このページでは、他の Google Cloud サービスで Cloud KMS の顧客管理の暗号鍵を使用してリソースを保護する方法について説明します。詳細については、顧客管理の暗号鍵(CMEK)をご覧ください。
サービスで CMEK がサポートされている場合、CMEK 統合が行われていることが示されます。GKE などの一部のサービスでは、サービスに関連するさまざまな種類のデータを保護するために、複数の CMEK 統合を利用できます。 CMEK 統合を使用したサービスの一覧については、このページのサポートされているサービスの CMEK を有効にするをご覧ください。
始める前に
他の Google Cloud サービスで Cloud KMS 鍵を使用する前に、Cloud KMS 鍵を含めるプロジェクト リソースが必要です。Cloud KMS リソースには、他の Google Cloud リソースを含まない別のプロジェクトを使用することをおすすめします。
CMEK 統合
CMEK 統合を有効にする準備を行う
CMEK を有効にする具体的な手順については、関連する Google Cloud サービスのドキュメントをご覧ください。このページのサポートされているサービスの CMEK を有効にするに記載されている各サービスの CMEK ドキュメントへのリンクをご確認いただけます。各サービスについての手順は、以下のようになると想定されます。
キーリングを作成するか、既存のキーリングを選択します。キーリングは、保護するリソースに地理的にできるだけ近い場所に配置する必要があります。
選択したキーリングで、鍵を作成するか、既存の鍵を選択します。鍵の保護レベル、目的、アルゴリズムが、保護するリソースに適していることを確認します。この鍵が CMEK 鍵です。
CMEK 鍵のリソース ID を取得します。このリソース ID は後で必要になります。
CMEK 鍵に対する暗号鍵の暗号化 / 復号の IAM ロール(
roles/cloudkms.cryptoKeyEncrypterDecrypter
)をサービスのサービス アカウントに付与します。
鍵を作成して必要な権限を割り当てたら、CMEK 鍵を使用するようにサービスを作成または構成できます。
CMEK 統合サービスで Cloud KMS 鍵を使用する
次の手順では、Secret Manager を例として使用します。特定のサービスで Cloud KMS CMEK 鍵を使用する具体的な手順については、CMEK 統合サービスのリストでそのサービスを見つけてください。
Secret Manager では、CMEK を使用して保存データを保護できます。
Google Cloud コンソールで、[Secret Manager] ページに移動します。
シークレットを作成するには、[シークレットの作成] をクリックします。
[暗号化] セクションで、[顧客管理の暗号鍵(CMEK)を使用する] を選択します。
[暗号鍵] ボックスで、次の操作を行います。
省略可: 別のプロジェクトで鍵を使用する手順は次のとおりです。
- [プロジェクトを切り替え] をクリックします。
- 検索バーにプロジェクト名の一部またはすべてを入力して、プロジェクトを選択します。
- 選択したプロジェクトの使用可能な鍵を表示するには、[選択] をクリックします。
省略可: ロケーション、キーリング、名前、保護レベルで使用可能な鍵をフィルタリングするには、に検索キーワードを入力します。 フィルタバー
選択したプロジェクトで使用可能な鍵のリストから鍵を選択します。表示されたロケーション、キーリング、保護レベルの詳細を使用すると、正しい鍵を確実に選択できます。
使用する鍵がリストに表示されない場合は、[鍵を手動で入力] をクリックして、鍵のリソース ID を入力します。
シークレットの構成を完了し、[シークレットの作成] をクリックします。Secret Manager はシークレットを作成し、指定された CMEK 鍵を使用して暗号化します。
サポートされているサービスの CMEK を有効にする
CMEK を有効にするには、まず次の表で目的のサービスを見つけます。フィールドに検索キーワードを入力して、テーブルをフィルタできます。このリスト内のすべてのサービスは、ソフトウェア鍵とハードウェア(HSM)鍵をサポートしています。外部の Cloud EKM 鍵を使用するときに Cloud KMS と統合されるプロダクトは、[EKM 対応] 列に表示されます。
