他のプロダクトでの Cloud KMS の使用

このトピックでは、Cloud KMS との統合を提供する Google Cloud サービスの一覧をご紹介します。これらのサービスは通常、次のカテゴリのいずれかに当てはまります。

  • 顧客管理の暗号鍵(CMEK)の統合を使用すると、ユーザーが所有しているか、管理している Cloud KMS 鍵を使用して、そのサービスのデータを暗号化できます。CMEK 鍵で保護されたデータは、その鍵へのアクセス権がないと復号できません。

  • CMEK 準拠サービスは、データを保存しないか、またはバッチ処理中などの短時間だけデータを保存します。このようなデータは、メモリにのみ存在し、ディスクに書き込まれないエフェメラル キーを使用して暗号化されます。データが不要になると、エフェメラル キーはメモリからフラッシュされ、データに再びアクセスすることはできなくなります。CMEK 準拠サービスの出力が、Cloud Storage などの CMEK と統合されたサービスに格納されることがあります。

  • アプリケーションで、他の方法で Cloud KMS を使用できます。たとえば、アプリケーション データを送信したり保存したりする前に、直接暗号化できます。

Google Cloud で保存されているデータの保護方法と、顧客管理の暗号鍵(CMEK)の仕組みについて詳しくは、顧客管理の暗号鍵(CMEK)をご覧ください。

CMEK 統合

サービス CMEK での保護 トピック
AI Platform のトレーニング VM ディスク上のデータ 顧客管理の暗号鍵の使用
Vertex AI リソースに関連するデータ 顧客管理の暗号鍵の使用
Artifact Registry リポジトリ内のデータ 顧客管理の暗号鍵の有効化
BigQuery BigQuery のデータ Cloud KMS 鍵によるデータの保護
Cloud Bigtable 保存データ 顧客管理の暗号鍵(CMEK)
Cloud Composer 環境データ 顧客管理の暗号鍵の使用
Cloud Functions Cloud Functions のデータ 顧客管理の暗号鍵の使用
Cloud Data Fusion 環境データ 顧客管理の暗号鍵の使用
Cloud Run コンテナ イメージ Cloud Run での顧客管理の暗号鍵の使用
Compute Engine VM ディスク上のデータ Cloud KMS 鍵によるリソースの保護
GKE VM ディスク上のデータ 顧客管理の暗号鍵(CMEK)の使用
GKE アプリケーション レイヤでの Secret アプリケーション レイヤでの Secret の暗号化
Database Migration Service データベースに書き込まれたデータ 顧客管理の暗号鍵(CMEK)の使用
Dataflow パイプライン状態のデータ 顧客管理の暗号鍵の使用
Dataproc VM ディスク上のデータ 顧客管理の暗号鍵
Dataproc Metastore 保存データ 顧客管理の暗号鍵の使用
Datastream 転送中のデータ 顧客管理の暗号鍵(CMEK)の使用
Dialogflow CX すべての保存データ 顧客管理の暗号鍵(CMEK)
Document AI すべての保存データおよび使用中のデータ 顧客管理の暗号鍵(CMEK)
Filestore すべての保存データ 顧客管理の暗号鍵でデータを暗号化する
Cloud Logging ログルーターのデータ ログルーター データを保護する鍵を管理します
Cloud Logging Logging ストレージ内のデータ Logging のストレージ データを保護する鍵を管理する
Pub/Sub トピックに関連するデータ メッセージ暗号化の構成
Cloud Spanner 保存データ 顧客管理の暗号鍵(CMEK)
Cloud SQL データベースに書き込まれたデータ 顧客管理の暗号鍵の使用
クラウド ストレージ ストレージ バケット内のデータ 顧客管理の暗号鍵の使用
Secret Manager Secret のペイロード 顧客管理の暗号鍵(CMEK)の有効化
Speaker ID 保存データ 顧客管理の暗号鍵の使用
Vertex AI Workbench マネージド ノートブック 保存中のユーザーデータ 顧客管理の暗号鍵
Vertex AI Workbench ユーザー管理ノートブック VM ディスク上のデータ 顧客管理の暗号鍵

CMEK 準拠サービス

サービス トピック
Cloud Build Cloud Build における CMEK コンプライアンス
Container Registry CMEK で保護されたストレージ バケットの使用
Cloud Vision Vision API における CMEK コンプライアンス

Cloud KMS とのその他の統合

このトピックでは、他の Google Cloud サービスで Cloud KMS を使用する別の方法について説明します。

製品 トピック
任意のサービス アプリケーション データを送信または保存する前に暗号化する
Cloud Build リソースをビルドに追加する前に暗号化する