職掌分散とは、1 人の個人が、悪意のある操作を行うのに必要なすべての権限を持たないようにするという概念です。Cloud Key Management Service では、たとえば、ユーザーが通常アクセスできないデータに鍵を使用してアクセスし、復号するなどのアクションです。
職掌分散は、セキュリティやプライバシーの事故やエラーを避けるために、大規模な組織で一般的に使用される業務管理です。 これはベスト プラクティスと考えられています。
詳細については、Identity and Access Management の安全な使用に関するドキュメントをご覧ください。
個々のプロジェクトでの Cloud KMS の設定
Cloud KMS は、既存のプロジェクト(your-project など)で実行できます。CloudKMS の鍵で暗号化されたデータが同じプロジェクトに格納されている場合に役立ちます。
ただし、そのプロジェクトに対する owner アクセス権を持つすべてのユーザーが、そのプロジェクトの Cloud KMS の鍵を管理(および鍵を使用して暗号化オペレーションを実行)できます。これは、鍵自体がユーザーが owner であるプロジェクトによって所有されているためです。
代わりに、職掌分散を可能にするために、Cloud KMS を独自のプロジェクト(your-key-project など)で実行できます。分散要件の厳格さに応じて、次のいずれかを行うことができます。
- (推奨)プロジェクト レベルで
ownerなしでyour-key-projectを作成し、組織レベルで付与された組織管理者を指定します。ownerとは異なり、組織管理者は直接鍵の管理や使用はできません。鍵の管理や使用ができるユーザーを制限する IAM ポリシーの設定に限定されます。組織レベルのノードを使用すると、組織内のプロジェクトに対する権限をさらに制限することができます。 - (非推奨)
ownerロールを引き続き使用する必要がある場合は、このロールをyour-projectのownerであるプリンシパルとは異なるyour-key-projectの別のプリンシパルに付与してください。ownerでは引き続き鍵を使用できますが、1 つのプロジェクトでのみ使用できます。