CMEK 鍵を有効にする各サービスの手順に沿って操作します。
サービス | CMEK での保護 | EKM 対応 | トピック |
---|---|---|---|
Agent Assist | 保存データ | ○ | 顧客管理の暗号鍵(CMEK) |
AI Platform Training | VM ディスク上のデータ | × | 顧客管理の暗号鍵の使用 |
AlloyDB for PostgreSQL | データベースに書き込まれたデータ | ○ | 顧客管理の暗号鍵の使用 |
Anti Money Laundering AI | AML AI インスタンス リソース内のデータ | × | 顧客管理の暗号鍵(CMEK)を使用してデータを暗号化する |
Apigee | 保存データ | × | CMEK の概要 |
Apigee API Hub | 保存データ | ○ | 暗号化 |
アプリケーションの統合 | アプリケーション統合用のデータベースに書き込まれたデータ | × | 顧客管理の暗号鍵の使用 |
Artifact Registry | リポジトリ内のデータ | ○ | 顧客管理の暗号鍵の有効化 |
Backup for GKE | Backup for GKE 内のデータ | ○ | Backup for GKE の CMEK 暗号化について |
BigQuery | BigQuery のデータ | ○ | Cloud KMS 鍵によるデータの保護 |
Bigtable | 保存データ | ○ | 顧客管理の暗号鍵(CMEK) |
Cloud Composer | 環境データ | ○ | 顧客管理の暗号鍵の使用 |
Cloud Data Fusion | 環境データ | ○ | 顧客管理の暗号鍵の使用 |
Cloud Healthcare API | Cloud Healthcare API データセット | ○ | 顧客管理の暗号鍵(CMEK)を使用する |
Cloud Logging | ログルーター内のデータ | ○ | ログルーター データを保護する鍵を管理します |
Cloud Logging | Logging ストレージ内のデータ | ○ | Logging のストレージ データを保護する鍵を管理します |
Cloud Run | コンテナ イメージ | ○ | Cloud Run での顧客管理の暗号鍵の使用 |
Cloud Run 関数 | Cloud Run 関数内のデータ | ○ | 顧客管理の暗号鍵の使用 |
Cloud SQL | データベースに書き込まれたデータ | ○ | 顧客管理の暗号鍵の使用 |
Cloud Storage | ストレージ バケット内のデータ | ○ | 顧客管理の暗号鍵の使用 |
Cloud Tasks | 保存時のタスク本文とヘッダー | ○ | 顧客管理の暗号鍵の使用 |
Cloud Workstations | VM ディスク上のデータ | ○ | ワークステーション リソースを暗号化する |
Colab Enterprise | ランタイムとノートブック ファイル | × | 顧客管理の暗号鍵の使用 |
Compute Engine | 永続ディスク | ○ | Cloud KMS 鍵によるリソースの保護 |
Compute Engine | スナップショット | ○ | Cloud KMS 鍵によるリソースの保護 |
Compute Engine | カスタム イメージ | ○ | Cloud KMS 鍵によるリソースの保護 |
Compute Engine | マシンイメージ | ○ | Cloud KMS 鍵によるリソースの保護 |
会話型分析情報 | 保存データ | ○ | 顧客管理の暗号鍵(CMEK) |
Database Migration Service の同タイプの移行 | MySQL の移行 - データベースに書き込まれたデータ | ○ | 顧客管理の暗号鍵(CMEK)の使用 |
Database Migration Service の同タイプの移行 | PostgreSQL の移行 - データベースに書き込まれたデータ | ○ | 顧客管理の暗号鍵(CMEK)の使用 |
Database Migration Service の同タイプの移行 | PostgreSQL から AlloyDB への移行 - データベースに書き込まれたデータ | ○ | CMEK について |
Database Migration Service の同タイプの移行 | Oracle から PostgreSQL への保存データ | ○ | 継続的な移行に顧客管理の暗号鍵(CMEK)を使用する |
