デフォルトでは、Migrate to Virtual Machines はお客様のコンテンツを保存時に暗号化します。Migrate to Virtual Machines はこの暗号化を自動的に処理および管理するため、ユーザー側での作業は必要ありません。このオプションは、Google のデフォルトの暗号化と呼ばれます。
暗号鍵をコントロールする場合は、Cloud KMS の顧客管理の暗号鍵(CMEK)を、Migrate to Virtual Machines などの CMEK 統合サービスで使用できます。Cloud KMS 鍵を使用すると、保護レベル、ロケーション、ローテーション スケジュール、使用とアクセスの権限、暗号境界を制御できます。 Cloud KMS を使用すると、鍵の使用状況を追跡すること、監査ログを表示すること、鍵のライフサイクルを管理することが可能です。 データを保護する対称鍵暗号鍵(KEK)は Google が所有して管理するのではなく、ユーザーが Cloud KMS でこれらの鍵を制御および管理します。
CMEK を使用してリソースを設定した後は、Migrate to Virtual Machines リソースへのアクセスは、Google のデフォルトの暗号化を使用する場合と同様です。暗号化オプションの詳細については、顧客管理の暗号鍵(CMEK)をご覧ください。
Migrate to Virtual Machines は、CMEK を使用して次のデータを暗号化します。
以降のセクションでは、これらのシナリオについて詳しく説明します。
CMEK を使用して移行中に保存されるデータを暗号化する
CMEK を使用して移行中またはインポート中に保存されるデータを暗号化するには、移行元またはインポート リソースの作成時に KMS 鍵の参照を指定する必要があります。さまざまな移行元からの移行中に CMEK を使用してデータを暗号化する方法については、次のトピックをご覧ください。
CMEK を使用してターゲット VM インスタンスと VM ディスク上のデータを暗号化する
CMEK を使用してターゲット VM インスタンスと VM ディスク上のデータを暗号化するには、ターゲットの詳細で Cloud KMS 鍵の参照を指定する必要があります。ターゲットの詳細で CMEK を設定する手順については、VM インスタンスの CMEK の設定と VM ディスクの CMEK の設定をご覧ください。
CMEK を使用してターゲット ディスクとマシンイメージ上のデータを暗号化する
CMEK を使用してターゲット ディスクとマシンイメージ上のデータを暗号化するには、ターゲットの詳細で Cloud KMS 鍵の参照を指定する必要があります。ターゲットの詳細で CMEK を設定する手順については、仮想ディスク イメージを Compute Engine にインポートすると マシンイメージを Compute Engine にインポートするをご覧ください。