保護レベル

このトピックでは、Cloud KMS でサポートされているさまざまな保護レベルを比較します。

ソフトウェア
保護レベルが SOFTWARE の Cloud KMS 鍵は、ソフトウェアで実行される暗号オペレーションに使用されます。Cloud KMS 鍵は Google が生成できます。または、インポートすることもできます。
ハードウェア
保護レベルが HARDWARE の Cloud HSM 鍵は、Google 所有のハードウェア セキュリティ モジュール(HSM)に保存されます。これらの鍵を使用する暗号オペレーションは、Google の HSM で実行されます。Cloud HSM 鍵は、Cloud KMS 鍵と同じ方法で使用できます。Cloud HSM 鍵は Google が生成できます。または、インポートすることもできます。
インターネット経由の外部
保護レベルが EXTERNAL の Cloud EKM 鍵が生成され、外部鍵管理(EKM)システムに保存されます。Cloud EKM には、追加の暗号マテリアルと、インターネット経由で鍵にアクセスするために使用される一意の鍵へのパスが保存されます。
VPC を介した外部
保護レベルが EXTERNAL_VPC の Cloud EKM 鍵が生成され、外部鍵管理(EKM)システムに保存されます。 Cloud EKM には、追加の暗号マテリアルと、Virtual Private Cloud(VPC)ネットワーク経由で鍵にアクセスするために使用される一意の鍵へのパスが保存されます。

これらの保護レベルの鍵には、次の共通の機能があります。

  • 顧客管理の暗号鍵(CMEK)に統合された Google Cloud サービスでお客様の鍵を使用します。

  • 鍵の保護レベルに基づく特別なコードを使用せずに、Cloud KMS API またはクライアント ライブラリで鍵を使用します。

  • Identity and Access Management(IAM)のロールを使用して、鍵へのアクセスを制御します。

  • Cloud KMS から、各鍵バージョンを有効または無効にします。

  • 重要なオペレーションは監査ログにキャプチャされます。データアクセス ロギングを有効にできます。

ソフトウェアの保護レベル

Cloud KMS は、ソフトウェア鍵のすべての暗号オペレーションに BoringCrypto モジュール(BCM)を使用します。BCM は FIPS 140-2 検証済みです。Cloud KMS ソフトウェア鍵は、BCM の FIPS 140-2 レベル 1 検証済みの暗号プリミティブを使用します。

ソフトウェア キー バージョンは、ハードウェア キー バージョンや外部キー バージョンよりもはるかに安価です。ソフトウェア鍵は、より高い FIP 140-2 検証レベルの特定の規制要件がないユースケースに適しています。

ハードウェアの保護レベル

Cloud HSM を使用すれば、Google Cloud 内のワークロードに関する法令遵守を維持するのに役立ちます。Cloud HSM を使用すれば、暗号鍵を生成して、FIPS 140-2 レベル 3 認定取得済みの HSM で暗号オペレーションを実行できます。フルマネージド サービスであるため、HSM クラスタの管理に伴う運用上のオーバーヘッドについて懸念することなく、機密性が特に高いワークロードを保護できます。Cloud HSM は、HSM モジュールの上に抽象化レイヤを提供します。この抽象化により、HSM 固有のコードを使用せずに、CMEK 統合、Cloud KMS API、またはクライアント ライブラリで鍵を使用できます。

ハードウェア キー バージョンは高価ですが、ソフトウェア キーに比べてセキュリティ上のメリットが大幅に向上します。各 Cloud HSM 鍵には、鍵に関する認証情報が含まれる証明書ステートメントがあります。この証明書とそれに関連付けられた証明書チェーンを使用して、ステートメントの信頼性と鍵と HSM の属性を検証できます。

外部の保護レベル

Cloud External Key Manager(Cloud EKM)鍵は、サポートされている外部鍵管理(EKM)パートナー サービスで管理し、Google Cloud サービスと Cloud KMS API およびクライアント ライブラリで使用する鍵です。Cloud EKM 鍵は、EKM プロバイダに応じてソフトウェア格納型またはハードウェア格納型のいずれかです。Cloud EKM 鍵は、CMEK 統合サービスで、または Cloud KMS API とクライアント ライブラリを使用することによって使用できます。

Cloud EKM 鍵バージョンは、Google がホストするソフトウェア鍵バージョンまたはハードウェア鍵バージョンよりも費用が高くなります。Cloud EKM 鍵を使用すると、Google が鍵マテリアルにアクセスできないように設定できます。

Cloud EKM 鍵をサポートする CMEK 統合サービスを確認するには、CMEK 統合で [EKM 互換サービスのみを表示] フィルタを適用します。

インターネットを介した外部の保護レベル

nam-eur-asia1global を除く、Cloud KMS によってサポートされているすべてのロケーションで、インターネット経由で Cloud EKM 鍵を使用できます。

VPC を介した外部の保護レベル

VPC ネットワーク経由で Cloud EKM 鍵を使用すると、外部鍵の可用性が向上します。この可用性の向上により、Cloud EKM 鍵と、それらが保護するリソースが使用できなくなる可能性が低くなります。

Cloud EKM 鍵は、Cloud KMS でサポートされているすべてのリージョンのロケーションの VPC ネットワークで使用できます。VPC ネットワーク経由の Cloud EKM は、マルチリージョンのロケーションでは使用できません。

次のステップ