Cloud KMS に関する FAQ

Cloud KMS について

Cloud KMS とは何ですか?これで何ができますか?

Cloud Key Management Service(Cloud KMS)はクラウドでホスティングされる鍵管理サービスです。このサービスを利用することで、オンプレミス型と同じ方法でクラウド サービスの暗号化を管理できます。また、暗号鍵の生成、使用、ローテーション、破棄を行うことができます。Cloud KMS は Identity and Access Management(IAM)と Cloud Audit Logs に統合されているため、個別鍵の権限を管理し、使用状況をモニタリングできます。

シークレットを保管することはできますか?

Cloud KMS は鍵と鍵に関するメタデータを保存します。一般的なデータ ストレージ API はありません。Secret Manager は、Google Cloud で使用する機密データの保存とアクセスで推奨されます。

SLA はありますか?

あります。Cloud KMS サービスレベル契約をご覧ください。

プロダクトのフィードバックを提供するにはどうすればよいですか?

エンジニアリング チーム cloudkms-feedback@google.com までお問い合わせください。

ドキュメントのフィードバックを提供するにはどうすればよいですか?

Cloud KMS のドキュメントを表示中に、ページの右上付近にある [フィードバックを送信] をクリックしてください。フィードバック フォームが開きます。

サポートが必要な場合はどうすればよいですか?

Google では、Stack Overflow に質問を投稿することをおすすめしています。Stack Overflow コミュニティは活発であり、Google チームは積極的に Stack Overflow への投稿をモニタリングし、google-cloud-kms のタグが付いた質問に回答しています。

Google では、お客様のニーズに応じてさまざまなレベルのサポートをご用意しています。その他のサポート オプションについては、Google Cloud サポート パッケージをご覧ください。

Cloud KMS には割り当てが設定されていますか?

はい。割り当ての表示や追加のリクエストなどの詳細については、Cloud KMS の割り当てをご覧ください。

鍵、キーリング、鍵バージョンの数に制限はありません。また、キーリングごとの鍵の数と鍵ごとの鍵バージョンにも制限はありません。

どの国で Cloud KMS を使用できますか?

Google Cloud サービスがサポートされている国であれば、Cloud KMS を使用できます。

キー

Cloud KMS ではどのような種類の鍵が生成されますか?

鍵の目的とアルゴリズムをご覧ください。

鍵は HSM に保存されますか?

保護レベルHSM の鍵は、ハードウェア セキュリティ モジュール(HSM)に保存されます。

保護レベルが SOFTWARE の鍵は、ソフトウェアに保存されます。

HSM に保存されている鍵が HSM の外部に保持されることはありません。

鍵はどの標準に準拠していますか?

Cloud KMS で生成された鍵と、その鍵を使用して実行される暗号オペレーションは、連邦情報処理規格(FIPS)の暗号モジュールに関するセキュリティ要件 140-2 に準拠しています。

  • 保護レベル SOFTWARE で生成される鍵、およびそれらを使用して実行される暗号オペレーションは、FIPS 140-2 レベル 1 を遵守しています。

  • 保護レベル HSM で生成される鍵、およびそれらを使用して実行される暗号オペレーションは、FIPS 140-2 レベル 3 を遵守しています。

  • Cloud KMS の外部で生成され、インポートされた鍵の場合、FIPS の要件があるお客様は、鍵が FIPS 準拠で生成されるようにする必要があります。

鍵のマテリアルはどのように生成されますか?

Cloud KMS ソフトウェア保護鍵は、Google の共通暗号ライブラリと Google が作成した乱数生成ツール(RNG)を使用して生成されます。HSM で保護された鍵は HSM によって安全に生成され、FIPS 140-2 レベル 3 に準拠していることが検証されています。

どのライブラリを使用して鍵のマテリアルが生成されますか?

Cloud KMS 鍵は Google の共通暗号ライブラリを使用して生成されます。このライブラリは、BoringSSL を使用して暗号アルゴリズムを実装します。詳細については、Google の共通暗号ライブラリをご覧ください。

鍵には地理的なロケーションの制約がありますか?

鍵はリージョンに属していますが、そのリージョンに限定されるわけではありません。詳細については、Cloud KMS のロケーションをご覧ください。

鍵を自動削除できますか?

できません。

鍵を自動ローテーションできますか?

(対称暗号化に使用する鍵の場合)はい。自動ローテーション: 鍵のローテーション期間の設定をご覧ください。

(非対称暗号化または非対称署名に使用される鍵の場合)いいえ。詳細については、非対称鍵のローテーションに関する考慮事項をご覧ください。

鍵のローテーションによってデータが再暗号化されますか?されない場合、それはなぜですか?

