データ暗号化と暗号鍵

このページでは、Google Cloud 上のデータの暗号化と暗号鍵について説明します。

転送時と保存時のデータ暗号化

Google Cloud では、送信前にリクエストを暗号化し、Transport Layer Security(TLS)プロトコルを使用して元データを保護するために転送データの暗号化がデフォルトで有効になります。

データが保存のために Google Cloud に転送されると、Google Cloud はデフォルトで保存データの暗号化を適用します。保存データの暗号化方法を詳細に制御するために、Google Cloud のお客様は Cloud Key Management Service を使用して、独自のポリシーに従って暗号鍵を生成、使用、ローテーション、破棄できます。これらの鍵は顧客管理の暗号鍵(CMEK)と呼ばれます。

特定のコントロール パッケージの場合、Assured Workloads フォルダを作成すると、Assured Workloads はリソース プロジェクトとともに CMEK プロジェクトをデプロイできます。

CMEK の代わりに、Google が管理する暗号鍵がデフォルトで提供され、FIPS-140-2 に準拠し、Assured Workloads でほとんどのコントロール パッケージをサポートできます。お客様は CMEK プロジェクトを削除し、Google が管理する鍵だけに頼ることができます。ただし、Assured Workloads フォルダを作成する前に、CMEK 鍵を使用するかどうかを判断することをおすすめします。これは、既存の使用中の CMEK を削除すると、データへのアクセスや復元ができなくなる可能性があるためです。

顧客管理の暗号鍵(CMEK)

Google Cloud プロジェクト内の保存データの暗号化に使用する鍵を、Google Cloud のデフォルトの暗号化で行われるよりも詳細に制御する必要がある場合は、Cloud KMS 内でお客様が管理されている暗号鍵を使用してデータを保護するための機能が用意されています。こうした暗号鍵は「顧客管理の暗号鍵(CMEK)」と呼ばれます。

CMEK が提供する鍵のライフサイクルと管理については、Cloud KMS ドキュメントの顧客管理の暗号鍵(CMEK)をご覧ください。Cloud KMS を使用して鍵と暗号化されたデータを管理するチュートリアルについては、クイックスタートまたは Codelab をご覧ください。

次のステップ