Cloud KMS に関するよくある質問

Cloud KMS について

Cloud KMS とは何ですか?これで何をすることができますか?

Cloud KMS はクラウドでホスティングされる鍵管理サービスです。これを使用すると、オンプレミスと同じ方法でクラウド サービスの暗号化を管理できます。また、暗号鍵の生成、使用、ローテーション、破棄を行うことができます。Cloud KMS は Cloud Identity and Access Management と Cloud Audit Logs に統合されているため、個々の鍵の権限を管理し、それらの用途をモニタリングできます。

シークレットを保管することはできますか?

Cloud KMS を使用すると、他の場所に保管したシークレットを暗号化できます。たとえば、Cloud Storage バケットにシークレットを保管できます。詳細については、シークレットの保管をご覧ください。

SLA はありますか?

あります。Cloud KMS サービスレベル契約をご覧ください。

プロダクトのフィードバックを提供するにはどうすればよいですか?

エンジニアリング チーム cloudkms-feedback@google.com までお問い合わせください。

ドキュメントのフィードバックを提供するにはどうすればよいですか?

Cloud KMS のドキュメントを表示中に、ページの右上付近にある [フィードバックを送信] をクリックしてください。フィードバック フォームが開きます。

サポートが必要な場合はどうすればよいですか?

Google では、Stack Overflow に質問を投稿することをおすすめしています。Stack Overflow コミュニティは活発であり、Google チームは積極的に Stack Overflow への投稿をモニタリングし、google-cloud-kms のタグが付いた質問に回答しています。

Google では、お客様のニーズに応じてさまざまなレベルのサポートをご用意しています。追加のサポート オプションについては、Cloud Platform のサポート パッケージをご覧ください。

Cloud KMS には割り当てが設定されていますか?

Cloud KMS では、以下の割り当てが設定されています。

  • 読み取りリクエスト: 鍵、キーリング、鍵バージョンの読み取りリクエストの 1 分あたりの数。

  • 書き込みリクエスト: 鍵、キーリング、鍵バージョンの書き込みリクエストの 1 分あたりの数。

  • 暗号化リクエスト: 暗号化リクエストと復号リクエストの 1 分あたりの数。

使用している割り当てまたは残りの割り当てを確認するにはどうすればよいですか?

現在のプロジェクトの割り当ては、Google Cloud Platform Console の Cloud KMS の割り当てページで確認できます。

割り当ての増加を依頼するにはどうすればよいですか?

GCP Console の Cloud KMS の割り当てページを使用すると、自動的に割り当てを上限まで増やすことができます。さらに割り当てを増やしたい場合は、割り当ての増加をお申し込みください。

使用できる鍵や他の Cloud KMS リソースの数に制限はありますか?

いいえ。鍵、キーリング、鍵バージョン(キーリングごとの鍵、鍵ごとの鍵バージョンを含む)には制限がありません。

どの国で Cloud KMS を使用できますか?

Cloud KMS は、Google Cloud Platform サービスがサポートされているすべての国で使用できます。

Cloud KMS ではどのような種類の鍵が生成されますか?

鍵の目的とアルゴリズムをご覧ください。

鍵は HSM でサポートされていますか?

保護レベルHSM である鍵は、ハードウェア セキュリティ モジュール(HSM)で保護されています。保護レベルが SOFTWARE である鍵には、HSM による保護は適用されません。

鍵はどの標準に準拠していますか?

Cloud KMS 鍵、およびそれらの鍵を使用して実行される暗号オペレーションは、Federal Information Processing Standard(FIPS)が公開している暗号モジュールに関するセキュリティ要件 140-2 に準拠しています。

  • 保護レベルが SOFTWARE である鍵、およびそれらを使用して実行される暗号オペレーションは、FIPS 140-2 レベル 1 に準拠しています。

  • 保護レベルが HSM である鍵、およびそれらを使用して実行される暗号オペレーションは、FIPS 140-2 レベル 3 に準拠しています。

鍵のマテリアルはどのように生成されますか?

Cloud KMS ソフトウェア保護鍵は、Google の共通暗号ライブラリと Google が作成した乱数生成ツール(RNG)を使用して生成されます。HSM で保護された鍵は HSM によって安全に生成され、FIPS 140-2 レベル 3 に準拠していることが検証されています。

どのライブラリを使用して鍵のマテリアルが生成されますか?

Cloud KMS 鍵は Google の共通暗号ライブラリを使用して生成されます。このライブラリは、BoringSSL を使用して暗号アルゴリズムを実装するものです。詳細については、Google の共通暗号ライブラリをご覧ください。

鍵には地理的なロケーションの制約がありますか?

鍵はリージョンに属していますが、そのリージョンに限定されるわけではありません。詳細については、Cloud KMS のロケーションをご覧ください。

鍵を自動削除できますか?

できません。

鍵を自動ローテーションできますか?

