Cloud Key Management Service

Google Cloud Platform で暗号鍵を管理します。

このプロダクトのドキュメントを見る

暗号鍵の管理

暗号鍵の管理

Cloud KMS はクラウドでホスティングされる鍵管理サービスです。このサービスを利用することで、オンプレミス型と同じ方法でクラウド サービスの暗号鍵を管理できます。AES256、RSA 2048、RSA 3072、RSA 4096、EC P256、EC P384 の各規格に対応し、暗号鍵の生成、使用、ローテーション、破棄をサポートしています。Cloud KMS は Cloud IAM と Cloud Audit Logging に統合されているため、個々の鍵の権限を管理し、それらの用途をモニタリングできます。Cloud KMS を使用すれば、Google Cloud Platform に保存するシークレットや機密データを保護できます。

スケーラブル、自動、高速

数百万もの暗号鍵の保持が可能で、データ暗号化の粒度レベルも選択できます。鍵の定期的な自動ローテーションを設定すると、新しいプライマリ バージョンを使用してデータを暗号化し、1 つの鍵バージョンでアクセスできるデータ範囲を制限できます。アクティブな鍵バージョンはいくつでも保持できます。Google Cloud Platform は低レイテンシなので、瞬時に鍵にアクセスできます。

鍵の使用を柔軟に管理

ユーザーレベルの個別鍵の権限に対する Cloud IAM 権限を管理し、個々のユーザーとサービス アカウントの両方にアクセス権を付与できます。また、Cloud Audit Logging で管理活動と鍵使用ログを表示できます。その際、機密性が特に高いデータへのアクセスを Cloud KMS でフィルタできます。鍵が適切に使用されているかどうかは、ログでモニタリングできます。

データの暗号化や署名が簡単に

Cloud KMS では、お客様が管理する対称鍵または非対称鍵のいずれかを使って柔軟にデータを暗号化できます。また、さまざまな長さの RSA と楕円曲線鍵の両方を使って署名操作を実行することもできます。

エンベロープ暗号化の実装

Cloud KMS ではローカルのデータ暗号鍵(DEK)を鍵暗号鍵(KEK)で保護することより鍵階層を実現します。アプリケーション レイヤでデータを暗号化するための鍵の管理を、保管先のストレージ システムが Google 内にあるかどうかを問わず行うことができます。

コンプライアンスに関するニーズに対応

Cloud KMS では、顧客管理の暗号鍵(CMEK)を使って GCP 全体に配置された機密データ用の暗号鍵を管理できます。鍵と暗号化のオペレーションをハードウェア環境内で実行することを求めるコンプライアンス要件がある場合も、Cloud KMS が統合された Cloud HSM を使用することで、FIPS 140-2 レベル 3 デバイスで保護された鍵を簡単に作成できます。

特長

対称鍵と非対称鍵に対応

Cloud KMS では、AES256 の対称鍵と RSA 2048、RSA 3072、RSA 4096、EC P256、EC P384 の非対称鍵を作成、使用、ローテーション、自動ローテーション、破棄できます。

鍵破棄の遅延

Cloud KMS では、鍵が実質的に破棄されるまで 24 時間の遅延を設けており、誤操作や悪意のある操作によるデータ損失を回避できるようになっています。

API による暗号化と復号

Cloud KMS は、鍵を使ってシークレットなどのデータを暗号化、復号、署名し、保存することができる REST API です。

グローバルな高可用性

Cloud KMS は世界中の複数の地域でリージョン間をまたがって利用できるため、低レイテンシおよび高可用性が求められる場所にサービスを配置できます。

自動鍵ローテーションと任意の鍵ローテーション

Cloud KMS では任意に鍵をローテーションできるほか、指定間隔で新しい鍵バージョンを自動生成するよう対称鍵のローテーション スケジュールを設定することもできます。復号の場合は複数の対称鍵バージョンを同時にアクティブにできますが、新規データを暗号化する場合は 1 つのプライマリ鍵バージョンしか使用できません。

GKE との統合

Cloud KMS で管理するキーを使用して、GKE のアプリケーション レイヤで Kubernetes のシークレットを暗号化します。

Google のデフォルトの暗号化プロセスは明確で、Cloud KMS を利用すれば暗号化のベスト プラクティスを簡単に実施できます。鍵の自動ローテーションなどの機能により、オーバーヘッドなしで鍵を定期的にローテーションし、社内のコンプライアンス要求にも対応できます。Cloud KMS は低レイテンシなので、頻繁に実行されるオペレーションにも活用できます。そのため、機密データだけではなく、インデックス化の必要がないオペレーション データにまで、暗号化するデータ範囲を広げることができます。

Ravelin 社 CTO Leonard Austin 氏

料金

Cloud KMS の料金には、鍵バージョンの定額料金と、鍵オペレーションの使用料金が含まれています。詳細

鍵バージョン 料金
アクティブな鍵バージョン 月額 $0.06

米ドル以外の通貨でお支払いの場合は、Cloud Platform SKU に記載されている該当通貨の料金が適用されます。

鍵オペレーション 料金
鍵使用オペレーション(暗号化 / 復号) $0.03/10,000 オペレーション
鍵管理オペレーション 無料

米ドル以外の通貨でお支払いの場合は、Cloud Platform SKU に記載されている該当通貨の料金が適用されます。

Google Cloud

使ってみる

無料で体験

Google Cloud を新規でご利用のお客様には、12 か月間の無料クレジット $300 分を差し上げます。

さらにサポートが必要な場合

Google のエキスパートが、適切なソリューションの構築やお客様のニーズに合ったパートナーの選定をお手伝いいたします。