このページでは、他の Google Cloud サービスで Cloud KMS 顧客管理の暗号鍵を使用してリソースを保護する方法について説明します。詳細については、顧客管理の暗号鍵(CMEK)をご覧ください。
サービスで CMEK がサポートされている場合、CMEK 統合が行われていることが示されます。GKE などの一部のサービスでは、サービスに関連するさまざまな種類のデータを保護するために、複数の CMEK 統合を利用できます。 CMEK 統合を使用したサービスの一覧については、このページのサポートされているサービスの CMEK を有効にするをご覧ください。
始める前に
Cloud KMS 鍵を他の Google Cloud サービスで使用するには、Cloud KMS 鍵を格納するプロジェクト リソースが必要です。Cloud KMS リソースには、他の Google Cloud リソースを含まない別のプロジェクトを使用することをおすすめします。
CMEK 統合
CMEK 統合を有効にする準備を行う
CMEK を有効にする具体的な手順については、関連する Google Cloud サービスのドキュメントをご覧ください。このページのサポートされているサービスの CMEK を有効にするに記載されている各サービスの CMEK ドキュメントへのリンクをご確認いただけます。各サービスについての手順は、以下のようになると想定されます。
キーリングを作成するか、既存のキーリングを選択します。キーリングは、保護するリソースに可能な限り地理的に近い場所に配置する必要があります。
選択したキーリングで、鍵を作成するか、既存の鍵を選択します。鍵の保護レベル、目的、アルゴリズムが、保護するリソースに適したものであることを確認してください。この鍵は CMEK 鍵です。
CMEK 鍵のリソース ID を取得します。このリソース ID は後で必要になります。
CMEK 鍵に対する暗号鍵の暗号化 / 復号の IAM ロール(
roles/cloudkms.cryptoKeyEncrypterDecrypter)をサービスのサービス アカウントに付与します。
鍵を作成して必要な権限を割り当てたら、CMEK 鍵を使用するサービスを作成または構成できます。
CMEK 統合サービスで Cloud KMS 鍵を使用する
次の手順では、Secret Manager を例として使用します。特定のサービスで Cloud KMS CMEK 鍵を使用する具体的な手順については、CMEK 統合サービスのリストでそのサービスを見つけてください。
Secret Manager では、CMEK を使用して保存データを保護できます。
Google Cloud コンソールで、[Secret Manager] ページに移動します。
シークレットを作成するには、[シークレットの作成] をクリックします。
[暗号化] セクションで、[顧客管理の暗号鍵(CMEK)を使用する] を選択します。
[暗号鍵] ボックスで次の操作を行います。
省略可: 別のプロジェクトの鍵を使用するには、次の操作を行います。
- [プロジェクトを切り替え] をクリックします。
- 検索バーにプロジェクト名の全部または一部を入力し、プロジェクトを選択します。
- 選択したプロジェクトの使用可能な鍵を表示するには、[選択] をクリックします。
省略可: ロケーション、キーリング、名前、保護レベルで使用可能な鍵をフィルタリングするには、 フィルタバーに検索キーワードを入力します。
選択したプロジェクトで使用可能な鍵のリストから鍵を選択します。表示されたロケーション、キーリング、保護レベルの詳細を使用すると、正しい鍵を確実に選択できます。
使用する鍵がリストに表示されない場合は、[鍵を手動で入力] をクリックして、鍵のリソース ID を入力します。
シークレットの構成を完了し、[シークレットの作成] をクリックします。Secret Manager は、シークレットを作成し、指定された CMEK 鍵を使用してシークレットを暗号化します。
サポートされているサービスで CMEK を有効にする
CMEK を有効にするには、まず次の表で目的のサービスを探します。フィールドに検索キーワードを入力して、テーブルをフィルタリングできます。このリストにあるサービスはすべて、ソフトウェア鍵とハードウェア(HSM)鍵をサポートしています。外部の Cloud EKM 鍵を使用するときに Cloud KMS と統合されるプロダクトは、[EKM 対応] 列に表示されます。
CMEK 鍵を有効にする各サービスの手順に沿って操作します。
| サービス | CMEK での保護 | EKM でサポートされている | トピック |
|---|---|---|---|
| AI Platform のトレーニング | VM ディスク上のデータ | いいえ | 顧客管理の暗号鍵の使用 |
| AlloyDB for PostgreSQL | データベースに書き込まれたデータ | ○ | 顧客管理の暗号鍵の使用 |
| Anti Money Laundering AI | AML AI インスタンス リソースのデータ | × | 顧客管理の暗号鍵(CMEK)を使用してデータを暗号化する |
| Application Integration | アプリケーション統合のためにデータベースに書き込まれるデータ | × | 顧客管理の暗号鍵の使用 |
| Artifact Registry | リポジトリ内のデータ | ○ | 顧客管理の暗号鍵の有効化 |
| Backup for GKE | Backup for GKE のデータ | ○ | Backup for GKE の CMEK 暗号化について |
| BigQuery | BigQuery のデータ | ○ | Cloud KMS 鍵によるデータの保護 |
| Bigtable | 保存データ | ○ | 顧客管理の暗号鍵(CMEK) |
| Cloud Composer | 環境データ | ○ | 顧客管理の暗号鍵の使用 |
| Cloud Data Fusion | 環境データ | ○ | 顧客管理の暗号鍵の使用 |
| Cloud Functions | Cloud Functions のデータ | ○ | 顧客管理の暗号鍵の使用 |
| Cloud Logging | ログルーター内のデータ | ○ | ログルーター データを保護する鍵を管理します |
| Cloud Logging | Logging ストレージ内のデータ | ○ | Logging のストレージ データを保護する鍵を管理します |
