このページでは、他の Google Cloud サービスで Cloud KMS の顧客管理の暗号鍵を使用してリソースを保護する方法について説明します。詳細については、顧客管理の暗号鍵(CMEK)をご覧ください。
サービスで CMEK がサポートされている場合、CMEK 統合が行われていることが示されます。GKE などの一部のサービスでは、サービスに関連するさまざまな種類のデータを保護するために、複数の CMEK 統合を利用できます。 CMEK 統合を使用したサービスの一覧については、このページのサポートされるサービスの CMEK を有効にするをご覧ください。
始める前に
他の Google Cloud サービスで Cloud KMS 鍵を使用するには、Cloud KMS 鍵を格納するプロジェクト リソースが必要です。他の Google Cloud リソースを含まない Cloud KMS リソースには、別のプロジェクトを使用することをおすすめします。
CMEK 統合
CMEK 統合を有効にする準備を行う
CMEK を有効にする具体的な手順については、関連する Google Cloud サービスのドキュメントをご覧ください。このページのサポートされているサービスの CMEK を有効にするに記載されている各サービスの CMEK ドキュメントへのリンクをご確認いただけます。各サービスについての手順は、以下のようになると想定されます。
キーリングを作成するか、既存のキーリングを選択します。キーリングは、保護するリソースに可能な限り地理的に近い場所に配置する必要があります。
選択したキーリングで鍵を作成するか、既存の鍵を選択します。鍵の保護レベル、目的、アルゴリズムが、保護するリソースに対して適切であることを確認します。この鍵は CMEK 鍵です。
CMEK 鍵のリソース ID を取得します。このリソース ID は後で必要になります。
CMEK 鍵に対する暗号鍵の暗号化 / 復号の IAM ロール(
roles/cloudkms.cryptoKeyEncrypterDecrypter)をサービスのサービス アカウントに付与します。
鍵を作成して必要な権限を割り当てると、CMEK 鍵を使用するようにサービスを作成または構成できます。
CMEK 統合サービスで Cloud KMS 鍵を使用する
次の手順では、Secret Manager を例として使用します。特定のサービスで Cloud KMS CMEK 鍵を使用する具体的な手順については、CMEK 統合サービスのリストでそのサービスを見つけてください。
Secret Manager では、CMEK を使用して保存データを保護できます。
Google Cloud コンソールで、[Secret Manager] ページに移動します。
シークレットを作成するには、[シークレットの作成] をクリックします。
[暗号化] セクションで [顧客管理の暗号鍵(CMEK)を使用する] を選択します。
[暗号鍵] ボックスで、次の操作を行います。
(省略可)別のプロジェクトで鍵を使用するには、次のようにします。
- [プロジェクトを切り替える] をクリックします。
- 検索バーにプロジェクト名の全部または一部を入力し、プロジェクトを選択します。
- 選択したプロジェクトの使用可能な鍵を表示するには、[選択] をクリックします。
省略可: ロケーション、キーリング、名前、保護レベルで使用可能な鍵をフィルタリングするには、 フィルタバーに検索キーワードを入力します。
選択したプロジェクトで使用可能な鍵のリストから鍵を選択します。表示されたロケーション、キーリング、保護レベルの詳細を使用すると、正しい鍵を確実に選択できます。
使用する鍵がリストに表示されない場合は、[手動で鍵を入力] をクリックして、鍵のリソース ID を入力します。
シークレットの構成を完了し、[シークレットの作成] をクリックします。Secret Manager は、シークレットを作成し、指定された CMEK 鍵を使用して暗号化します。
サポートされているサービスの CMEK を有効にする
CMEK を有効にするには、まず次の表で目的のサービスを見つけます。このフィールドに検索キーワードを入力して、テーブルをフィルタリングできます。このリストにあるすべてのサービスは、ソフトウェアとハードウェア(HSM)鍵をサポートしています。外部の Cloud EKM 鍵を使用するときに Cloud KMS と統合されるプロダクトは、[EKM 対応] 列に表示されます。
CMEK 鍵を有効にする各サービスの手順に沿って操作します。
| サービス | CMEK での保護 | EKM のサポート | トピック |
|---|---|---|---|
| AI Platform のトレーニング | VM ディスク上のデータ | いいえ | 顧客管理の暗号鍵の使用 |
| AlloyDB for PostgreSQL | データベースに書き込まれたデータ | ○ | 顧客管理の暗号鍵の使用 |
| アプリケーションの統合 | 保存データ | ○ | 暗号化方式 |
| Artifact Registry | リポジトリ内のデータ | ○ | 顧客管理の暗号鍵の有効化 |
| BigQuery | BigQuery のデータ | ○ | Cloud KMS 鍵によるデータの保護 |
| Cloud Bigtable | 保存データ | ○ | 顧客管理の暗号鍵(CMEK) |
| Cloud Composer | 環境データ | ○ | 顧客管理の暗号鍵の使用 |
| Cloud Data Fusion | 環境データ | ○ | 顧客管理の暗号鍵の使用 |
| Cloud Functions | Cloud Functions のデータ | ○ | 顧客管理の暗号鍵の使用 |
