Cloud KMS with Autokey

Cloud KMS Autokey は、プロビジョニングと割り当てを自動化することで、顧客管理の暗号化鍵(CMEK)の作成と使用を簡素化します。Autokey を使用すると、キーリングと鍵がオンデマンドで生成されます。鍵を使用してリソースの暗号化と復号を行うサービス アカウントが作成され、必要に応じて Identity and Access Management(IAM)ロールが付与されます。Cloud KMS 管理者は、Autokey によって作成された鍵に対する完全な制御と可視性を維持できます。各リソースを事前に計画して作成する必要はありません。

Autokey によって生成された鍵を使用すると、HSM 保護レベル、職掌分散、鍵のローテーション、ロケーション、鍵の限定性など、データ セキュリティの業界標準と推奨されるプラクティスに一貫して対応できます。Autokey は、一般的なガイドラインと、Cloud KMS Autokey と統合される Google Cloud サービスのリソースタイプに固有のガイドラインの両方に準拠した鍵を作成します。作成後は、Autokey を使用してリクエストされた鍵は、同じ設定を持つ他の Cloud HSM 鍵と同じように機能します。

Autokey を使用すると、鍵の管理に Terraform を簡単に使用できるため、鍵の作成権限を昇格して Infrastructure as Code を実行する必要がなくなります。

Autokey を使用するには、フォルダ リソースを含む組織リソースが必要です。組織とフォルダのリソースの詳細については、リソース階層をご覧ください。

Cloud KMS Autokey は、Cloud HSM が利用できるすべての Google Cloud のロケーションで利用できます。Cloud KMS のロケーションの詳細については、Cloud KMS のロケーションをご覧ください。Cloud KMS Autokey の使用には追加料金がかかりません。Autokey を使用して作成された鍵の料金は、他の Cloud HSM 鍵と同じです。料金の詳細については、Cloud Key Management Service の料金をご覧ください。

Autokey の詳細については、Autokey の概要をご覧ください。

Autokey と他の暗号化オプションを選択する

Autokey を使用する Cloud KMS は、顧客管理の暗号化された鍵の自動パイロットのようなものです。ユーザーに代わってオンデマンドで作業を行います。事前に鍵を計画したり、必要とされる可能性のない鍵を作成したりする必要はありません。鍵と鍵の使用方法には一貫性があります。Autokey を使用するフォルダを定義し、その使用を許可するユーザーを管理できます。Autokey で作成された鍵を完全に管理します。手動で作成した Cloud KMS 鍵と Autokey を使用して作成した鍵を併用できます。Autokey を無効にしても、他の Cloud KMS 鍵と同じように、Autokey で作成された鍵を引き続き使用できます。

Cloud KMS Autokey は、低い運用上のオーバーヘッドでプロジェクト間で一貫して鍵を使用し、Google の鍵に関する推奨事項に従う場合に適しています。

特徴や機能 Google のデフォルトの暗号化 Cloud KMS Cloud KMS Autokey
暗号化分離: 鍵は 1 人のお客様のアカウント専用 ×
お客様が鍵を所有、管理する ×
デベロッパーが鍵のプロビジョニングと割り当てをトリガーする ×
特定性: 推奨される鍵の粒度で鍵が自動的に作成される × ×
データのクリプトシュレッディング ×
推奨される鍵管理プラクティスに自動的に適合する × ×
FIPS 140-2 レベル 3 準拠の HSM がサポートする鍵を使用する × 省略可

HSM 以外の保護レベルやカスタム ローテーション期間を使用する必要がある場合は、Autokey を使用せずに CMEK を使用できます。

互換性のあるサービス

次の表に、Cloud KMS Autokey と互換性のあるサービスを示します。

サービス 保護対象リソース 鍵の粒度
Cloud Storage
  • storage.googleapis.com/Bucket

ストレージ バケット内のオブジェクトは、バケットのデフォルト鍵を使用します。Autokey は storage.object リソースの鍵を作成しません。

バケットごとに 1 つの鍵
Compute Engine
  • compute.googleapis.com/Disk
  • compute.googleapis.com/Image
  • compute.googleapis.com/Instance
  • compute.googleapis.com/MachineImage

スナップショットでは、スナップショットを作成するディスクの鍵を使用します。Autokey は compute.snapshot リソースの鍵を作成しません。

リソースごとに 1 つの鍵
BigQuery
  • bigquery.googleapis.com/Dataset

Autokey はデータセットのデフォルト鍵を作成します。データセット内のテーブル、モデル、クエリ、一時テーブルは、データセットのデフォルト鍵を使用します。

Autokey は、データセット以外の BigQuery リソースの鍵を作成しません。リージョンの一部ではないリソースを保護するには、プロジェクトまたは組織レベルで独自のデフォルト鍵を作成する必要があります。

リソースごとに 1 つの鍵
Secret Manager
  • secretmanager.googleapis.com/Secret

Terraform または REST API を使用してリソースを作成する場合、Secret Manager と互換性があるのは Cloud KMS Autokey 鍵のみです。

プロジェクト内のロケーションごとに 1 つの鍵

次のステップ

  • Cloud KMS Autokey の仕組みについては、Autokeyの概要をご覧ください。