| Cloud Run | コンテナ イメージ | ○ | Cloud Run での顧客管理の暗号鍵の使用 |
| Cloud SQL | データベースに書き込まれたデータ | ○ | 顧客管理の暗号鍵の使用 |
| Cloud Storage | ストレージ バケット内のデータ | ○ | 顧客管理の暗号鍵の使用 |
| Cloud Tasks | 保存時のタスク本文とヘッダー | ○ | 顧客管理の暗号鍵の使用 |
| Cloud Workstations | VM ディスク上のデータ | ○ | ワークステーション リソースを暗号化する |
| Compute Engine | 永続ディスク | ○ | Cloud KMS 鍵によるリソースの保護 |
| Compute Engine | スナップショット | ○ | Cloud KMS 鍵によるリソースの保護 |
| Compute Engine | カスタム イメージ | ○ | Cloud KMS 鍵によるリソースの保護 |
| Compute Engine | マシンイメージ | ○ | Cloud KMS 鍵によるリソースの保護 |
| Contact Center AI Insights | 保存データ | ○ | 顧客管理の暗号鍵(CMEK) |
| Database Migration Service の同タイプの移行 | MySQL の移行 - データベースに書き込まれたデータ | ○ | 顧客管理の暗号鍵(CMEK)の使用 |
| Database Migration Service の同タイプの移行 | PostgreSQL の移行 - データベースに書き込まれたデータ | ○ | 顧客管理の暗号鍵(CMEK)の使用 |
| Database Migration Service の同タイプの移行 | PostgreSQL から AlloyDB への移行 - データベースに書き込まれたデータ | ○ | CMEK について |
| Database Migration Service の同タイプの移行 | Oracle から PostgreSQL への保存データ | ○ | 継続的な移行に顧客管理の暗号鍵(CMEK)を使用する |
| Dataflow | パイプライン状態のデータ | ○ | 顧客管理の暗号鍵の使用 |
| Dataform(プレビュー版) | リポジトリ内のデータ | × | 顧客管理の暗号鍵を使用する |
| Dataproc | VM ディスク上の Dataproc クラスタデータ | ○ | 顧客管理の暗号鍵 |
| Dataproc | VM ディスク上の Dataproc サーバーレス データ | ○ | 顧客管理の暗号鍵 |
| Dataproc Metastore | 保存データ | ○ | 顧客管理の暗号鍵の使用 |
| Datastream | 転送中のデータ | いいえ | 顧客管理の暗号鍵(CMEK)の使用 |
| Dialogflow CX | 保存データ | いいえ | 顧客管理の暗号鍵(CMEK) |
| Document AI | 保存データおよび使用中のデータ | ○ | 顧客管理の暗号鍵(CMEK) |
| Eventarc | 保存データ | ○ | 顧客管理の暗号鍵(CMEK)を使用する |
| Filestore | 保存データ | ○ | 顧客管理の暗号鍵でデータを暗号化する |
| Google Distributed Cloud Edge | Edge ノード上のデータ | ○ | ローカル ストレージのセキュリティ |
| Google Kubernetes Engine(GKE) | VM ディスク上のデータ | ○ | 顧客管理の暗号鍵(CMEK)の使用 |
| Google Kubernetes Engine(GKE) | アプリケーション レイヤのシークレット | ○ | アプリケーション レイヤでの Secret の暗号化 |
| Looker(Google Cloud コア) | 保存データ | ○ | Looker 用の CMEK を有効にする(Google Cloud コア) |
| Memorystore for Redis | 保存データ | ○ | 顧客管理の暗号鍵(CMEK) |
| Migrate to Virtual Machines(プレビュー) | VMware ソースから移行されたデータ | ○ | Migrate Connector を Google Cloud ソースとして登録する |
| Migrate to Virtual Machines(プレビュー) | AWS ソースから移行されたデータ | ○ | AWS ソースを作成する |
| Migrate to Virtual Machines(プレビュー) | Azure ソースから移行されたデータ | ○ | Azure ソースを作成する |
| Migrate to Virtual Machines(プレビュー) | 移行したディスク | ○ | 移行した VM ディスクのターゲットを構成する |
| Migrate to Virtual Machines(プレビュー) | 移行された VM | ○ | 移行した VM のターゲットを構成する |
| Pub/Sub | トピックに関連するデータ | ○ | メッセージ暗号化の構成 |
| Secret Manager | Secret のペイロード | ○ | Secret Manager の顧客管理の暗号鍵を有効にする |
| Secure Source Manager | インスタンス | ○ | 顧客管理の暗号鍵でデータを暗号化する |
| Spanner | 保存データ | ○ | 顧客管理の暗号鍵(CMEK) |
| Speaker ID(制限付き GA) | 保存データ | ○ | 顧客管理の暗号鍵の使用 |
| Speech-to-Text | 保存データ | ○ | 顧客管理の暗号鍵の使用 |
| Vertex AI | リソースに関連するデータ | ○ | 顧客管理の暗号鍵の使用 |
| Vertex AI Workbench マネージド ノートブック | 保存されているユーザーデータ | いいえ | 顧客管理の暗号鍵 |
| Vertex AI Workbench ユーザー管理ノートブック | VM ディスク上のデータ | いいえ | 顧客管理の暗号鍵 |
| Vertex AI Workbench インスタンス | VM ディスク上のデータ | ○ | 顧客管理の暗号鍵 |
| Workflows | 保存データ | ○ | 顧客管理の暗号鍵(CMEK)を使用する |