Dataflow | パイプライン状態のデータ | ○ | 顧客管理の暗号鍵の使用 |
Dataform | リポジトリ内のデータ | ○ | 顧客管理の暗号鍵の使用 |
Dataproc | VM ディスク上の Dataproc クラスタデータ | ○ | 顧客管理の暗号鍵 |
Dataproc | VM ディスク上の Dataproc サーバーレス データ | ○ | 顧客管理の暗号鍵 |
Dataproc Metastore | 保存データ | ○ | 顧客管理の暗号鍵の使用 |
Datastream | 転送中のデータ | × | 顧客管理の暗号鍵(CMEK)の使用 |
Dialogflow CX | 保存データ | ○ | 顧客管理の暗号鍵(CMEK) |
Document AI | 保存データおよび使用中のデータ | ○ | 顧客管理の暗号鍵(CMEK) |
Eventarc Advanced(プレビュー) | 保存データ | × | 顧客管理の暗号鍵(CMEK)を使用する |
Eventarc Standard | 保存データ | ○ | 顧客管理の暗号鍵(CMEK)を使用する |
Filestore | 保存データ | ○ | 顧客管理の暗号鍵でデータを暗号化する |
Firestore | 保存データ | ○ | 顧客管理の暗号鍵(CMEK)を使用する |
Google Cloud Managed Service for Apache Kafka | トピックに関連するデータ | ○ | メッセージ暗号化を構成する |
Google Cloud NetApp Volumes | 保存データ | × | CMEK ポリシーを作成する |
Google Distributed Cloud | Edge ノード上のデータ | ○ | ローカル ストレージのセキュリティ |
Google Kubernetes Engine | VM ディスク上のデータ | ○ | 顧客管理の暗号鍵(CMEK)の使用 |
Google Kubernetes Engine | アプリケーション レイヤのシークレット | ○ | アプリケーション レイヤでの Secret の暗号化 |
Looker(Google Cloud コア) | 保存データ | ○ | Looker(Google Cloud コア)用の CMEK を有効にする |
Memorystore for Redis | 保存データ | ○ | 顧客管理の暗号鍵(CMEK) |
Migrate to Virtual Machines | VMware、AWS、Azure VM ソースから移行されたデータ | ○ | CMEK を使用して移行中に保存されるデータを暗号化する |
Migrate to Virtual Machines | ディスクソースとマシンイメージソースから移行されたデータ | ○ | CMEK を使用してターゲット ディスクとマシンイメージ上のデータを暗号化する |
Pub/Sub | トピックに関連するデータ | ○ | メッセージ暗号化の構成 |
Secret Manager | Secret のペイロード | ○ | Secret Manager の顧客管理の暗号鍵を有効にする |
Secure Source Manager | インスタンス | ○ | 顧客管理の暗号鍵でデータを暗号化する |
Spanner | 保存データ | ○ | 顧客管理の暗号鍵(CMEK) |
Speaker ID(制限付き GA) | 保存データ | ○ | 顧客管理の暗号鍵の使用 |
Speech-to-Text | 保存データ | ○ | 顧客管理の暗号鍵の使用 |
Vertex AI | リソースに関連するデータ | ○ | 顧客管理の暗号鍵の使用 |
Vertex AI Agent Builder | 保存データ | × | 顧客管理の暗号鍵 |
Vertex AI Workbench マネージド ノートブック | 保存されているユーザーデータ | × | 顧客管理の暗号鍵 |
Vertex AI Workbench ユーザー管理ノートブック | VM ディスク上のデータ | × | 顧客管理の暗号鍵 |
Vertex AI Workbench インスタンス | VM ディスク上のデータ | ○ | 顧客管理の暗号鍵 |
Workflows | 保存データ | ○ | 顧客管理の暗号鍵(CMEK)を使用する |