Cloud KMS Autokey は、プロビジョニングと割り当てを自動化することで、顧客管理の暗号化鍵(CMEK)の作成と使用を簡素化します。Autokey を使用すると、キーリング、鍵、サービス アカウントを事前に計画してプロビジョニングする必要がなくなります。代わりに Autokey は、Cloud KMS 管理者ではなく委任された権限を使用して、リソースの作成時にオンデマンドで鍵を生成します。
Autokey によって生成された鍵を使用すると、HSM 保護レベル、職掌分散、鍵のローテーション、ロケーション、鍵の限定性など、データ セキュリティの業界標準と推奨されるプラクティスに一貫して対応できます。Autokey は、一般的なガイドラインと、Cloud KMS Autokey と統合される Google Cloud サービスのリソースタイプに固有のガイドラインの両方に準拠した鍵を作成します。作成後は、Autokey を使用してリクエストされた鍵は、同じ設定を持つ他の Cloud HSM 鍵と同じように機能します。
また、Autokey を使用すると、鍵管理に Terraform を簡単に使用できるようになるため、昇格した鍵作成権限を持つ Infrastructure as a Service を実行する必要がなくなります。
Autokey を使用するには、フォルダ リソースを含む組織リソースが必要です。組織とフォルダのリソースの詳細については、リソース階層をご覧ください。
Cloud KMS Autokey は、Cloud HSM が利用可能なすべての Google Cloud のロケーションで利用できます。Cloud KMS のロケーションの詳細については、Cloud KMS のロケーションをご覧ください。Cloud KMS Autokey を使用するために追加料金は発生しません。Autokey を使用して作成された鍵は、他の Cloud HSM 鍵と同じ料金です。料金の詳細については、Cloud Key Management Service の料金をご覧ください。
Autokey の詳細については、Autokey の概要をご覧ください。
Autokey と他の暗号化オプションを選択する
Autokey を使用する Cloud KMS は、顧客管理の暗号化された鍵の自動パイロットのようなものです。ユーザーに代わってオンデマンドで作業を行います。鍵を事前に計画する必要も、不要な鍵を作成する必要もありません。鍵と鍵の使用には一貫性があります。Autokey を使用するフォルダを定義し、それを使用できるユーザーを制御できます。Autokey によって作成された鍵は、完全に制御できます。手動で作成した Cloud KMS 鍵は、Autokey を使用して作成した鍵とともに使用できます。Autokey を無効にすると、他の Cloud KMS 鍵と同じ方法で作成した鍵を引き続き使用できます。
Cloud KMS Autokey は、プロジェクト全体で鍵の使用を一貫して行い、運用上のオーバーヘッドを少なくし、鍵に関する Google の推奨事項に従う場合に適しています。
| 特徴や機能 | Google のデフォルトの暗号化 | Cloud KMS | Cloud KMS Autokey |
|---|---|---|---|
| 暗号分離: 鍵は 1 つのお客様のアカウント専用 | × | ○ | ○ |
| お客様が鍵を所有、管理する | × | ○ | ○ |
| デベロッパーが鍵のプロビジョニングと割り当てをトリガーする | ○ | × | ○ |
| 限定性: 鍵は推奨される鍵の粒度で自動作成される | × | いいえ | ○ |
| データのクリプトシュレッディング | × | ○ | ○ |
| 推奨される鍵管理方法に自動的に合わせる | × | いいえ | ○ |
| FIPS 140-2 レベル 3 準拠の HSM がサポートする鍵を使用する | × | 省略可 | ○ |
HSM またはカスタム ローテーション期間以外の保護レベルを使用する必要がある場合は、Autokey なしで CMEK を使用できます。
互換性のあるサービス
次の表に、Cloud KMS Autokey と互換性のあるサービスを示します。
| サービス | 保護対象リソース | 鍵の粒度 |
|---|---|---|
| Cloud Storage |
ストレージ バケット内のオブジェクトでは、バケットのデフォルト鍵が使用されます。Autokey は |
バケットごとに 1 つの鍵 |
| Compute Engine |
スナップショットでは、スナップショットを作成するディスクの鍵を使用します。Autokey は |
リソースごとに 1 つの鍵 |
| BigQuery |
Autokey は、データセットのデフォルトの鍵を作成します。データセット内のテーブル、モデル、クエリ、一時テーブルでは、データセットのデフォルト鍵が使用されます。 Autokey は、データセット以外の BigQuery リソースの鍵を作成しません。データセットの一部ではないリソースを保護するには、プロジェクト レベルまたは組織レベルで独自のデフォルト鍵を作成する必要があります。 |
リソースごとに 1 つの鍵 |
| Secret Manager |
Secret Manager は、Terraform または REST API を使用してリソースを作成する場合のみ、Cloud KMS Autokey と互換性があります。 |
プロジェクト内のロケーションごとに 1 つの鍵 |
次のステップ
- Cloud KMS Autokey の仕組みについては、Autokeyの概要をご覧ください。