EKM 接続を作成する

このページでは、Cloud External Key Manager(Cloud EKM)を設定して、Virtual Private Cloud(VPC)ネットワークを介して外部鍵管理(EKM)プロバイダに接続する方法について説明します。

VPC 経由で EKM をサポートする Cloud KMS のロケーションでは、VPC を介して外部鍵を使用できます。詳細については、Cloud KMS のロケーションページをご覧ください。

用語

  • EKM 接続

    外部鍵マネージャーへの接続を構成するために使用される Cloud KMS リソース。Google Cloud コンソールでは、これは VPC 接続を介した EKM と呼ばれます。

  • VPC プロジェクト

    外部鍵マネージャーへの接続に使用される VPC リソースを保持するプロジェクト。

  • 鍵プロジェクト

    Cloud KMS の EKM 接続リソースと Cloud EKM 鍵を保持するプロジェクト。鍵プロジェクトは VPC プロジェクトと同じにできますが、必須ではありません。

  • 暗号空間

    外部鍵管理パートナー内のリソースのコンテナ。暗号空間は、一意の暗号空間パスによって識別されます。暗号空間のパスの形式は、外部の鍵管理パートナーによって異なります(例: v0/cryptospaces/YOUR_UNIQUE_PATH)。

始める前に

以下の手順を完了すると、Cloud EKM 鍵を使用してデータを保護できるようになります。

新しいプロジェクトを作成する

  1. Google Cloud Console で、[リソースの管理] ページに移動します。

    [リソースの管理] ページに移動

  2. 新しい Google Cloud プロジェクトを作成するか、既存のプロジェクトを選択します。

  3. Make sure that billing is enabled for your Google Cloud project.

  4. 詳細については、Cloud EKM 料金をご覧ください。

Cloud KMS を有効にする

  1. プロジェクトの Cloud Key Management Service API を有効にします。

    Cloud Key Management Service API を有効にする

  2. プロジェクトの Cloud EKM サービス アカウントをメモしておきます。次の例では、PROJECT_NUMBER を Google Cloud プロジェクトのプロジェクト番号に置き換えます。この情報は、Google Cloud Console を使用して Cloud EKM 鍵を作成するたびに表示されます。

    service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
    

gcloud CLI が最新であることを確認する

Google Cloud CLI を使用する場合は、次のコマンドを使用して最新の状態であることを確認します。

gcloud CLI

gcloud components update

VPC ネットワークを準備する

VPC ネットワークを設定する場合、次の 2 つのオプションがあります。

デフォルトでは、新しいプロジェクトにはファイアウォール ルールが事前に設定された自動モード ネットワークが含まれます。 VPC ネットワークが本番環境で使用されない場合は、デフォルトの自動モード ネットワークを使用するのが最も速い方法です。

オンプレミスで外部鍵マネージャーを実行し、ハイブリッド接続で接続する場合は、サブネット IP アドレス範囲を制御できるカスタムモードのネットワークを使用する必要があります。

次の手順に沿って VPC を設定します。

  1. 限定公開の Google アクセスの有効化

    外部鍵マネージャーは、各リクエストに含まれる OIDC トークンを検証する必要があります。トークンを確認するには、www.googleapis.com ドメイン名から OAuth2 公開鍵を取得する必要があります。外部キー マネージャーが Google Cloud で実行され、インターネット経由でアクセスできない場合(例: 外部 IP を持たない VM、ファイアウォールによってブロックされている VM)は、限定公開の Google アクセスの構成の手順に沿って操作してください。

  2. IP 範囲 35.199.192.0/19 のファイアウォール構成

    Cloud EKM からのリクエストは、この範囲から送信されます。外部鍵マネージャーがリッスンするポートに対して、TCP の上り(内向き)と下り(外向き)の両方の許可ファイアウォール ルールを作成します。

