このページは Cloud Translation API によって翻訳されました。

Google Cloud Serverless for Apache Spark で CMEK を使用する

デフォルトでは、 Google Cloud Serverless for Apache Spark はお客様のコンテンツを保存時に暗号化します。Serverless for Apache Spark は、ユーザー側で操作を行わなくても暗号化を行います。このオプションは、Google のデフォルトの暗号化と呼ばれます。

暗号鍵を管理する場合は、Cloud KMS の顧客管理の暗号鍵（CMEK）を、Serverless for Apache Spark などの CMEK 統合サービスで使用できます。Cloud KMS 鍵を使用すると、保護レベル、ロケーション、ローテーションスケジュール、使用とアクセスの権限、暗号境界を制御できます。Cloud KMS を使用すると、鍵の使用状況を追跡すること、監査ログを表示すること、鍵のライフサイクルを管理することが可能です。データを保護する対称鍵暗号鍵（KEK）は Google が所有して管理するのではなく、ユーザーが Cloud KMS でこれらの鍵を制御および管理します。

CMEK を使用してリソースを設定した後は、Serverless for Apache Spark リソースへのアクセスは、Google のデフォルトの暗号化を使用する場合と同様です。暗号化オプションの詳細については、顧客管理の暗号鍵（CMEK）をご覧ください。

CMEK の使用

このセクションの手順に沿って、CMEK を使用し、 Google Cloud Serverless for Apache Spark により永続ディスクと Dataproc ステージングバケットに書き込まれるデータを暗号化します。

2021 年 4 月 23 日以降:

Apache Spark 用サーバーレスでは、バッチジョブ引数の暗号化にも CMEK が使用されます。この動作を有効にするには、Cloud KMS 暗号鍵の暗号化 / 復号 IAM ロールを Dataproc サービスエージェントサービスアカウントに割り当てる必要があります。Dataproc サービスエージェントのロールが Dataproc サービスエージェントサービスアカウントに関連付けられていない場合は、Dataproc サービスエージェントサービスアカウントに関連付けられたカスタムロールに serviceusage.services.use 権限を追加します。 Apache Spark 用サーバーレスリソースを実行するプロジェクトで Cloud KMS API を有効にする必要があります。
batches.list は、復号できなかったジョブ引数を含むバッチを一覧表示する unreachable フィールドを返します。batches.get リクエストを発行して、アクセスできないバッチに関する詳細情報を取得できます。
鍵（CMEK）は、暗号化されたリソースと同じロケーションにある必要があります。たとえば、us-central1 リージョンで実行されるバッチの暗号化に使用される CMEK も us-central1 リージョンにある必要があります。

Cloud Key Management Service（Cloud KMS）を使用して鍵を作成します。
リソース名をコピーします。

リソース名は次のように構成されています。
```
projects/PROJECT_ID/locations/REGION/keyRings/KEY_RING_NAME/cryptoKeys/KEY_NAME
```
Compute Engine、Dataproc、Cloud Storage Service Agent のサービスアカウントで鍵を使用できるようにします。
1. Cloud KMS 暗号鍵の暗号化/復号ロールを Compute Engine サービスエージェントのサービスアカウントに割り当てるには、[Cloud KMS 鍵を使用してリソースを保護する] > [必要なロール] をご覧ください。このサービスアカウントが Google Cloud コンソールの IAM ページの一覧に含まれていない場合は、[Google 提供のロール付与を含める] をクリックして含めます。
2. Cloud KMS 暗号鍵の暗号化 / 復号ロールを Dataproc サービスエージェントサービスアカウントに割り当てます。ロールの割り当てには、Google Cloud CLI を使用できます。
```
 gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
 --member serviceAccount:service-PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com \
 --role roles/cloudkms.cryptoKeyEncrypterDecrypter
```
  次のように置き換えます。
  
  KMS_PROJECT_ID: Cloud KMS を実行する Google Cloud プロジェクトの ID。このプロジェクトには、Dataproc リソースを実行するプロジェクトも指定できます。
  
  PROJECT_NUMBER: Dataproc リソースを実行する Google Cloud プロジェクトのプロジェクト番号（プロジェクト ID ではありません）。
3. Apache Spark 用 Serverless リソースを実行するプロジェクトで Cloud KMS API を有効にします。
4. Dataproc サービスエージェントのロールが Dataproc サービスエージェントサービスアカウントに関連付けられていない場合は、Dataproc サービスエージェントサービスアカウントに関連付けられたカスタムロールに serviceusage.services.use 権限を追加します。Dataproc サービスエージェントのロールが Dataproc サービスエージェントサービスアカウントに関連付けられている場合は、この手順をスキップできます。
5. 手順に沿ってバケットに鍵を追加します。
バッチワークロードを送信する場合:
1. バッチ kmsKey パラメータでキーを指定します。
2. バッチ stagingBucket パラメータで Cloud Storage バケットの名前を指定します。
インタラクティブセッションまたはセッションテンプレートを作成する場合:
1. セッションの kmsKey パラメータでキーを指定します。
2. セッションの stagingBucket パラメータで Cloud Storage バケットの名前を指定します。

Google Cloud Serverless for Apache Spark で CMEK を使用する コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

CMEK の使用

Google Cloud Serverless for Apache Spark で CMEK を使用する