合、Cloud KMS の割り当ては消費されません。
ハードウェア CMEK 鍵（Cloud HSM 鍵とも呼ばれる）の場合、暗号化と復号のオペレーションは、その鍵が含まれるプロジェクトの Cloud HSM の割り当てにカウントされます。
外部 CMEK 鍵（Cloud EKM 鍵とも呼ばれる）の場合、暗号化と復号のオペレーションは、その鍵が含まれるプロジェクトの Cloud EKM の割り当てにカウントされます。

詳細については、Cloud KMS の割り当てをご覧ください。