他のプロダクトでの Cloud KMS の使用

このトピックでは、Cloud KMS との統合を提供する Google Cloud サービスのリストを示します。これらのサービスは通常、次のいずれかのカテゴリに分類されます。

  • 顧客管理の暗号鍵(CMEK)の統合を使用すると、ユーザーが所有しているか、管理している Cloud KMS 鍵を使用して、そのサービスのデータを暗号化できます。CMEK 鍵で保護されたデータは、その鍵へのアクセス権がないと復号できません。

  • CMEK 準拠サービスは、データを保存しないか、またはバッチ処理中などの短時間だけデータを保存します。このようなデータは、メモリにのみ存在し、ディスクに書き込まれないエフェメラル キーを使用して暗号化されます。データが不要になると、エフェメラル キーはメモリからフラッシュされ、データに再びアクセスすることはできなくなります。CMEK 準拠サービスの出力が、Cloud Storage などの CMEK と統合されたサービスに格納されることがあります。

  • アプリケーションで、他の方法で Cloud KMS を使用できます。たとえば、アプリケーション データを送信したり保存したりする前に、直接暗号化できます。

Google Cloud で保存されているデータの保護方法と、顧客管理の暗号鍵(CMEK)の仕組みについて詳しくは、顧客管理の暗号鍵(CMEK)をご覧ください。

CMEK 統合

サービス CMEK での保護 トピック
AI Platform のトレーニング VM ディスク上のデータ 顧客管理の暗号鍵の使用
AI Platform Notebooks VM ディスク上のデータ 顧客管理の暗号鍵の使用
Artifact Registry リポジトリ内のデータ 顧客管理の暗号鍵の有効化
BigQuery BigQuery のデータ Cloud KMS 鍵によるデータの保護
Compute Engine VM ディスク上のデータ Cloud KMS 鍵によるリソースの保護
Google Kubernetes Engine VM ディスク上のデータ、アプリケーション レイヤでの Secret 顧客管理の暗号鍵(CMEK)の使用アプリケーション レイヤでの Secret の暗号化
Dataflow パイプライン状態データ 顧客管理の暗号鍵の使用
Dataproc VM ディスク上のデータ 顧客管理の暗号鍵
Cloud Logging ロギングデータ ログルーターの顧客管理の暗号鍵の有効化
Pub/Sub トピックに関連付けられたデータ メッセージ暗号化の構成
Cloud SQL データベースに書き込まれたデータ 顧客管理の暗号鍵の使用
クラウド ストレージ ストレージ バケット内のデータ 顧客管理の暗号鍵の使用

CMEK 準拠サービス

サービス トピック
Cloud Build Cloud Build における CMEK コンプライアンス
Container Registry CMEK で保護されたストレージ バケットの使用
Cloud Vision Vision API における CMEK コンプライアンス

Cloud KMS とのその他の統合

このトピックでは、他の Google Cloud サービスで Cloud KMS を使用するその他の方法について説明します。

製品 トピック
任意のサービス アプリケーション データを送信または保存する前に暗号化する
Cloud Build ビルドに追加する前にリソースを暗号化する