ハイブリッド接続を設定する

外部鍵マネージャーがオンプレミスで実行されている場合は、ハイブリッド接続ソリューションを使用して VPC をオンプレミス ネットワークに接続します。接続を設定したら、次の追加の手順を行います。

  1. 限定公開の Google アクセスの有効化

    外部鍵マネージャーは、各リクエストに含まれる OIDC トークンを検証する必要があります。トークンを確認するには、www.googleapis.com ドメイン名から OAuth2 公開鍵を取得する必要があります。外部鍵マネージャーがオンプレミスで実行され、インターネット経由でアクセスできない場合は、オンプレミス ホスト用の限定公開の Google アクセスの構成の手順に沿って操作します。

  2. IP 範囲 35.199.192.0/19 のファイアウォール構成

    Cloud EKM からのリクエストは、この範囲から送信されます。オンプレミスのネットワーク ファイアウォールなどの機器を構成して、外部鍵マネージャーがリッスンするポートで TCP トラフィックを許可する。

  3. VPC に IP 範囲 35.199.192.0/19 へのリターンルートがあることを確認する

    オンプレミス ネットワークには、宛先 35.199.192.0/19 へのルートが必要です。この要件を満たす方法については、オンプレミス ターゲットへの戻りルート戦略をご覧ください。

オンプレミス ターゲットへの戻りルート戦略

  • 静的ルーティングを使用する Cloud VPN トンネルの場合は、オンプレミス ネットワーク内に、宛先が 35.199.192.0/19 でネクストホップが Cloud VPN トンネルであるルートを手動で作成します。ポリシーベースのルーティングを使用する Cloud VPN トンネルの場合は、35.199.192.0/19 を含めるように、オンプレミスの VPN ゲートウェイのリモート トラフィック セレクタと Cloud VPN のローカル トラフィック セレクタを構成します。

  • 動的ルーティングを使用する Cloud VPN トンネルまたは Cloud Interconnect の場合は、トンネルまたは相互接続のアタッチメント(VLAN)を管理する Cloud Router の BGP セッションの 35.199.192.0/19カスタム アドバタイズモードを構成します。

外部鍵マネージャーを設定する

EKM プロバイダの手順に沿って、EKM を設定します。

暗号空間を設定する

パートナー管理の EKM 手配の一環として Cloud EKM を使用する場合、これらの手順はパートナーのプロビジョニング プロセスの一部として完了しています。

EKM プロバイダが Cloud KMS の EKM 鍵管理と互換性がある場合は、EKM で次の設定と構成手順を行う必要があります。

  • EKM に Cloud KMS マネージド リソースの暗号空間を作成します。

  • Cloud KMS サービス アカウントに、暗号空間とそこに作成された鍵へのアクセス権を付与します。

  • Key Access Justifications ポリシーを設定して、許可または拒否する Access Justifications を定義します。

これらの各ステップの正確なプロセスは、EKM によって異なります。詳細については、EKM プロバイダのドキュメントをご覧ください。

Service Directory のサービス エンドポイントを作成する

外部鍵マネージャーのプライベート IP アドレスとポートを指す VPC プロジェクトに、Service Directory サービス エンドポイントを作成して構成します。複数の EKM レプリカの前でロードバランサを使用する場合は、ロードバランサの IP アドレスとポートを使用します。 Service Directory のサービス エンドポイントの [network] フィールドに値が入力されていることを確認します。

Cloud EKM に VPC へのアクセスを承認する

鍵プロジェクトごとに、鍵プロジェクトと VPC プロジェクトが同じであっても、Cloud EKM がそのプロジェクトに代わって VPC にアクセスすることを承認する必要があります。アクセスを承認することで、鍵プロジェクト内の鍵で VPC プロジェクトの VPC を使用できるようになります。

  1. プロジェクトに Cloud EKM サービス アカウントが存在することを確認します。

    gcloud CLI

    gcloud beta services identity create \
      --service=cloudkms.googleapis.com \
      --project=KEY_PROJECT_ID
    
