リージョン シークレットに CMEK 暗号化を追加する

このページでは、顧客管理の暗号鍵(CMEK)を使用して新しいシークレットを作成し、CMEK 鍵を使用するように既存のシークレットを更新する方法について説明します。

概要

CMEK を使用すると、リージョン Secret として保存される機密データに対するセキュリティと制御が強化されます。CMEK を使用すると、次の目標を達成できます。

  • シークレットの保護に使用される暗号鍵を完全に制御できます。
  • 独自の鍵管理システムを使用して、より厳格なセキュリティ ポリシー、監査機能、コンプライアンス機能を利用できます。
  • 鍵を独自のインフラストラクチャ内に保持することで、データ主権規制に準拠します。
  • 暗号鍵に対するきめ細かいアクセス制御を定義し、鍵を使用できるユーザーと使用目的を指定します。

制限事項:

リージョン シークレットと CMEK を使用する場合、次の制限があります。

  • Cloud Key Management Service Autokeyプレビュー)は、リージョン シークレットではサポートされていません。
  • CMEK 鍵のロケーションは、リージョン シークレットと同じロケーションにする必要があります。

始める前に

  1. プロジェクトごとに 1 回、Secret Manager API を有効にします
  2. プロジェクト、フォルダ、または組織に Secret Manager 管理者ロール(roles/secretmanager.admin)を割り当てます。
  3. 次のいずれかの方法で Secret Manager API に対する認証を行います。

    • クライアント ライブラリを使用して Secret Manager API にアクセスする場合は、アプリケーションのデフォルト認証情報を設定します。
    • Google Cloud CLI を使用して Secret Manager API にアクセスする場合は、Google Cloud CLI 認証情報を使用して認証します。
    • REST 呼び出しを認証するには、Google Cloud CLI 認証情報またはアプリケーションのデフォルト認証情報のいずれかを使用します。
  4. CMEK を有効にして、この手順に必要な CMEK 鍵とキーリングを作成するには、Secret Manager で顧客管理の暗号鍵を有効にするをご覧ください。

CMEK 暗号化を使用してリージョン シークレットを作成する

CMEK 暗号化を使用して新しいシークレットを作成するには、次のいずれかの方法を使用します。

Console

  1. Google Cloud コンソールの [Secret Manager] ページに移動します。

    Secret Manager に移動

  2. [Secret Manager] ページで、[リージョン シークレット] タブをクリックし、[リージョン シークレットを作成] をクリックします。

  3. [リージョン シークレットの作成] ページの [名前] フィールドに、シークレットの名前を入力します。シークレット名には、大文字と小文字、数字、ハイフン、アンダースコアを使用できます。名前の最大長は 255 文字です。

  4. シークレットの値を入力します(例: abcd1234)。シークレット値の形式は任意ですが、64 KiB 以下にする必要があります。[ファイルをアップロード] オプションを使用して、シークレット値を含むテキスト ファイルをアップロードすることもできます。この操作により、シークレット バージョンが自動的に作成されます。

  5. [リージョン] リストから、リージョン シークレットを保存する場所を選択します。

  6. [暗号化] で [顧客管理の暗号鍵(CMEK)] を選択し、[暗号鍵] リストから CMEK 鍵を選択します。CMEK 鍵が指定されたロケーションに存在し、Secret Manager プロジェクトに鍵を使用するのに必要な権限があることを確認します。

  7. [シークレットの作成] をクリックします。

gcloud

後述のコマンドデータを使用する前に、次のように置き換えます。

  • SECRET_ID: Secret の ID または Secret の完全修飾識別子
  • LOCATION: シークレットを作成する Google Cloud のロケーション
  • CMEK_KEY: シークレットを保護する Cloud Key Management Service の特定の CMEK 鍵への完全修飾パス

次のコマンドを実行します。

Linux、macOS、Cloud Shell

gcloud secrets create SECRET_ID --location=LOCATION \
    --regional-kms-key-name=CMEK_KEY

