Cloud Key Management Service

Google Cloud Platform で暗号鍵を管理する

無料トライアル コンソールを開く

暗号鍵の管理

Cloud KMS はクラウドでホスティングされる鍵管理サービスです。これを使用すると、オンプレミスと同じ方法でクラウド サービスの暗号化を管理できます。また、AES256 暗号鍵の生成、使用、ローテーション、破棄を行うこともできます。Cloud KMS は IAM および Cloud Audit Logging に統合されているため、個々の鍵の権限を管理し、それらの用途を監視することができます。Cloud KMS を使用して、Google Cloud Platform に保存するシークレットや機密データを保護できます。

スケーラブル、自動、高速

数百万もの暗号鍵を保持でき、データ暗号化の粒度レベルも選択できます。鍵の定期的な自動ローテーションを設定して、新しいプライマリ バージョンをデータ暗号化に使用し、1 つの鍵バージョンでアクセスできるデータ範囲を制限できます。アクティブな鍵バージョンをいくつでも保持できます。Google Cloud Platform は低レイテンシなので、瞬時に鍵にアクセスできます。

鍵の使用を柔軟に管理

ユーザーレベルの個別鍵の権限に対する IAM 権限を管理し、個々のユーザーとサービス アカウントの両方にアクセス権を付与できます。また、Cloud Audit Logging で管理活動と鍵使用ログを表示します。その際、機密性が特に高いデータへのアクセスを Cloud KMS でフィルタできます。ログで監視することで、鍵が適切に使用されているかどうか確認できます。

シークレットを簡単に暗号化

最大 64 KiB のシークレットをラップできるため、ユーザー認証情報や API トークンなどのシークレットを保護できます。プレーンテキスト シークレット、デプロイ マネージャ、コンテナ、メタデータをソースコードから取り出してユーザー アクセスを可能にし、Cloud KMS API を使った復号化によりサービス アカウントからもアクセス可能にします。

エンベロープ暗号化の実装

Cloud KMS の鍵暗号鍵(KEK)で保護されたローカルのデータ暗号鍵(DEK)で鍵階層を実装します。アプリケーション レイヤでデータを暗号化するための鍵(ストレージ システム、Google、その他の場所に保管)を管理します。

Cloud KMS の機能

Google Cloud Platform で暗号鍵を管理する

AES256 鍵
Cloud KMS では、AES256 対称暗号鍵を作成、ローテーション、自動ローテーション、破棄できます。
API による暗号化と復号化
Cloud KMS は、シークレットなどのデータを暗号化または復号化し、保存することができる REST API です。
自動鍵ローテーションと任意の鍵ローテーション
Cloud KMS では任意に鍵をローテーションできるほか、指定間隔で新しい鍵バージョンを自動生成するようローテーション スケジュールを設定することもできます。復号化のために複数の鍵バージョンを同時にアクティブにでき、新規データを暗号化するには 1 つのプライマリ鍵バージョンだけが使用可能です。
鍵破壊の遅延
Cloud KMS では、鍵が実質的に破壊されるまで 24 時間の遅延を設けており、誤操作や悪意のある操作によるデータ損失を回避できるようになっています。
グローバルな高可用性
Cloud KMS は世界のさまざまな地域で利用できるため、低レイテンシが必要な場所にサービスを配置できます。

「Google はデフォルトの暗号化方法を明確にしており、Cloud KMS を利用することでおすすめの方法を簡単に取り入れることができます。鍵の自動ローテーションなどの機能により、オーバーヘッドなしで鍵を定期的にローテーションし、社内のコンプライアンス要求にも対応できます。Cloud KMS は低レイテンシなので、頻繁に実行されるオペレーションにも活用できます。そのため、機密データだけではなく、インデックス化の必要がないオペレーション データにまで、暗号化するデータ範囲を広げることができます。」

— Leonard Austin 氏、Ravelin 社 CTO

Cloud KMS の料金

Cloud KMS の料金には、鍵バージョンの定額料金と、鍵オペレーションの使用料金が含まれています。詳細

鍵バージョン 料金
アクティブな鍵バージョン 月額 0.06 ドル
鍵オペレーション 料金
鍵使用オペレーション(暗号化 / 復号化) 0.03 ドル/10,000 オペレーション
鍵管理オペレーション 無料