データ暗号化と暗号鍵

このページでは、 Google Cloud のデータの暗号化と暗号鍵について説明します。

転送時と保存時のデータ暗号化

Google Cloud では、送信前にリクエストを暗号化し、Transport Layer Security(TLS)プロトコルを使用して元データを保護するために転送データの暗号化がデフォルトで有効になります。

データが保存のために Google Cloud に転送されると、 Google Cloudはデフォルトで保存データの暗号化を適用します。保存データの暗号化方法を詳細に制御するために、Google Cloud のお客様は Cloud Key Management Serviceevice を使用して、独自のポリシーに従って暗号鍵を生成、使用、ローテーション、破棄できます。こうした鍵は顧客管理の暗号鍵(CMEK)と呼ばれます。

特定のコントロール パッケージの場合、Assured Workloads フォルダを作成すると、Assured Workloads はリソース プロジェクトとともに CMEK プロジェクトをデプロイできます。

CMEK の代わりに、デフォルトで提供される Google-owned and Google-managed encryption keysは FIPS-140-2 に準拠しており、Assured Workloads のほとんどのコントロール パッケージをサポートできます。お客様は CMEK プロジェクトを削除し、 Google-owned and Google-managed encryption keysだけに頼ることができます。ただし、使用中の既存の CMEK を削除すると、データへのアクセスまたはデータの復元ができなくなる可能性があるため、Assured Workloads フォルダを作成する前に CMEK 鍵を使用するかどうかを決定することをおすすめします。

顧客管理の暗号鍵(CMEK)

Google Cloud プロジェクト内の保存データの暗号化に使用する鍵を、 Google Cloudのデフォルトの暗号化で行われるよりも詳細に制御する必要がある場合は、 Google Cloud サービスで、Cloud KMS 内でお客様によって管理されている暗号鍵を使用してデータを保護するための機能を使用できます。こうした暗号鍵は「顧客管理の暗号鍵(CMEK)」と呼ばれます。

CMEK が提供する鍵のライフサイクルと管理の側面については、Cloud KMS ドキュメントの顧客管理の暗号鍵(CMEK)をご覧ください。Cloud KMS を使用して鍵と暗号化されたデータの管理をガイドするチュートリアルについては、クイックスタートまたは codelab をご覧ください。

次のステップ