このページは Cloud Translation API によって翻訳されました。

顧客管理の暗号鍵

デフォルトでは、Integration Connectors はお客様のコンテンツを保存時に暗号化します。暗号化は Integration Connectors が行うため、ユーザー側での操作は必要ありません。このオプションは、Google のデフォルトの暗号化と呼ばれます。

暗号鍵を管理する場合は、Cloud KMS の顧客管理の暗号鍵（CMEK）を、Integration Connectors などの CMEK 統合サービスで使用できます。Cloud KMS 鍵を使用すると、保護レベル、ロケーション、ローテーションスケジュール、使用とアクセスの権限、暗号境界を制御できます。Cloud KMS を使用すると、監査ログを表示し、鍵のライフサイクルを管理することもできます。データを保護する対称鍵暗号鍵（KEK）は Google が所有して管理するのではなく、ユーザーが Cloud KMS でこれらの鍵を制御および管理します。

CMEK を使用してリソースを設定した後は、Integration Connectors リソースへのアクセスは、Google のデフォルトの暗号化を使用する場合と同様です。暗号化オプションの詳細については、顧客管理の暗号鍵（CMEK）をご覧ください。

始める前に

インテグレーションコネクタで CMEK を使用する前に、次のタスクが完了していることを確認してください。

暗号鍵を格納するプロジェクトの Cloud KMS API を有効にする。
Cloud KMS API を有効にする
ヒント: Integration Connectors と Cloud KMS は、同じ Google Cloud プロジェクトで実行することも、別のプロジェクトで実行することもできます。
暗号鍵を保存するプロジェクトに Cloud KMS 管理者 IAM ロールを割り当てるか、次の IAM 権限を付与します。
- cloudkms.cryptoKeys.setIamPolicy
- cloudkms.keyRings.create
- cloudkms.cryptoKeys.create
追加のロールまたは権限の付与については、アクセス権の付与、変更、取り消しをご覧ください。

注意: Cloud KMS 管理者のロールには、鍵のメンテナンスと鍵の破棄を行うための権限が含まれています。Cloud KMS リソースを保護するには、このロールを鍵管理を担当する個人にのみ割り当てる必要があります。
鍵リングと鍵を作成します。
注: キーリングは、Integration Connectors を設定したリージョンと同じリージョンに作成する必要があります。

CMEK キーにサービスアカウントを追加する

Integration Connectors で CMEK 鍵を使用するには、デフォルトのサービスアカウント（service-PROJECT_NUMBER@gcp-sa-connectors.iam.gserviceaccount.com 形式）が追加され、その CMEK 鍵の暗号鍵の暗号化/復号 IAM ロールが割り当てられていることを確認する必要があります。

注: 最初のリージョンをプロビジョニングしている場合、デフォルトのサービスアカウントが存在しないことがあります。サービスアカウントを生成するには、gcloud beta services identity create --service=connectors.googleapis.com --project=PROJECT_ID コマンドを実行します。

Google Cloud コンソールで、[主なインベントリ] ページに移動します。
[鍵のインベントリ] ページに移動
使用する鍵のチェックボックスをオンにします。
右側のウィンドウの [権限] タブが有効になります。
[プリンシパルを追加] をクリックし、デフォルトのサービスアカウントのメールアドレスを入力します。
[ロールを選択] をクリックし、使用可能なプルダウンリストから [Cloud KMS 暗号鍵の暗号化/復号] ロールを選択します。
[Save] をクリックします。

既存の Integration Connectors リージョンで CMEK 暗号化を有効にする

CMEK を使用すると、リージョン（ロケーション）に保存されているサポートされているデータを暗号化および復号できます。既存の Integration Connectors リージョンで CMEK 暗号化を有効にするには、次の操作を行います。

Google Cloud コンソールで、[Integration Connectors] > [Connections] ページに移動します。
[すべての接続] ページに移動します。
必要なロケーションの接続をフィルタします。
指定したロケーション（リージョン）のすべての接続のリストが表示されます。
リージョン内のすべての接続を停止します。
[Integration Connectors] > [Regions] ページに移動します。Integration Connectors が利用可能なすべてのリージョンが一覧表示されます。
CMEK を有効にするリージョンで、[アクション] メニューの [暗号化を編集] をクリックします。 [暗号化を編集] ペインが表示されます。
[顧客管理の暗号鍵（CMEK）] を選択し、[顧客管理の暗号鍵] プルダウンリストから必要な鍵を選択します。
サービスアカウントに cloudkms.cryptoKeyEncrypterDecrypter ロールを付与するよう求められる場合があります。[付与] をクリックします。
[完了] をクリックします。

新しい Integration Connectors リージョンで CMEK 暗号化を有効にする

CMEK を使用すると、リージョン（ロケーション）に保存されているサポートされているデータを暗号化および復号できます。新しい Integration Connectors リージョンで CMEK 暗号化を有効にするには、次の操作を行います。

Google Cloud コンソールで、[Integration Connectors] > [Regions] ページに移動します。
[リージョン] ページに移動します。
[Provision new region] をクリックします。リージョンの作成ページが表示されます。
[リージョン] プルダウンリストから必要なリージョンを選択します。
[詳細設定] セクションで [顧客管理の暗号鍵（CMEK）] を選択し、[顧客管理の暗号鍵] プルダウンリストから必要な鍵を選択します。
サービスアカウントに cloudkms.cryptoKeyEncrypterDecrypter ロールを付与するよう求められる場合があります。[付与] をクリックします。
[完了] をクリックします。

Cloud KMS の割り当てと Integration Connectors

Integration Connectors で CMEK を使用すると、プロジェクトで Cloud KMS 暗号リクエストの割り当てを使用できます。たとえば、CMEK 鍵は、暗号化と復号の呼び出しごとにこれらの割り当てを使用できます。

CMEK 鍵を使用する暗号化と復号のオペレーションは、次のように Cloud KMS の割り当てに影響します。

Cloud KMS で生成されたソフトウェア CMEK 鍵の場合、Cloud KMS の割り当ては消費されません。
ハードウェア CMEK 鍵（Cloud HSM 鍵とも呼ばれる）の場合、暗号化と復号のオペレーションは、その鍵が含まれるプロジェクトの Cloud HSM の割り当てにカウントされます。
外部 CMEK 鍵（Cloud EKM 鍵とも呼ばれる）の場合、暗号化と復号のオペレーションは、その鍵が含まれるプロジェクトの Cloud EKM の割り当てにカウントされます。

詳細については、Cloud KMS の割り当てをご覧ください。