  2. VPC プロジェクトでの servicedirectory.viewer ロールと servicedirectory.pscAuthorizedService ロールを service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com に付与します。プロジェクト ID と番号の取得に関するヘルプについては、プロジェクトの作成と管理をご覧ください。

    gcloud CLI

    gcloud projects add-iam-policy-binding VPC_PROJECT_ID \
      --member='serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com' \
      --role='roles/servicedirectory.viewer'
    
    gcloud projects add-iam-policy-binding VPC_PROJECT_ID \
      --member='serviceAccount:service-KEY_PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com' \
      --role='roles/servicedirectory.pscAuthorizedService'
    

EKM 接続を作成する

外部鍵マネージャーを Cloud EKM に接続するには、鍵プロジェクトで EKM 接続を作成します。

Console

  1. Google Cloud コンソールで、[KMS インフラストラクチャ] ページに移動します。

    KMS インフラストラクチャに移動

  2. [接続を作成] をクリックします。

  3. [接続名] に接続の名前を入力します。

  4. [リージョン] で、EKM 接続のロケーションを選択します。この接続に関連付けられている Cloud KMS 鍵は、接続と同じロケーションに存在する必要があります。

  5. [サービス リソース ID(self_link)] フィールドに、Service Directory のサービス エンドポイントを作成するのセクションで作成した Service Directory サービスの値を入力します。 Service Directory サービスは接続と同じロケーションに存在する必要があります。

  6. [ホスト名] フィールドに、外部鍵マネージャーのホスト名を追加します。

  7. [証明書] で [証明書を追加] をクリックして、外部鍵マネージャーの X.509 サーバー証明書を 1 つ以上アップロードします。証明書は DER 形式にする必要があります。

  8. [EKM 管理モード] に対して、手動で管理する外部鍵に EKM 接続を使用する場合は [手動] を選択し、調整された外部鍵に EKM 接続を使用する場合は [Cloud KMS] を選択します。

  9. [EKM 管理モード] に [Cloud KMS] を選択した場合は、[暗号空間のパス] フィールドに、EKM で指定した暗号空間のパスを入力します。

  10. 省略可。このプロジェクトとロケーションのデフォルト接続として EKM 接続を設定するには、[接続をデフォルトとして設定する] チェックボックスをオンにします。 別の EKM 接続が、このプロジェクトとロケーションのデフォルト接続として現在設定されている場合、この EKM 接続が既存のデフォルトに置き換えられます。

  11. [作成] をクリックします。

gcloud

コマンドラインで Cloud KMS を使用するには、まず Google Cloud CLI の最新バージョンをインストールまたはアップグレードします

手動で管理する外部鍵の EKM 接続を作成するには、次のコマンドを実行します。

gcloud beta kms ekm-connections create EKM_CONNECTION \
    --location LOCATION \
    --service-directory-service SERVICE_DIRECTORY_SERVICE \
    --hostname HOSTNAME \
    --server-certificates-files SERVER_CERTIFICATE_FILES \
    --key-management-mode manual

以下を置き換えます。

  • EKM_CONNECTION: EKM 接続の名前。
  • LOCATION: EKM 接続を作成する Cloud KMS のロケーション。この接続に関連付けられている Cloud KMS 鍵は、接続と同じロケーションに存在する必要があります。
  • SERVICE_DIRECTORY_SERVICE: 接続の Service Directory サービスのリソース ID。
  • HOSTNAME: 外部キー マネージャーのホスト名。
  • SERVER_CERTIFICATE_FILES: 外部鍵マネージャーの X.509 サーバー証明書を含むファイルのカンマ区切りのリスト。証明書は DER 形式にする必要があります。

