外部鍵を作成する

このページでは、Cloud Key Management Service(Cloud KMS)の既存のキーリングに Cloud External Key Manager(Cloud EKM)鍵を作成する方法について説明します。

始める前に

このページで説明するタスクの前に、次のことを行っておく必要があります。

  • Cloud KMS リソースを含む Google Cloud プロジェクト リソース。Cloud KMS リソースには、他の Google Cloud リソースを含まない別のプロジェクトを使用することをおすすめします。

    プロジェクトの Cloud EKM サービス アカウントをメモしておきます。次の例では、PROJECT_NUMBER を Google Cloud プロジェクトのプロジェクト番号に置き換えます。この情報は、Google Cloud コンソールを使用して Cloud EKM 鍵を作成するたびに表示されます。

    service-PROJECT_NUMBER@gcp-sa-ekms.iam.gserviceaccount.com
    
  • 鍵を作成するキーリングの名前と場所。 他のリソースの近くにあり、Cloud EKM をサポートしているロケーションのキーリングを選択します。使用可能なロケーションとサポートされる保護レベルを確認するには、Cloud KMS のロケーションをご覧ください。キーリングを作成するには、キーリングを作成するをご覧ください。

  • 手動で管理される外部鍵を作成するには、外部鍵管理パートナー システムで鍵を作成する必要があります。正確な手順は、外部鍵管理パートナーによって異なります。

    1. 必要に応じて、参加する外部鍵管理パートナーのアクセス権限を要請してください。

    2. 外部鍵管理パートナー システムで対称鍵または非対称鍵を作成するか、既存の鍵を選択します。

      Cloud EKM 鍵に使用する Google Cloud リージョンに近いリージョンに鍵を作成します。これにより、Google Cloud プロジェクトと外部鍵管理パートナーの間のネットワーク レイテンシが短縮されます。そうしないと、失敗オペレーションの数が増加する場合があります。 詳細については、Cloud EKM とリージョンをご覧ください。

    3. 外部鍵の URI または鍵のパスをメモしておきます。この情報は、Cloud EKM 鍵を作成するために必要です。

  • 外部鍵管理パートナー システムで、外部鍵を使用するためのアクセス権を Google Cloud サービス アカウントに付与します。サービス アカウントをメールアドレスとして扱います。EKM パートナーはこのトピックとは異なる用語を使用できます。

  • VPC 鍵を介して EKM を作成するには、VPC 接続を介して EKM を作成する必要があります。

  • 省略可: gcloud CLI を使用するには、環境を準備します。

    gcloud CLI

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

必要なロール

鍵の作成に必要な権限を取得するには、プロジェクトまたは親リソースの Cloud KMS 管理者roles/cloudkms.admin)IAM ロールの付与を管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。

この事前定義ロールには、鍵の作成に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

必要な権限

鍵を作成するには、次の権限が必要です。

  • cloudkms.cryptoKeys.create
  • cloudkms.cryptoKeys.get
  • cloudkms.cryptoKeys.list
  • cloudkms.cryptoKeyVersions.create
  • cloudkms.cryptoKeyVersions.get
  • cloudkms.cryptoKeyVersions.list
  • cloudkms.keyRings.get
  • cloudkms.keyRings.list
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
  • 公開鍵を取得するには: cloudkms.cryptoKeyVersions.viewPublicKey

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

調整された外部鍵を作成する

Console

  1. Google Cloud コンソールで [鍵管理] ページに移動します。

    Key Management に移動

  2. 鍵を作成するキーリングの名前をクリックします。

  3. [鍵を作成] をクリックします。

  4. [鍵名] に鍵の名前を入力します。

  5. [保護レベル] で [外部] を選択します。

  6. [External Key Manager(EKM)の接続方法] で [VPC 経由] を選択します。

  7. [VPC 接続を介した EKM] で接続を選択します。

    EkmConnection.list 権限がない場合は、接続リソース名を手動で入力する必要があります。

  8. [続行] をクリックします。

  9. [鍵マテリアル] セクションに、Cloud KMS によってリクエストされ、EKM で生成された新しい鍵マテリアルに関するメッセージが表示されます。 [鍵のパス] フィールドが表示された場合は、選択した VPC 接続を介した EKM が、調整された外部鍵用に構成されていません。