鍵のローテーションによって、自動的にデータが再暗号化されることはありません。ユーザーがデータを復号する際、Cloud KMS では復号に使用する鍵バージョンを把握しています。鍵バージョンが無効でなく、破棄もされていない限り、Cloud KMS はその鍵で保護されたデータを復号できます。

鍵と鍵リングを削除できないのはなぜですか?

リソース名の競合を防ぐため、キーリングと鍵のリソースは削除できません。鍵バージョンも削除できませんが、鍵バージョン マテリアルを破棄することによって、リソースは使用できなくなります。詳細については、オブジェクトの存続期間をご覧ください。課金は、アクティブな鍵バージョンの数に基づいて行われます。アクティブな鍵バージョンのマテリアルをすべて破棄する場合は、鍵リング、鍵、鍵バージョンに料金は掛からず、そのまま残ります。

鍵をエクスポートできますか?

いいえ。仕様では、Cloud KMS から鍵をエクスポートすることはできません。これらの鍵を使用する暗号化と復号はすべて Cloud KMS 内で行う必要があります。これにより、漏えいや誤使用を防ぐことができ、また鍵の使用時に Cloud KMS が監査証跡を生成できるようになります。

鍵をインポートできますか?

はい。保護レベルHSM または SOFTWARE の鍵にのみインポートできます。 詳細については、鍵のインポートをご覧ください。

Cloud KMS とは別に、以下のプロダクトは顧客指定の暗号鍵(CSEK)機能をサポートしています。

プロダクト CSEK トピック
Compute Engine 顧客指定の暗号鍵でディスクを暗号化する
Cloud Storage 顧客指定の暗号鍵の使用

鍵バージョンを破棄した後、どのくらいの期間鍵バージョンを復元できますか?

鍵バージョンの破棄をスケジュールした後、鍵バージョンが実際に破棄されるまでのデフォルトの時間は 30 日です。鍵バージョンが破棄されるまでの期間は構成可能です。この期間は、必要に応じて鍵バージョンを復元できます。

スケジュールされた鍵の破棄が行われるまでの 30 日の期間は変更できますか?

はい。鍵が破棄されるまでの時間は構成できます。なお、この時間は鍵の作成時にのみ設定できます。

鍵の変更後、どのくらいで変更が反映されますか?

Cloud KMS リソースに対するオペレーションの中には、強整合性を持つものと、結果整合性を持ち、反映されるまでに最大 3 時間かかる場合があるものとがあります。詳細については、Cloud KMS リソースの一貫性をご覧ください。

鍵が PENDING_GENERATION 状態になっています。なぜですか?

鍵マテリアル生成の CPU コストのため、非対称署名または非対称暗号鍵バージョンの作成に数分かかることがあります。ハードウェア セキュリティ モジュール(HSM)によって保護されている鍵バージョンの場合も時間がかかります。新しく作成された鍵バージョンが準備完了になると、その状態は自動的に ENABLED に変わります。

承認と認証

Cloud KMS API への認証を行うにはどうすればよいですか?

クライアントの認証方法は、コードが実行されているプラットフォームによって若干異なる場合があります。詳細については、API へのアクセスをご覧ください。

どの IAM のロールを使用すればよいですか?

最小限の権限の原則を適用するために、組織内のユーザー アカウントとサービス アカウントが目的の機能を遂行するために必要な権限のみを持つようにしてください。詳細については、職掌分散をご覧ください。

IAM 権限が削除されるまでの時間はどれくらいですか?

権限を削除した場合、1 時間以内に反映されるはずです。

その他

追加認証データとは何ですか?どのような場合に使用しますか?

追加認証データ(AAD)は、暗号化または復号リクエストの一部として Cloud KMS に渡す任意の文字列です。AAD は整合性チェックとして使用され、混乱した代理攻撃からデータを保護するために役立ちます。詳細については、追加認証データをご覧ください。

データアクセス ログはデフォルトで有効になっていますか?データアクセス ログを有効にするにはどうすればよいですか?

データアクセス ログはデフォルトでは有効になっていません。詳細については、データアクセス ログの有効化をご覧ください。

Cloud KMS 鍵とサービス アカウント キーにはどのような関係がありますか?

サービス アカウント キーは、Google Cloud 内のサービス間認証に使用されます。サービス アカウント キーは Cloud KMS 鍵とは無関係です。

Cloud KMS 鍵と API キーにはどのような関係がありますか?

API キーは暗号化された単純な文字列であり、プライベート ユーザーデータにアクセスする必要のない、特定の API を呼び出すときに使用できます。API キーにより、割り当てや課金のためにプロジェクトに関連付けられた API リクエストが追跡されます。API キーは Cloud KMS 鍵とは無関係です。

Cloud HSM で使用される HSM についてさらに詳細がありますか?

すべての HSM デバイスは Marvell(旧 Cavium)によって製造されています。デバイスの FIPS 証明書は NIST ウェブサイトにあります。