このページには、Cloud KMS との統合を行うことができる Google Cloud サービスの一覧を掲載しています。これらのサービスは通常、次のカテゴリのいずれかに当てはまります。
顧客管理の暗号鍵(CMEK)の統合を使用すると、ユーザーが所有、管理している Cloud KMS 鍵を使用して、対象のサービスに保存されているデータを暗号化できます。CMEK 鍵で保護されたデータは、その鍵へのアクセス権がないと復号できません。
CMEK 準拠サービスは、データを保存しないか、またはバッチ処理中などの短時間だけデータを保存します。このようなデータは、メモリにのみ存在し、ディスクに書き込まれないエフェメラル キーを使用して暗号化されます。データが不要になると、エフェメラル キーはメモリからフラッシュされ、データに再びアクセスすることはできなくなります。CMEK 準拠サービスの出力が、Cloud Storage などの CMEK と統合されたサービスに格納されることがあります。
アプリケーションで、他の方法で Cloud KMS を使用できます。たとえば、アプリケーション データを送信したり保存したりする前に、直接暗号化できます。
Google Cloud のデータが保存時に保護される仕組みと、顧客管理の暗号鍵(CMEK)の仕組みの詳細にについては、顧客管理の暗号鍵(CMEK)をご覧ください。
CMEK 統合
次の表では、Cloud KMS と統合されるサービスを示します。このリスト内のすべてのサービスは、ソフトウェア鍵とハードウェア(HSM)鍵をサポートしています。外部の Cloud EKM 鍵を使用するときに Cloud KMS と統合されるプロダクトは、EKM のサポートの下に示されます。
サービス | CMEK での保護 | EKM 対応 | トピック |
---|---|---|---|
Agent Assist | 保存データ | ○ | 顧客管理の暗号鍵(CMEK) |
AI Platform Training | VM ディスク上のデータ | × | 顧客管理の暗号鍵の使用 |
AlloyDB for PostgreSQL | データベースに書き込まれたデータ | ○ | 顧客管理の暗号鍵の使用 |
Anti Money Laundering AI | AML AI インスタンス リソース内のデータ | × | 顧客管理の暗号鍵(CMEK)を使用してデータを暗号化する |
Apigee | 保存データ | × | CMEK の概要 |
Apigee API Hub | 保存データ | ○ | 暗号化 |
アプリケーションの統合 | アプリケーション統合用のデータベースに書き込まれたデータ | × | 顧客管理の暗号鍵の使用 |
Artifact Registry | リポジトリ内のデータ | ○ | 顧客管理の暗号鍵の有効化 |
Backup for GKE | Backup for GKE 内のデータ | ○ | Backup for GKE の CMEK 暗号化について |
BigQuery | BigQuery のデータ | ○ | Cloud KMS 鍵によるデータの保護 |
Bigtable | 保存データ | ○ | 顧客管理の暗号鍵(CMEK) |
Cloud Composer | 環境データ | ○ | 顧客管理の暗号鍵の使用 |
Cloud Data Fusion | 環境データ | ○ | 顧客管理の暗号鍵の使用 |
Cloud Healthcare API | Cloud Healthcare API データセット | ○ | 顧客管理の暗号鍵(CMEK)を使用する |
Cloud Logging | ログルーター内のデータ | ○ | ログルーター データを保護する鍵を管理します |
Cloud Logging | Logging ストレージ内のデータ | ○ | Logging のストレージ データを保護する鍵を管理します |
Cloud Run | コンテナ イメージ | ○ | Cloud Run での顧客管理の暗号鍵の使用 |
Cloud Run 関数 | Cloud Run 関数内のデータ | ○ | 顧客管理の暗号鍵の使用 |
Cloud SQL | データベースに書き込まれたデータ | ○ | 顧客管理の暗号鍵の使用 |
Cloud Storage | ストレージ バケット内のデータ | ○ | 顧客管理の暗号鍵の使用 |
Cloud Tasks | 保存時のタスク本文とヘッダー | ○ | 顧客管理の暗号鍵の使用 |
Cloud Workstations | VM ディスク上のデータ | ○ | ワークステーション リソースを暗号化する |
Colab Enterprise | ランタイムとノートブック ファイル | × | 顧客管理の暗号鍵の使用 |
Compute Engine | 永続ディスク | ○ | Cloud KMS 鍵によるリソースの保護 |
Compute Engine | スナップショット | ○ | Cloud KMS 鍵によるリソースの保護 |
Compute Engine | カスタム イメージ | ○ | Cloud KMS 鍵によるリソースの保護 |
Compute Engine | マシンイメージ | ○ | Cloud KMS 鍵によるリソースの保護 |
会話型分析情報 | 保存データ | ○ | 顧客管理の暗号鍵(CMEK) |
Database Migration Service の同タイプの移行 | MySQL の移行 - データベースに書き込まれたデータ | ○ | 顧客管理の暗号鍵(CMEK)の使用 |
Database Migration Service の同タイプの移行 | PostgreSQL の移行 - データベースに書き込まれたデータ | ○ | 顧客管理の暗号鍵(CMEK)の使用 |
Database Migration Service の同タイプの移行 | PostgreSQL から AlloyDB への移行 - データベースに書き込まれたデータ | ○ | CMEK について |
