保護レベル

このトピックでは、Cloud KMS でサポートされている保護レベルを比較します。

ソフトウェア: 保護レベルが SOFTWARE の Cloud KMS 鍵は、ソフトウェアで実行される暗号オペレーションに使用されます。Cloud KMS 鍵は Google が生成できます。または、インポートすることもできます。
ハードウェア: 保護レベルが HARDWARE の Cloud HSM 鍵は、Google 所有のハードウェアセキュリティモジュール（HSM）に保存されます。これらの鍵を使用する暗号オペレーションは Google の HSM で実行されます。Cloud HSM 鍵は、Cloud KMS 鍵と同じ方法で使用できます。Cloud HSM 鍵は Google が生成できます。または、インポートすることもできます。
インターネット経由の外部: 保護レベルが EXTERNAL の Cloud EKM 鍵が生成され、外部鍵管理（EKM）システムに保存されます。Cloud EKM には、追加の暗号マテリアルと、インターネット経由で鍵にアクセスするために使用される一意の鍵へのパスが保存されます。
VPC を介した外部: 保護レベルが EXTERNAL_VPC の Cloud EKM 鍵が生成され、外部鍵管理（EKM）システムに保存されます。 Cloud EKM は、追加の暗号マテリアルと一意の鍵へのパスを保存します。これは、Virtual Private Cloud（VPC）ネットワーク経由で鍵にアクセスするために使用されます。

これらの保護レベルの鍵には、次の共通の機能があります。

顧客管理の暗号鍵（CMEK）に統合された Google Cloud サービスでお客様の鍵を使用します。

注: 一部の CMEK 統合サービスは、Cloud EKM 鍵をサポートしていません。 Cloud EKM 鍵をサポートする CMEK 統合サービスについては、CMEK 統合をご覧ください。
鍵の保護レベルに基づく特別なコードを使用せずに、Cloud KMS API またはクライアントライブラリで鍵を使用します。
Identity and Access Management（IAM）のロールを使用して、鍵へのアクセスを制御します。
Cloud KMS で各鍵バージョンを有効にするか無効にするかを制御します。
鍵オペレーションは監査ログにキャプチャされます。データアクセスロギングを有効にできます。

ソフトウェアの保護レベル

Cloud KMS は、ソフトウェア鍵のすべての暗号オペレーションに BoringCrypto モジュール（BCM）を使用します。BCM は FIPS 140-2 検証済みです。Cloud KMS ソフトウェア鍵は、BCM の FIPS 140-2 レベル 1 検証済みの暗号プリミティブを使用します。

ソフトウェア鍵バージョンは、ハードウェアや外部鍵バージョンよりもはるかに低コストです。ソフトウェア鍵は、より高い FIP 140-2 検証レベルの特定の規制要件がないユースケースに適しています。

ハードウェアの保護レベル

Cloud HSM を使用すれば、Google Cloud 内のワークロードに関する法令遵守を維持するのに役立ちます。Cloud HSM を使用すれば、暗号鍵を生成して、FIPS 140-2 レベル 3 認定取得済みの HSM で暗号オペレーションを実行できます。フルマネージドサービスであるため、HSM クラスタの管理に伴う運用上のオーバーヘッドについて懸念することなく、機密性が特に高いワークロードを保護できます。Cloud HSM は、HSM モジュールの上に抽象化レイヤを提供します。この抽象化により、HSM 固有のコードなしで、CMEK 統合または Cloud KMS API またはクライアントライブラリで鍵を使用できます。

ハードウェアキーバージョンはより高価ですが、ソフトウェアキーと比べて大きなセキュリティ上のメリットがあります。各 Cloud HSM 鍵には、鍵に関する認定情報を含む証明書ステートメントがあります。この証明書とそれに関連付けられた証明書チェーンを使用して、鍵と HSM のステートメントと属性の信頼性を検証できます。

外部保護レベル

Cloud External Key Manager（Cloud EKM）鍵は、サポートされている外部鍵管理（EKM）パートナーサービスで管理し、Google Cloud サービスと Cloud KMS API およびクライアントライブラリで使用する鍵です。Cloud EKM 鍵は、EKM プロバイダに応じてソフトウェア格納型またはハードウェア格納型のいずれかです。Cloud EKM 鍵は、CMEK 統合サービスで、または Cloud KMS API とクライアントライブラリを使用することによって使用できます。

Cloud EKM 鍵バージョンは、Google がホストするソフトウェアまたはハードウェア鍵バージョンよりも高価です。Cloud EKM 鍵を使用すると、Google が鍵マテリアルにアクセスできないように設定できます。

Cloud EKM 鍵をサポートする CMEK 統合サービスを確認するには、CMEK 統合を参照して、[EKM 互換サービスのみを表示] フィルタを適用します。

インターネットを介した外部の保護レベル

nam-eur-asia1 と global を除く、Cloud KMS によってサポートされているすべてのロケーションで、インターネット経由で Cloud EKM 鍵を使用できます。

VPC を介した外部の保護レベル

VPC ネットワーク経由で Cloud EKM 鍵を使用すると、外部鍵の可用性が向上します。この可用性の向上により、Cloud EKM 鍵と、それらが保護するリソースが使用できなくなる可能性が低くなります。

Cloud EKM 鍵は、Cloud KMS でサポートされているすべてのリージョンのロケーションの VPC ネットワークで使用できます。VPC ネットワークを介した Cloud EKM は、マルチリージョンロケーションでは使用できません。

次のステップ

Google Cloud で鍵を使用できる互換性のあるサービスについて確認する。
キーリングを作成する方法と暗号鍵を作成する方法を確認する。
ソフトウェアまたはハードウェアキーのインポートについて確認する。
外部鍵について確認する。
Cloud EKM の使用に関するその他の考慮事項について確認する。