調整された外部鍵の EKM 接続を作成するには、次のコマンドを実行します。

gcloud beta kms ekm-connections create EKM_CONNECTION \
    --location LOCATION \
    --service-directory-service SERVICE_DIRECTORY_SERVICE \
    --hostname HOSTNAME \
    --server-certificates-files SERVER_CERTIFICATE_FILES \
    --key-management-mode cloud-kms \
    --crypto-space-path CRYPTO_SPACE_PATH

以下を置き換えます。

  • EKM_CONNECTION: EKM 接続の名前。
  • LOCATION: EKM 接続を作成する Cloud KMS のロケーション。この接続に関連付けられている Cloud KMS 鍵は、接続と同じロケーションに存在する必要があります。
  • SERVICE_DIRECTORY_SERVICE: 接続の Service Directory サービスのリソース ID。
  • HOSTNAME: 外部キー マネージャーのホスト名。
  • SERVER_CERTIFICATE_FILES: 外部鍵マネージャーの X.509 サーバー証明書を含むファイルのカンマ区切りのリスト。証明書は DER 形式にする必要があります。
  • CRYPTO_SPACE_PATH: EKM プロバイダが提供する暗号空間のパス。

すべてのフラグと有効な値については、--help フラグを指定してコマンドを実行してください。

API

これらの例では、HTTP クライアントとして curl を使用して API の使用例を示しています。アクセス制御の詳細については、Cloud KMS API へのアクセスをご覧ください。

調整された外部鍵の EKM 接続を作成するには、次のコマンドを実行します。

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConnections" \
    --request "POST" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --header "x-goog-user-project: PROJECT_ID" \
    --data '{
      "name": "EKM_CONNECTION",
      "serviceResolvers": [
        {
          "serviceDirectoryService": "SERVICE_DIRECTORY_SERVICE",
          "hostname": "HOSTNAME",
          "serverCertificates": [
            {
              SERVER_CERTIFICATES
            }
          ]
        }
      ]
      "keyManagementMode": "CLOUD_KMS",
      "cryptoSpacePath": "CRYPTO_SPACE_PATH"
    }'

以下を置き換えます。

  • PROJECT_ID: EKM 接続を作成するプロジェクトの ID。
  • LOCATION: EKM 接続を作成する Cloud KMS。
  • EKM_CONNECTION: EKM 接続に使用する名前。
  • SERVER_CERTIFICATES: リーフサーバー証明書を表す、最大 10 個の Certificate オブジェクトのリスト。
  • HOSTNAME: 外部キー マネージャーのホスト名。
  • CRYPTO_SPACE_PATH: EKM プロバイダが提供する暗号空間のパス。

手動で管理する外部鍵の EKM 接続を作成するには、次のコマンドを実行します。

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConnections" \
    --request "POST" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --header "x-goog-user-project: PROJECT_ID" \
    --data '{
      "name": "EKM_CONNECTION",
      "serviceResolvers": [
        {
          "serviceDirectoryService": "SERVICE_DIRECTORY_SERVICE",
          "hostname": "HOSTNAME",
          "serverCertificates": [
            {
              SERVER_CERTIFICATES
            }
          ]
        }
      ]
    }'

以下を置き換えます。

  • PROJECT_ID: EKM 接続を作成するプロジェクトの ID。
  • LOCATION: EKM 接続を作成する Cloud KMS。
  • EKM_CONNECTION: EKM 接続に使用する名前。
  • SERVER_CERTIFICATES: リーフサーバー証明書を表す、最大 10 個の Certificate オブジェクトのリスト。
  • HOSTNAME: 外部キー マネージャーのホスト名。

詳しくは、EkmConnection.create API ドキュメントをご覧ください。

証明書のステータス

EKM 接続用の証明書をアップロードしたら、KMS インフラストラクチャのページで、EKM 接続の全体的な証明書ステータスと各証明書のステータスを確認できます。

EKM 接続は、各接続の [証明書のステータス] 列に全体的なステータスが表示されます。EKM 接続のステータスが有効でない場合は、EKM 接続の証明書を更新することをおすすめします。

