Cloud Key Management Service

Google Cloud Platform で暗号鍵を管理する

無料トライアル

暗号鍵の管理

Cloud KMS はクラウドでホスティングされる鍵管理サービスです。このサービスを利用することで、オンプレミス型と同じ方法でクラウド サービスの暗号鍵を管理できます。また、AES256、RSA 2048、RSA 3072、RSA 4096、EC P256、EC P384 の暗号鍵を生成、使用、ローテーション、破棄できます。Cloud KMS は Cloud IAM と Cloud Audit Logging に統合されているため、個々の鍵の権限を管理し、それらの用途を監視することができます。Cloud KMS を使用すれば、Google Cloud Platform に保存するシークレットや機密データを保護できます。

スケーラブル、自動、高速

数百万もの暗号鍵の保持が可能で、データ暗号化の粒度レベルも選択できます。鍵の定期的な自動ローテーションを設定して、新しいプライマリ バージョンをデータ暗号化に使用し、1 つの鍵バージョンでアクセスできるデータ範囲を制限できます。アクティブな鍵バージョンをいくつでも保持できます。Google Cloud Platform は低レイテンシなので、瞬時に鍵にアクセスできます。

鍵の使用を柔軟に管理

ユーザーレベルの個別鍵の権限に対する Cloud IAM 権限を管理し、個々のユーザーとサービス アカウントの両方にアクセス権を付与できます。また、Cloud Audit Logging で管理活動と鍵使用ログを表示できます。その際、機密性が特に高いデータへのアクセスを Cloud KMS でフィルタできます。ログで監視することで、鍵が適切に使用されているかどうかを確認できます。

データの暗号化や署名が簡単に

Cloud KMS では、お客様が管理する対称鍵または非対称鍵のいずれかを使って柔軟にデータを暗号化できます。また、さまざまな長さの RSA と楕円曲線鍵の両方を使って署名操作を実行することもできます。

エンベロープ暗号化の実装

Cloud KMS の鍵暗号鍵(KEK)で保護されたローカルのデータ暗号鍵(DEK)で鍵階層を実装します。アプリケーション階層で、データを暗号化するための鍵(ストレージ システム、Google、その他の場所に保管)を管理します。

コンプライアンスに関するニーズに対応

Cloud KMS では、顧客管理の暗号鍵(CMEK)を使って GCP 全体に配置された機密データ用の暗号鍵を管理できます。鍵と暗号化のオペレーションをハードウェア環境内で実行することを求めるコンプライアンス要件がある場合も、Cloud KMS が統合された Cloud HSM を使用することで、FIPS 140-2 レベル 3 認定端末で保護された鍵を簡単に作成できます。

Cloud KMS の機能

Google Cloud Platform 上で暗号鍵を管理できます。

対称鍵と非対称鍵に対応
Cloud KMS では、AES256 の対称鍵と RSA 2048、RSA 3072、RSA 4096、EC P256、EC P384 の非対称鍵を作成、使用、ローテーション、自動ローテーション、破棄できます。
API による暗号化と復号化
Cloud KMS は、鍵を使ってシークレットなどのデータの暗号化、復号化、署名し、保存することができる REST API です。
自動鍵ローテーションと任意の鍵ローテーション
Cloud KMS では任意に鍵をローテーションできるほか、指定間隔で新しい鍵バージョンを自動生成するよう対称鍵のローテーション スケジュールを設定することもできます。復号化の場合は複数の対称鍵バージョンを同時にアクティブにできますが、新規データを暗号化する場合は 1 つのプライマリ鍵バージョンしか使用できません。
鍵破棄の遅延
Cloud KMS では、鍵が実質的に破棄されるまで 24 時間の遅延を設けており、誤操作や悪意のある操作によるデータ損失を回避できるようになっています。
グローバルな高可用性
Cloud KMS は世界中の複数の地域でリージョン間をまたがって利用できるため、低レイテンシおよび高可用性が求められる場所にサービスを配置できます。

「Google のデフォルトの暗号化プロセスは明確で、Cloud KMS を利用すれば暗号化のベスト プラクティスを簡単に実施できます。鍵の自動ローテーションなどの機能により、オーバーヘッドなしで鍵を定期的にローテーションし、社内のコンプライアンス要求にも対応できます。Cloud KMS は低レイテンシなので、頻繁に実行されるオペレーションにも活用できます。そのため、機密データだけではなく、インデックス化の必要がないオペレーション データにまで、暗号化するデータ範囲を広げることができます。」

— Leonard Austin 氏、Ravelin 社 CTO

Cloud KMS の料金

Cloud KMS の料金には、鍵バージョンの定額料金と、鍵オペレーションの使用料金が含まれています。詳細

鍵バージョン 料金
アクティブな鍵バージョン 月額 $0.06

米ドル以外の通貨でお支払いの場合は、Cloud Platform SKU に記載されている該当通貨の料金が適用されます。

鍵オペレーション 料金
鍵使用オペレーション(暗号化 / 復号化) $0.03/10,000 オペレーション
鍵管理オペレーション 無料
米ドル以外の通貨でお支払いの場合は、Cloud Platform SKU に記載されている該当通貨の料金が適用されます。

フィードバックを送信...