データ暗号化と暗号鍵

このトピックでは、Google Cloud 上のデータの暗号化と暗号鍵について説明します。

転送時と保存時のデータ暗号化

Google Cloud では、送信前にリクエストを暗号化し、Transport Layer Security(TLS)プロトコルを使用して元データを保護するために転送データの暗号化がデフォルトで有効になります。

データが保存のために Google Cloud に転送されると、Google Cloud はデフォルトで保存データの暗号化を適用します。保存データの暗号化方法を詳細に制御するために、Google Cloud のお客様は Cloud Key Management Service を使用して、独自のポリシーに従って暗号鍵を生成、使用、ローテーション、破棄できます。これらの鍵は顧客管理の暗号鍵(CMEK)と呼ばれます。

特定のコンプライアンス体制の場合、Assured Workloads は、ワークロード環境の作成中にリソース プロジェクトとともに CMEK プロジェクトをデプロイできます。

CMEK の代わりに、デフォルトで提供されている Google マネージド暗号鍵は FIPS-140-2 に準拠し、FedRAMP Moderate コンプライアンスをサポートできます。お客様は CMEK プロジェクトを削除し、Google が管理する鍵のみを使用できます。ただし、Assured Workloads 環境を作成する前に、CMEK 鍵を使用するかどうかを決定することをおすすめします。これは、使用中の CMEK を削除するとデータにアクセスまたは復元できなくなる可能性があるためです。

顧客管理の暗号鍵(CMEK)

Google Cloud プロジェクト内の保存データの暗号化に使用する鍵を、Google Cloud のデフォルトの暗号化で行われるよりも詳細に制御する必要がある場合は、Cloud KMS 内でお客様が管理されている暗号鍵を使用してデータを保護するための機能が用意されています。こうした暗号鍵は「顧客管理の暗号鍵(CMEK)」と呼ばれます。

CMEK で提供される鍵のライフサイクルと管理の側面については、Cloud KMS ドキュメントの顧客管理の暗号鍵(CMEK)をご覧ください。Cloud KMS を使用して鍵と暗号化されたデータを管理するためのチュートリアルについては、クイックスタートまたは Codelab をご覧ください。

次のステップ