EKM 接続の証明書と個別の証明書はどちらも次のステータスになります。

  • 有効: 証明書が有効で、有効期限は近くではありません。
  • 30 日以内に期限切れ: 証明書は有効ですが、30 日以内に有効期限が切れます。
  • 期限切れ: 証明書の有効期限が切れており、無効です。期限切れの証明書は更新することをおすすめします。
  • まだ有効ではない: 証明書が有効ではありません。これは、証明書の開始日が将来の日付である場合に発生する可能性があります。

証明書が有効期限切れである場合は、Google Cloud コンソールで EKM 接続を更新します。

Console

  1. Google Cloud コンソールで、[KMS インフラストラクチャ] ページに移動します。

    KMS インフラストラクチャに移動

  2. 更新が必要な証明書で VPC 接続経由の EKM の名前をクリックします。

  3. [接続を編集] をクリックします。

  4. [証明書を追加] をクリックして、外部鍵マネージャーの X.509 サーバー証明書を 1 つ以上アップロードします。証明書は DER 形式にする必要があります。

  5. 期限切れの証明書を削除します。期限切れの証明書にカーソルを合わせ、右側の [削除] アイコンを選択します。

  6. [接続を更新] をクリックして、VPC 接続を介した EKM を更新します。

デフォルトで EKM 接続を設定する

特定のプロジェクトとロケーションのデフォルト接続として、EKM 接続を設定できます。プロジェクトとロケーションにデフォルトの EKM 接続が設定されている場合、別の EKM 接続が選択されない限り、そのロケーションのキーリングで作成された新しい Cloud EKM による VPC 鍵では、指定された EKM 接続が使用されます。

EKM 接続をプロジェクトとロケーションのデフォルトとして設定するには、次の手順を行います。

Console

  1. Google Cloud コンソールで、[KMS インフラストラクチャ] ページに移動します。

    KMS インフラストラクチャに移動

  2. デフォルトとして設定する EKM 接続をクリックします。

  3. [接続を編集] をクリックします。

  4. [デフォルトの接続] で、[接続を LOCATION のデフォルトとして設定する] チェックボックスをオンにします。

  5. [接続の更新] をクリックします。

gcloud CLI

gcloud beta kms ekm-config update
  --location=LOCATION
  --default-ekm-connection=projects/PROJECT_ID/locations/LOCATION/ekmConnections/DEFAULT_EKM_CONNECTION

以下を置き換えます。

  • LOCATION: デフォルトの EKM 接続を設定する Cloud KMS。
  • PROJECT_ID: デフォルトの EKM 接続を設定するプロジェクトの名前。
  • DEFAULT_EKM_CONNECTION: このロケーションのデフォルトとして設定する EKM 接続の名前。EKM 接続のロケーションは、LOCATION で指定されたロケーションと一致する必要があります。

API

ロケーションのデフォルトの EKM 接続を設定するには、EkmConfig.patch メソッドを使用します。

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/ekmConfig" \
    --request "PATCH" \
    --header "authorization: Bearer TOKEN" \
    --header "content-type: application/json" \
    --data '{"defaultEkmConnection": "projects/PROJECT_ID/locations/LOCATION/ekmConnections/DEFAULT_EKM_CONNECTION"}'

以下を置き換えます。

  • PROJECT_ID: デフォルトの EKM 接続を設定するプロジェクトの ID。
  • LOCATION: デフォルトの EKM 接続を設定する Cloud KMS。
  • DEFAULT_EKM_CONNECTION: このロケーションのデフォルトとして設定する EKM 接続の名前。EKM 接続のロケーションは、LOCATION で指定されたロケーションと一致する必要があります。

別の EKM 接続がこのロケーションのデフォルトとして設定されている場合、選択した EKM 接続によってデフォルトとして置き換えられます。特定のプロジェクトとロケーションに対してデフォルトで設定できる EKM 接続は 1 つのみです。

次のステップ