セキュリティ & アイデンティティ

新しい Cloud KMS Autokey で迅速かつ効率的にリソースを暗号化

2024年7月5日

Honna Segel

Product Manager, Cloud KMS

Luis Urena

Developer Relations Engineer

Gemini 1.5 モデルをお試しください。

Vertex AI からアクセスできる、Google のもっとも先進的なマルチモーダルモデルです。

試す

※この投稿は米国時間 2024 年 6 月 27 日に、Google Cloud blog に投稿されたものの抄訳です。

クラウドにおけるデータセキュリティ、主権、プライバシーに対応するための基本的な制御として挙げられるのが暗号化です。Google Cloud では保存中の顧客データがデフォルトで暗号化されますが、多くの組織は、データへのアクセスを管理する暗号鍵をより細かく制御したいと考えています。

顧客管理の暗号鍵（CMEK）を使用すると、暗号鍵の作成、ローテーション、使用状況のロギング、保存を柔軟に行えます。CMEK は多くの組織が必要とする細かな制御を提供しますが、それらの使用には手動プロセスを必要とし、目的とする制御や構成を確実に実装するには時間と労力を要します。

CMEK 構成をより効率的にするために、このたび Cloud KMS Autokey のプレビュー版がリリースされたことをお知らせいたします。Cloud KMS Autokey は、CMEK の鍵管理オペレーションを自動化します。お客様独自の暗号鍵の管理に伴うトイルを大幅に削減する推奨プラクティスが組み込まれているため、デベロッパーはプロジェクトの完了を迅速化できます。

Cloud KMS Autokey により、鍵の作成における手作業を排除できます。リソースの作成時にキーリングと鍵が自動的に生成され、暗号化と復号のオペレーションに必要な IAM ロールが同時に割り当てられます。Autokey はまた、各リソースに適切な鍵のタイプを自動的に選択することで鍵の選択を簡素化し、複雑さと手作業を軽減します。

Cloud KMS Autokey の仕組み

たとえば、Google Cloud Storage バケット、永続ディスクを備えた Compute Engine インスタンス、BigQuery データセットを作成しなければならないプロジェクトを任されたとします。これらの各サービスのデータは、自分が管理する鍵で暗号化する必要があります。このようなリソースの暗号化を構成する際に、コントロールパネルから、「Cloud KMS with Autokey」を選択できるようになりました。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/1-gcs-autokey-final.gif

KMS Autokey で作成した鍵を使用した Google Cloud Storage バケットの作成。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/2-_disk-autokey.gif

KMS Autokey で作成した鍵を使用した Google Cloud 永続ディスクの作成。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/3_-_autokey-bq-final.gif

KMS Autokey で作成した鍵を使用した BigQuery データセットの作成。

鍵をリクエストすると、Cloud KMS Autokey は、そのプロジェクトとロケーションのキーリングがまだ存在しない場合、リソースと同じロケーションに新しい暗号鍵を持つキーリングを自動的に作成します。

たとえば、リソースを us-central1 に作成した場合、KMS Autokey は us-central1 にキーリングを作成します。

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/4_-_autokey_key_rings.gif

Cloud KMS Autokey が新しい鍵で自動的にキーリングを作成

他の Cloud KMS 鍵と同じように、Cloud KMS Autokey で作成された鍵もモニタリングしたり維持したりできます。

Cloud KMS Autokey で暗号鍵を作成すると、CMEK を実装する際の 3 つの重要な目標を達成できます。

一貫性のあるプラクティスの確保: 鍵をリクエストすると、Cloud KMS Autokey サービスアカウントは、Cloud KMS Autokey に組み込まれている推奨事項に従って鍵を自動的に生成します。
きめ細かく制御できる暗号鍵の作成: 各リソースタイプに適した粒度で新しい鍵が作成されるため、複数の保護対象リソースに影響を及ぼすことなく鍵を無効化または削除する必要がある場合に、暗号シュレディングなどのオペレーションをよりきめ細かく制御できます。
生産性の向上: 開発者が別のチームに新しい鍵を要求するような運用上のトイルが発生せず、CMEK で保護されたリソースをすばやく作成できます。

使ってみる

Cloud KMS Autokey はリソースフォルダレベルで有効にできるため、そのフォルダ内のプロジェクトで作業している開発者は Autokey にアクセスできます。KMS 管理者は、それらのプロジェクトに対する事前の計画や鍵の作成を行う必要はありません。

承認されたユーザーは、職掌分散を維持しながら、Cloud KMS Autokey サービスアカウントから直接暗号鍵をリクエストできます。承認されたユーザーの場合、鍵の作成権限を昇格して Terraform やその他の Infrastructure as Code プロセスを実行する必要がなくなるため、攻撃対象領域を減らすことができます。代わりに、Terraform コードは鍵ハンドルを作成し、返された鍵を使用してリソースを保護します。

設定が完了すると、Cloud KMS Autokey は鍵管理アシスタントのように機能し、次のことが行えます。