Cloud Key Management Service

Google Cloud Platform で暗号鍵を管理。

このプロダクトのドキュメントを見る

「Cloud KMS の概要」のロゴ

暗号鍵の管理

Cloud KMS はクラウドでホストされる鍵管理サービスです。このサービスを利用することで、オンプレミスと同じ方法でクラウド サービスの暗号鍵を管理できます。AES256、RSA 2048、RSA 3072、RSA 4096、EC P256、EC P384 の各規格に対応し、暗号鍵の生成、使用、ローテーション、破棄をサポートしています。Cloud KMS は Cloud Identity and Access Management や Cloud Audit Logs と統合されているため、個別鍵の権限を管理し、使用状況をモニタリングできます。Cloud KMS を使用すれば、Google Cloud Platform に保存する Secret や機密データを保護できます。

「スケーラブル、自動、高速」のロゴ

スケーラブル、自動、高速

数百万もの暗号鍵の保持が可能で、データ暗号化の粒度レベルも選択できます。鍵の定期的な自動ローテーションを設定して、新しいプライマリ バージョンをデータを暗号化に使用すると、1 つの鍵バージョンでアクセスできるデータの範囲を制限できます。アクティブな鍵バージョンはいくつでも保持できます。Google Cloud Platform は低レイテンシなので、瞬時に鍵にアクセスできます。

「鍵の使用を柔軟に管理」のロゴ

鍵の使用を柔軟に管理

ユーザーレベルの個別鍵の権限に対する Cloud IAM 権限を管理し、個々のユーザーとサービス アカウントの両方にアクセス権を付与できます。また、Cloud Audit Logs で管理操作と鍵使用のログを表示できます。その際、Cloud KMS を使用して、機密性が特に高いデータへのアクセスをフィルタできます。ログでモニタリングすることで、鍵が適切に使用されているかどうかを確認できます。

「データの暗号化や署名が簡単に」のロゴ

データの暗号化や署名が簡単に

Cloud KMS では、お客様が管理する対称鍵または非対称鍵のいずれかを使って柔軟にデータを暗号化できます。 また、さまざまな長さの RSA と楕円曲線鍵の両方を使って署名操作を実行することもできます。

「エンベロープ暗号化の実装」のロゴ

エンベロープ暗号化の実装

Cloud KMS では、ローカルのデータ暗号鍵(DEK)を鍵暗号鍵(KEK)で保護することより鍵階層を実現します。アプリケーション レイヤでデータを暗号化するための鍵の管理を、保管先のストレージ システムが Google 内にあるかどうかを問わず行うことができます。

「コンプライアンスに関するニーズに対応」のロゴ

コンプライアンスに関するニーズに対応

Cloud KMS では、顧客管理の暗号鍵(CMEK)を使って GCP 全体に配置された機密データ用の暗号鍵を管理できます。鍵と暗号化のオペレーションをハードウェア環境内で実行することを求めるコンプライアンス要件がある場合も、Cloud KMS が統合された Cloud HSM を使用することで、FIPS 140-2 レベル 3 認定デバイスで保護された鍵を簡単に作成できます。

特長

対称鍵と非対称鍵に対応

Cloud KMS では、AES256 の対称鍵と RSA 2048、RSA 3072、RSA 4096、EC P256、EC P384 の非対称鍵を作成、使用、ローテーション、自動ローテーション、破棄できます。

鍵破棄の遅延

Cloud KMS では、鍵が実質的に破棄されるまで 24 時間の遅延を設けており、誤操作や悪意のある操作によるデータ損失を回避できるようになっています。

API による暗号化と復号

Cloud KMS は、鍵を使って Secret などのデータを暗号化、復号、署名し、保存できる REST API です。

グローバルな高可用性

Cloud KMS は世界中の複数の地域でリージョン間をまたがって利用できるため、低レイテンシおよび高可用性が求められる場所にサービスを配置できます。

自動鍵ローテーションと任意の鍵ローテーション

Cloud KMS では任意に鍵をローテーションできるほか、指定間隔で新しい鍵バージョンを自動生成するよう対称鍵のローテーション スケジュールを設定することもできます。 復号の場合は複数の対称鍵バージョンを同時にアクティブにできますが、新規データを暗号化する場合は 1 つのプライマリ鍵バージョンしか使用できません。

GKE との統合

Cloud KMS で管理する鍵を使用して、GKE のアプリケーション レイヤで Kubernetes の Secret を暗号化できます。

Google は暗号化プロセスについての透明性をデフォルトで保ち、Cloud KMS を利用することで暗号化のベスト プラクティスを簡単に実施できます。鍵の自動ローテーションなどの機能により、オーバーヘッドなしで鍵を定期的にローテーションし、社内のコンプライアンス要求にも対応できます。Cloud KMS は低レイテンシなので、頻繁に実行されるオペレーションにも活用できます。 そのため、機密データだけではなく、インデックス化の必要がないオペレーション データにまで、暗号化するデータ範囲を広げることができます。

Ravelin 社 CTO、Leonard Austin 氏

リソース

料金

Cloud KMS の料金には、鍵バージョンの定額料金と、鍵オペレーションの使用料金が含まれています。 詳細

鍵バージョン 料金
アクティブな鍵バージョン 月額 $0.06

米ドル以外の通貨でお支払いの場合は、Cloud Platform SKU に記載されている該当通貨の料金が適用されます。

鍵オペレーション 料金
鍵使用オペレーション(暗号化 / 復号) $0.03/10,000 オペレーション
鍵管理オペレーション 無料

米ドル以外の通貨でお支払いの場合は、Cloud Platform SKU に記載されている該当通貨の料金が適用されます。

次のステップ

$300 分の無料クレジットと 20 種類以上の Always Free プロダクトを活用して Google Cloud で構築を開始しましょう。

開始にあたりサポートが必要な場合
信頼できるパートナーの活用