このトピックでは、Cloud KMS との統合を提供する Google Cloud サービスのリストを示します。これらのサービスは通常、次のいずれかのカテゴリに分類されます。
顧客管理の暗号鍵(CMEK)の統合を使用すると、ユーザーが所有しているか、管理している Cloud KMS 鍵を使用して、そのサービスのデータを暗号化できます。CMEK 鍵で保護されたデータは、その鍵へのアクセス権がないと復号できません。
CMEK 準拠サービスは、データを保存しないか、またはバッチ処理中などの短時間だけデータを保存します。このようなデータは、メモリにのみ存在し、ディスクに書き込まれないエフェメラル キーを使用して暗号化されます。データが不要になると、エフェメラル キーはメモリからフラッシュされ、データに再びアクセスすることはできなくなります。CMEK 準拠サービスの出力が、Cloud Storage などの CMEK と統合されたサービスに格納されることがあります。
アプリケーションで、他の方法で Cloud KMS を使用できます。たとえば、アプリケーション データを送信したり保存したりする前に、直接暗号化できます。
Google Cloud で保存されているデータの保護方法と、顧客管理の暗号鍵(CMEK)の仕組みについて詳しくは、顧客管理の暗号鍵(CMEK)をご覧ください。
CMEK 統合
サービス | CMEK での保護 | トピック |
---|---|---|
AI Platform のトレーニング | VM ディスク上のデータ | 顧客管理の暗号鍵の使用 |
AI Platform Notebooks | VM ディスク上のデータ | 顧客管理の暗号鍵の使用 |
AI Platform(統合型) | リソースに関連付けられたデータ | 顧客管理の暗号鍵の使用 |
Artifact Registry | リポジトリ内のデータ | 顧客管理の暗号鍵の有効化 |
BigQuery | BigQuery のデータ | Cloud KMS 鍵によるデータの保護 |
Compute Engine | VM ディスク上のデータ | Cloud KMS 鍵によるリソースの保護 |
Google Kubernetes Engine | VM ディスク上のデータ、アプリケーション レイヤでの Secret | 顧客管理の暗号鍵(CMEK)の使用。アプリケーション レイヤでの Secret の暗号化 |
Dataflow | パイプライン状態のデータ | 顧客管理の暗号鍵の使用 |
Dataproc | VM ディスク上のデータ | 顧客管理の暗号鍵 |
Dialogflow CX | すべての保存データおよび使用中のデータ | 顧客管理の暗号鍵(CMEK) |
Cloud Logging | ロギングデータ | ログルーターの顧客管理の暗号鍵の有効化 |
Pub/Sub | トピックに関連付けられたデータ | メッセージ暗号化の構成 |
Cloud Spanner | 保存データ | 顧客管理の暗号鍵(CMEK) |
Cloud SQL | データベースに書き込まれたデータ | 顧客管理の暗号鍵の使用 |
クラウド ストレージ | ストレージ バケット内のデータ | 顧客管理の暗号鍵の使用 |
Secret Manager | Secret ペイロード | 顧客管理の暗号鍵(CMEK)の有効化 |
CMEK 準拠サービス
サービス | トピック |
---|---|
Cloud Build | Cloud Build における CMEK コンプライアンス |
Container Registry | CMEK で保護されたストレージ バケットの使用 |
Cloud Vision | Vision API における CMEK コンプライアンス |
Cloud KMS とのその他の統合
このトピックでは、他の Google Cloud サービスで Cloud KMS を使用するその他の方法について説明します。
製品 | トピック |
---|---|
任意のサービス | アプリケーション データを送信または保存する前に暗号化する |
Cloud Build | ビルドに追加する前にリソースを暗号化する |