  10. 必要に応じて残りの鍵設定を構成してから、[作成] をクリックします。

Cloud EKM は、新しい鍵を作成するために、リクエストを EKM に送信します。EKM から鍵パスが返され、Cloud EKM 鍵が使用可能になるまで、鍵は [生成保留中] と表示されます。

gcloud

コマンドラインで Cloud KMS を使用するには、まず Google Cloud CLI の最新バージョンをインストールまたはアップグレードします

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

以下を置き換えます。

  • KEY_NAME: 鍵の名前
  • KEY_RING: 鍵を含むキーリングの名前。
  • LOCATION: キーリングの Cloud KMS のロケーション
  • PURPOSE: 鍵の目的
  • ALGORITHM: 鍵に使用するアルゴリズム(例: google-symmetric-encryption)。サポートされているアルゴリズムの一覧については、アルゴリズムをご覧ください。
  • VPC_CONNECTION_RESOURCE_ID: EKM 接続のリソース ID。

すべてのフラグと有効な値については、--help フラグを指定してコマンドを実行してください。

VPC 鍵を使用して手動で管理する Cloud EKM を作成する

Console

  1. Google Cloud コンソールで [鍵管理] ページに移動します。

    Key Management に移動

  2. 鍵を作成するキーリングの名前をクリックします。

  3. [鍵を作成] をクリックします。

  4. [鍵名] に鍵の名前を入力します。

  5. [保護レベル] で [外部] を選択します。

  6. [External Key Manager(EKM)の接続方法] で [VPC 経由] を選択します。

  7. [VPC 接続を介した EKM] で接続を選択します。

    EkmConnection.list 権限がない場合は、接続リソース名を手動で入力する必要があることに留意してください。

  8. [続行] をクリックします。

  9. [鍵のパス] フィールドに、外部鍵のパスを入力します。

  10. 必要に応じて残りの鍵設定を構成してから、[作成] をクリックします。

gcloud

コマンドラインで Cloud KMS を使用するには、まず Google Cloud CLI の最新バージョンをインストールまたはアップグレードします

gcloud kms keys create KEY_NAME \
    --keyring KEY_RING \
    --location LOCATION \
    --purpose PURPOSE \
    --default-algorithm ALGORITHM \
    --protection-level "external-vpc" \
    --skip-initial-version-creation \
    --crypto-key-backend VPC_CONNECTION_RESOURCE_ID

以下を置き換えます。

  • KEY_NAME: 鍵の名前
  • KEY_RING
  • LOCATION: キーリングの Cloud KMS のロケーション
  • PURPOSE: 鍵の目的
  • ALGORITHM: 鍵に使用するアルゴリズム(例: google-symmetric-encryption)。サポートされているアルゴリズムの一覧については、アルゴリズムをご覧ください。
  • VPC_CONNECTION_RESOURCE_ID: EKM 接続のリソース ID。

すべてのフラグと有効な値については、--help フラグを指定してコマンドを実行してください。

インターネット鍵を使用して手動で管理する Cloud EKM を作成する

Console

  1. Google Cloud コンソールで [鍵管理] ページに移動します。

    Key Management に移動

  2. 鍵を作成するキーリングの名前をクリックします。

  3. [鍵を作成] をクリックします。

  4. [鍵名] に鍵の名前を入力します。

  5. [保護レベル] で [外部] を選択します。

  6. [External Key Manager(EKM)の接続方法] で [インターネット経由] を選択します。

  7. [続行] をクリックします。

  8. [鍵のパス] フィールドに、外部鍵のパスを入力します。

  9. 必要に応じて残りの鍵設定を構成してから、[作成] をクリックします。

gcloud

コマンドラインで Cloud KMS を使用するには、まず Google Cloud CLI の最新バージョンをインストールまたはアップグレードします

  1. 空の外部鍵を作成します。

    gcloud kms keys create KEY_NAME \
      --keyring KEY_RING \
      --location LOCATION \
      --purpose PURPOSE \
      --protection-level external \
      --skip-initial-version-creation \
      --default-algorithm ALGORITHM
    

    以下を置き換えます。

    • KEY_NAME: 鍵の名前
    • KEY_RING: 鍵を含むキーリングの名前。
    • LOCATION: キーリングの Cloud KMS のロケーション
    • PURPOSE: 鍵の目的
    • ALGORITHM: 鍵に使用するアルゴリズム(例: google-symmetric-encryption)。サポートされているアルゴリズムの一覧については、アルゴリズムをご覧ください。

    すべてのフラグと有効な値については、--help フラグを指定してコマンドを実行してください。

  2. 作成した鍵の鍵バージョンを作成します。

    gcloud kms keys versions create \
      --key KEY_NAME \
      --keyring KEY_RING \
      --location LOCATION \
      --external-key-uri EXTERNAL_KEY_URI
    

    EXTERNAL_KEY_URI は、外部鍵の URI に置き換えます。

    対称鍵バージョンの場合は、--primary フラグを追加して、新しい鍵バージョンをメイン バージョンとして設定します。

次のステップ