顧客管理の暗号鍵(CMEK)を使用して Assured Workloads リソースを暗号化する場合について、このページでは鍵を作成して取得する方法を説明します。詳細については、Assured Workloads 暗号化オプションをご覧ください。
始める前に
プロジェクト オーナーまたは組織管理者である、またはプロジェクトへのセキュリティ アクセス権を付与されていることが必要です。初めて利用されるユーザーである場合は、Assured Workloads を使ってみるをご覧ください。
コンプライアンス レジームと暗号化戦略を選択します。
次のように、Assured Workloads 環境に、コンプライアンス レジームをサポートするフォルダを作成する。
Assured Workloads CMEK 鍵を含むプロジェクトのプロジェクト ID を選択します。コンプライアンス レジームとして IL4(プレビュー)または CJIS を選択した場合は、プロジェクトはデフォルトで
cmek-
で開始されます。
鍵を作成する
CMEK 鍵の作成手順は次のとおりです。
Google Cloud Console で、[暗号鍵] に移動します。
Assured Workloads CMEK プロジェクトを選択します。デフォルトでは、このプロジェクト ID は
cmek-
で始まります。キーリングをクリックします。
[キーを作成] をクリックします。
[作成するキーのタイプ] プルダウン リストで、[生成されたキー] を選択します。
[キー名] に鍵名を入力します。
[保護レベル] プルダウン リストで、[ソフトウェア] を選択します。
[目的] プルダウン リストで、[対称暗号化/復号] を選択します。
[ローテーション期間] プルダウン リストで、[90 日] を選択します。
省略可: ラベルを追加する手順は次のとおりです。
- [ラベルを追加] をクリックします。
- [キー] テキスト フィールドにキーを入力します。
- [値] テキスト フィールドに値を入力します。
[作成] をクリックします。
鍵が作成されたことを確認できます。
CMEK 鍵のリソース ID を取得する
- Google Cloud Console のプロジェクト セレクタで、CMEK 鍵を含むプロジェクトのプロジェクト ID を選択します。デフォルトでは、Assured Workloads がこのプロジェクトを作成すると、プロジェクト ID の先頭に
cmek-
が追加されます。 [セキュリティ] で [暗号鍵] に移動します。
[キーリング] で、キーリング名をクリックします。
[キーリングの詳細] の [鍵] タブで、鍵の名前をクリックします。
鍵名の右側にある more_vert [その他] アイコンをクリックします。
[リソース名をコピー] をクリックします。
リソースの文字列は次のように形式設定されます。
projects/SECURITY_PROJECT_ID/locations/LOCATION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
次のステップ
- CMEK を使用して Cloud Storage を暗号化する方法を確認する。
- CMEK を使用して Persistent Disk を暗号化する方法を確認する。
- CMEK を使用して BigQuery を暗号化する方法を確認する。