| Cloud Logging | ログルーター内のデータ | ○ | ログルーター データを保護する鍵を管理します |
| Cloud Logging | Logging ストレージのデータ | ○ | Logging のストレージ データを保護する鍵を管理します |
| Cloud Run | コンテナ イメージ | ○ | Cloud Run での顧客管理の暗号鍵の使用 |
| Cloud Spanner | 保存データ | ○ | 顧客管理の暗号鍵(CMEK) |
| Cloud SQL | データベースに書き込まれたデータ | ○ | 顧客管理の暗号鍵の使用 |
| Cloud Storage | ストレージ バケット内のデータ | ○ | 顧客管理の暗号鍵の使用 |
| Cloud Tasks | タスク本文と保存ヘッダー | ○ | 顧客管理の暗号鍵の使用 |
| Cloud Workstations | VM ディスク上のデータ | ○ | ワークステーション リソースを暗号化する |
| Compute Engine | 永続ディスク | ○ | Cloud KMS 鍵によるリソースの保護 |
| Compute Engine | スナップショット | ○ | Cloud KMS 鍵によるリソースの保護 |
| Compute Engine | カスタム イメージ | ○ | Cloud KMS 鍵によるリソースの保護 |
| Compute Engine | マシンイメージ | ○ | Cloud KMS 鍵によるリソースの保護 |
| Contact Center AI Insights | 保存データ | ○ | 顧客管理の暗号鍵(CMEK) |
| Database Migration Service の同タイプの移行 | MySQL の移行 - データベースに書き込まれたデータ | ○ | 顧客管理の暗号鍵(CMEK)の使用 |
| Database Migration Service の同タイプの移行 | PostgreSQL の移行 - データベースに書き込まれたデータ | ○ | 顧客管理の暗号鍵(CMEK)の使用 |
| Database Migration Service の同タイプの移行 | PostgreSQL から AlloyDB への移行 - データベースに書き込まれたデータ | ○ | CMEK について |
| Database Migration Service の同タイプの移行 | Oracle から PostgreSQL への保存データ | ○ | 継続的な移行に顧客管理の暗号鍵(CMEK)を使用する |
| Dataflow | パイプライン状態のデータ | ○ | 顧客管理の暗号鍵の使用 |
| Dataproc | VM ディスク上の Dataproc クラスタデータ | ○ | 顧客管理の暗号鍵 |
| Dataproc | VM ディスク上の Dataproc サーバーレス データ | ○ | 顧客管理の暗号鍵 |
| Dataproc Metastore | 保存データ | ○ | 顧客管理の暗号鍵の使用 |
| Datastream | 転送中のデータ | いいえ | 顧客管理の暗号鍵(CMEK)の使用 |
| Dialogflow CX | 保存データ | いいえ | 顧客管理の暗号鍵(CMEK) |
| Document AI | 保存データおよび使用中のデータ | ○ | 顧客管理の暗号鍵(CMEK) |
| Eventarc | 保存データ | ○ | 顧客管理の暗号鍵(CMEK)を使用する |
| Filestore | 保存データ | ○ | 顧客管理の暗号鍵でデータを暗号化する |
| Google Distributed Cloud Edge | Edge ノード上のデータ | ○ | ローカル ストレージのセキュリティ |
| Google Kubernetes Engine(GKE) | VM ディスク上のデータ | ○ | 顧客管理の暗号鍵(CMEK)の使用 |
| Google Kubernetes Engine(GKE) | アプリケーション レイヤでのシークレット | ○ | アプリケーション レイヤでの Secret の暗号化 |
| Looker(Google Cloud コア) | 保存データ | ○ | Looker 用の CMEK を有効にする(Google Cloud コア) |
| Memorystore for Redis | 保存データ | ○ | 顧客管理の暗号鍵(CMEK) |
| Pub/Sub | トピックに関連するデータ | ○ | メッセージ暗号化の構成 |
| Secret Manager | Secret のペイロード | ○ | Secret Manager の顧客管理の暗号鍵を有効にする |
| Secure Source Manager | インスタンス | ○ | 顧客管理の暗号鍵でデータを暗号化する |
| Speaker ID(制限付き GA) | 保存データ | ○ | 顧客管理の暗号鍵の使用 |
| Vertex AI | リソースに関連するデータ | ○ | 顧客管理の暗号鍵の使用 |
| Vertex AI Workbench マネージド ノートブック | 保存されているユーザーデータ | いいえ | 顧客管理の暗号鍵 |
| Vertex AI Workbench ユーザー管理ノートブック | VM ディスク上のデータ | いいえ | 顧客管理の暗号鍵 |
| Vertex AI Workbench インスタンス | VM ディスク上のデータ | ○ | 顧客管理の暗号鍵 |
| Workflows | 保存データ | ○ | 顧客管理の暗号鍵(CMEK)を使用する |