Database Migration Service の同タイプの移行 | Oracle から PostgreSQL への保存データ | ○ | 継続的な移行に顧客管理の暗号鍵(CMEK)を使用する |
Dataflow | パイプライン状態のデータ | ○ | 顧客管理の暗号鍵の使用 |
Dataform | リポジトリ内のデータ | ○ | 顧客管理の暗号鍵の使用 |
Dataproc | VM ディスク上の Dataproc クラスタデータ | ○ | 顧客管理の暗号鍵 |
Dataproc | VM ディスク上の Dataproc サーバーレス データ | ○ | 顧客管理の暗号鍵 |
Dataproc Metastore | 保存データ | ○ | 顧客管理の暗号鍵の使用 |
Datastream | 転送中のデータ | × | 顧客管理の暗号鍵(CMEK)の使用 |
Dialogflow CX | 保存データ | ○ | 顧客管理の暗号鍵(CMEK) |
Document AI | 保存データおよび使用中のデータ | ○ | 顧客管理の暗号鍵(CMEK) |
Eventarc Advanced(プレビュー) | 保存データ | × | 顧客管理の暗号鍵(CMEK)を使用する |
Eventarc Standard | 保存データ | ○ | 顧客管理の暗号鍵(CMEK)を使用する |
Filestore | 保存データ | ○ | 顧客管理の暗号鍵でデータを暗号化する |
Firestore | 保存データ | ○ | 顧客管理の暗号鍵(CMEK)を使用する |
Google Cloud Managed Service for Apache Kafka | トピックに関連するデータ | ○ | メッセージ暗号化を構成する |
Google Cloud NetApp Volumes | 保存データ | × | CMEK ポリシーを作成する |
Google Distributed Cloud | Edge ノード上のデータ | ○ | ローカル ストレージのセキュリティ |
Google Kubernetes Engine | VM ディスク上のデータ | ○ | 顧客管理の暗号鍵(CMEK)の使用 |
Google Kubernetes Engine | アプリケーション レイヤのシークレット | ○ | アプリケーション レイヤでの Secret の暗号化 |
Looker(Google Cloud コア) | 保存データ | ○ | Looker(Google Cloud コア)用の CMEK を有効にする |
Memorystore for Redis | 保存データ | ○ | 顧客管理の暗号鍵(CMEK) |
Migrate to Virtual Machines | VMware、AWS、Azure VM ソースから移行されたデータ | ○ | CMEK を使用して移行中に保存されるデータを暗号化する |
Migrate to Virtual Machines | ディスクソースとマシンイメージソースから移行されたデータ | ○ | CMEK を使用してターゲット ディスクとマシンイメージ上のデータを暗号化する |
Pub/Sub | トピックに関連するデータ | ○ | メッセージ暗号化の構成 |
Secret Manager | Secret のペイロード | ○ | Secret Manager の顧客管理の暗号鍵を有効にする |
Secure Source Manager | インスタンス | ○ | 顧客管理の暗号鍵でデータを暗号化する |
Spanner | 保存データ | ○ | 顧客管理の暗号鍵(CMEK) |
Speaker ID(制限付き GA) | 保存データ | ○ | 顧客管理の暗号鍵の使用 |
Speech-to-Text | 保存データ | ○ | 顧客管理の暗号鍵の使用 |
Vertex AI | リソースに関連するデータ | ○ | 顧客管理の暗号鍵の使用 |
Vertex AI Agent Builder | 保存データ | × | 顧客管理の暗号鍵 |
Vertex AI Workbench マネージド ノートブック | 保存されているユーザーデータ | × | 顧客管理の暗号鍵 |
Vertex AI Workbench ユーザー管理ノートブック | VM ディスク上のデータ | × | 顧客管理の暗号鍵 |
Vertex AI Workbench インスタンス | VM ディスク上のデータ | ○ | 顧客管理の暗号鍵 |
Workflows | 保存データ | ○ | 顧客管理の暗号鍵(CMEK)を使用する |
CMEK 準拠サービス
次の表では、データを長期間保存しないため、顧客管理の暗号鍵(CMEK)を使用しないサービスを示します。これらのサービスが CMEK 準拠と見なされる理由について詳しくは、CMEK コンプライアンスをご覧ください。
サービス | トピック |
---|---|
Cloud Build | Cloud Build における CMEK コンプライアンス |
Container Registry | CMEK で保護されたストレージ バケットの使用 |
Cloud Vision | Vision API における CMEK コンプライアンス |
Storage Transfer Service | 顧客管理の暗号鍵 |
Cloud KMS とのその他の統合
以下のページでは、他の Google Cloud サービスで Cloud KMS を使用する別の方法について説明します。
プロダクト | トピック |
---|---|
任意のサービス | アプリケーション データを送信または保存する前に暗号化する |
Cloud Build | リソースをビルドに追加する前に暗号化する |
Sensitive Data Protection | ラップされた鍵の作成 |