顧客管理の暗号鍵（CMEK）

このトピックでは、顧客管理の暗号鍵（CMEK）の概要について説明します。 CMEK では、Google Cloud に保存されたデータを保護する鍵を制御できます。

デフォルトの暗号化

Google Cloud に保存されているすべてのデータは、Google が独自の暗号化データに使用しているのと同じ強化鍵管理システムを使用して保存時に暗号化されます。こうした鍵管理システムでは厳密な鍵のアクセス制御と監査が行われ、AES-256 暗号化標準を使用してデータが保存時に暗号化されます。設定、構成、管理は必要ありません。組織に暗号マテリアルのコンプライアンスや地域区分に関連する特定の要件がない場合は、デフォルトの暗号化が最適です。

Google Cloud のデフォルトの暗号化の詳細については、デフォルトの保存データの暗号化をご覧ください。

顧客管理の暗号鍵（CMEK）

顧客管理の暗号鍵は、Cloud KMS を使用して管理する暗号鍵です。この機能により、サポートされている Google Cloud サービス内で保存データの暗号化に使用する鍵をより細かく制御できます。サービスが CMEK 鍵をサポートしているかどうかを確認するには、サポートされるサービスのリストをご覧ください。CMEK を使用して Google Cloud サービスのデータを保護する場合、CMEK 鍵はお客様の管理下に置かれます。

CMEK を使用しても、必ずしもデフォルトの暗号化メカニズムよりもセキュリティが高くなるわけではありません。さらに、CMEK を使用すると、Cloud KMS に関連する追加費用が発生します。CMEK を使用すると、次のような機能を含む、鍵のライフサイクルと管理をより幅広く制御できます。

• データを保護するために使用する鍵を無効にすると、Google が保存データを復号することを防止できます。
• 特定のロケーションや居住地の要件を満たす鍵を使用してデータを保護できます。
• データの保護に使用するは手動で設定で鍵をローテーションできます。
• さまざまな種類の鍵を使用してデータを保護できます。
  • 生成されたソフトウェア キー
  • Cloud HSM（ハードウェア格納型）キー
  • Cloud External Key Manager（外部管理）鍵
  • Cloud KMS にインポートする既存の鍵。
• それぞれの鍵には、無制限の鍵バージョンを使用できます。ほとんどのサービスは、デフォルトの暗号化を使用する場合に無制限の鍵バージョンをサポートしていません。

CMEK 統合

サービスで CMEK がサポートされている場合、CMEK 統合が行われていることが示されます。GKE などの一部のサービスでは、サービスに関連するさまざまな種類のデータを保護するために、複数の CMEK 統合を利用できます。

CMEK を有効にする具体的な手順については、関連する Google Cloud サービスのドキュメントをご覧ください。手順は以下のようになると想定されます。

1. Cloud KMS キーリングを作成するか、既存のキーリングを選択します。キーリングを作成するときは、保護するリソースに地理的に近いロケーションを選択します。キーリングは、保護しているリソースと同じプロジェクトに存在することも、異なるプロジェクトに存在することもあります。異なるプロジェクトを使用すると、Identity and Access Management（IAM）権限をより細かく制御できます。

2. 選択したキーリングに Cloud KMS 鍵を作成またはインポートします。この鍵は CMEK 鍵です。

3. CMEK 鍵に対する暗号鍵の暗号化 / 復号の IAM ロール（roles/cloudkms.cryptoKeyEncrypterDecrypter）をサービスのサービス アカウントに付与します。

4. CMEK 鍵を使用するサービスを構成して、データを保護します。たとえば、CMEK を使用する GKE クラスタを構成して、ノードのブートディスク上の保存データを保護できます。

サービス アカウントに CyptoKey Encrypter/Decrypter のロールがあれば、サービスはデータを暗号化および復号できます。ロールの取り消しや、CMEK 鍵の無効化や破棄をすると、そのデータにアクセスできなくなります。

CMEK コンプライアンス

一部のサービスは、データを直接保存したり、長時間実行オペレーションの中間ステップとして、短時間だけ保存したりすることはありません。このタイプのワークロードでは、各書き込みを個別に暗号化することは実用的ではありません。こうしたサービスでは CMEK 統合は提供されませんが、CMEK コンプライアンスを実現できます。多くの場合、お客様が構成する必要はありません。

CMEK 準拠サービスは、メモリにのみ存在し、ディスクに書き込まれないエフェメラル キーを使用して一時データを暗号化します。一時データが不要になると、エフェメラル キーはメモリからフラッシュされます。エフェメラル キーがなければ、ストレージ リソースがまだ存在していても、暗号化されたデータにアクセスできなくなります。

CMEK 準拠サービスでは、Cloud Storage などの CMEK 統合によりサービスに出力を送信できる場合があります。

CMEK の組織のポリシー

Google Cloud には、組織リソース全体で CMEK が使用されるように、2 つの組織のポリシーの制約が提供されています。これらの制約により、CMEK の使用を要求する組織管理者を制御し、CMEK の保護に使用される Cloud KMS 鍵を制限できます。詳しくは、CMEK の組織のポリシーをご覧ください。

次のステップ

• CMEK 統合を使用したサービスの一覧をご覧ください。
• CMEK 準拠サービスの一覧をご覧ください。