鍵の目的ENCRYPT_DECRYPT である鍵では可能です。自動ローテーション: 鍵のローテーション期間の設定をご覧ください。

鍵の目的が ASYMMETRIC_SIGN または ASYMMETRIC_DECRYPT の場合はできません。理由については、非対称鍵のローテーションをご覧ください。

鍵のローテーションによってデータが再暗号化されますか?されない場合、それはなぜですか?

鍵のローテーションによって、自動的にデータが再暗号化されることはありません。ユーザーがデータを復号する際、Cloud KMS では復号に使用する鍵バージョンを把握しています。鍵バージョンが無効でなく、破棄もされていない限り、Cloud KMS では復号にその鍵バージョンを使用できます。

鍵と鍵リングを削除できないのはなぜですか?

リソース名の競合を防ぐため、キーリングと鍵のリソースは削除できません。鍵バージョンも削除できませんが、鍵バージョンのマテリアルを破棄することによって、リソースを使用できないようにすることができます。詳細については、オブジェクトの存続期間をご覧ください。

鍵をエクスポートできますか?

いいえ。仕様では、Cloud KMS から鍵をエクスポートすることはできません。これらの鍵を使用する暗号化と復号はすべて Cloud KMS 内で行う必要があります。これにより、漏えいや誤使用を防ぐことができ、また鍵の使用時に Cloud KMS が監査証跡を生成できるようになります。

鍵をインポートできますか?

はい。鍵のインポートはアルファ版リリースにより可能です。インポートは、保護レベルHSM の鍵と、目的が対称暗号化(ENCRYPT_DECRYPT)の鍵に対してのみ行えます。アルファ版リリース グループに参加するには、このフォームを使用して登録してください。

Cloud KMS とは別に、以下のプロダクトは顧客指定の暗号鍵(CSEK)機能をサポートしています。

プロダクト CSEK トピック
Compute Engine 顧客指定の暗号鍵でディスクを暗号化する
Cloud Storage 顧客指定の暗号鍵の使用

鍵バージョンを破棄した後、どのくらいの期間鍵バージョンを復元できますか?

鍵バージョンの破棄をスケジュールしてから実際に鍵バージョンが破棄されるまでには、24 時間あります。この期間は、必要に応じて鍵バージョンを復元できます。

スケジュールされた鍵の破棄が行われるまでの 24 時間の期間は変更できますか?

できません。

鍵の変更後、どのくらいで変更が反映されますか?

Cloud KMS リソースに対するオペレーションの中には、強整合性を持つものと、結果整合性を持ち、反映されるまでに最大 3 時間かかる場合があるものとがあります。詳細については、Cloud KMS リソースの一貫性をご覧ください。

鍵が PENDING_GENERATION 状態になっています。なぜですか?

鍵マテリアル生成の CPU コストのため、非対称鍵バージョンの作成に数分かかることがあります。ハードウェア セキュリティ モジュール(HSM)によって保護されている鍵バージョンの場合も時間がかかります。新しく作成された鍵バージョンが準備完了になると、その状態は自動的に ENABLED に変わります。

承認と認証

Cloud KMS API への認証を行うにはどうすればよいですか?

クライアントの認証方法は、コードが実行されているプラットフォームによって若干異なる場合があります。詳細については、API へのアクセスをご覧ください。

どの Cloud IAM の役割を使用すればよいですか?

最小限の権限の原則を適用するために、組織内のユーザー アカウントとサービス アカウントが目的の機能を遂行するために必要な権限のみを持つようにしてください。詳細については、職掌分散をご覧ください。

Cloud IAM 権限を削除した場合、どのくらいの時間で削除されますか?

権限を削除した場合、1 時間以内に反映されるはずです。

その他

追加認証データとは何ですか?どのような場合に使用しますか?

追加認証データ(AAD)は、暗号化または復号リクエストの一部として Cloud KMS に渡す任意の文字列です。AAD は整合性チェックとして使用され、混乱した代理攻撃からデータを保護するために役立ちます。詳細については、追加認証データをご覧ください。

データアクセス ログはデフォルトで有効になっていますか?データアクセス ログを有効にするにはどうすればよいですか?

デフォルトでは、データアクセス ログは有効になっていません。データアクセス ログを有効にするには、データアクセス ログの有効化をご覧ください。

Cloud KMS 鍵とサービス アカウント キーにはどのような関係がありますか?

サービス アカウント キーは、GCP 内のサービス間認証に使用されます。サービス アカウント キーは Cloud KMS 鍵とは無関係です。

Cloud KMS 鍵と API キーにはどのような関係がありますか?

API キーは単純な暗号化された文字列であり、プライベート ユーザーデータにアクセスする必要のない、特定の API を呼び出すときに使用できます。また、割り当てや課金のためにプロジェクトに関連付けられた API リクエストをトラッキングするためにも使用されます。API キーは Cloud KMS 鍵とは無関係です。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...