Windows(PowerShell)

gcloud secrets create SECRET_ID --location=LOCATION `
    --regional-kms-key-name=CMEK_KEY

Windows(cmd.exe)

gcloud secrets create SECRET_ID --location=LOCATION ^
    --regional-kms-key-name=CMEK_KEY

REST

リクエストのデータを使用する前に、次のように置き換えます。

  • LOCATION: シークレットを作成する Google Cloud のロケーション
  • PROJECT_ID: Google Cloud プロジェクト ID。
  • SECRET_ID: Secret の ID または Secret の完全修飾識別子。
  • KMS_PROJECT_ID: Cloud Key Management Service を実行している Google Cloud プロジェクトの ID。
  • KMS_KEY_LOCATION: Cloud KMS 鍵のロケーション名。これは、シークレットと同じロケーションに存在する必要があります。
  • YOUR_KEY_RING: CMEK 鍵を保存した Cloud KMS のキーリングの名前。
  • YOUR_CMEK_KEY: Cloud KMS で選択したキーリング内に作成した特定の顧客管理の暗号鍵(CMEK)。

HTTP メソッドと URL:

POST https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets?secretId=SECRET_ID

リクエストの本文(JSON):

{"customer_managed_encryption": {"kms_key_name": "projects/KMS_PROJECT_ID/locations/KMS_KEY_LOCATION/keyRings/YOUR_KEY_RING/cryptoKeys/YOUR_CMEK_KEY"}}

リクエストを送信するには、次のいずれかのオプションを選択します。

curl

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets?secretId=SECRET_ID"

PowerShell

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets?secretId=SECRET_ID" | Select-Object -Expand Content

次のような JSON レスポンスが返されます。

{
  "name": "projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID",
  "createTime": "2024-03-27T13:30:07.437859Z",
  "etag": "\"1614a467b60423\""
  "customerManagedEncryption": {
    "kmsKeyName": "projects/KMS_PROJECT_ID/locations/KMS_KEY_LOCATION/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
  }
}

CMEK を使用するように既存の Secret を更新する

CMEK を使用するように既存のシークレットを更新するには、次のいずれかの方法を使用します。

Console

  1. Google Cloud コンソールの [Secret Manager] ページに移動します。

    Secret Manager に移動

  2. [Secret Manager] ページで、[リージョン シークレット] タブをクリックします。

  3. シークレットを編集するには、次のいずれかの方法を使用します。

    • リストでシークレットを見つけて、そのシークレットに関連付けられた [アクション] メニューをクリックします。[操作] メニューで [編集] をクリックします。

    • シークレット名をクリックして、シークレットの詳細ページに移動します。シークレットの詳細ページで、[シークレットを編集する] をクリックします。

  4. [シークレットを編集する] ページで、[暗号化] セクションに移動します。

  5. [暗号化] で [顧客管理の暗号鍵(CMEK)] を選択し、[暗号鍵] リストから CMEK 鍵を選択します。CMEK 鍵が指定されたロケーションに存在し、Secret Manager プロジェクトに鍵を使用するのに必要な権限があることを確認します。

  6. [シークレットを更新する] をクリックします。

gcloud

後述のコマンドデータを使用する前に、次のように置き換えます。

  • SECRET_ID: Secret の ID または Secret の完全修飾識別子
  • LOCATION: シークレットの Google Cloud ロケーション
  • CMEK_KEY: シークレットを保護する Cloud Key Management Service の特定の CMEK 鍵への完全修飾パス

次のコマンドを実行します。

Linux、macOS、Cloud Shell

gcloud secrets update SECRET_ID --location=LOCATION \
    --regional-kms-key-name=CMEK_KEY

Windows(PowerShell)

gcloud secrets update SECRET_ID --location=LOCATION `
    --regional-kms-key-name=CMEK_KEY

Windows(cmd.exe)

gcloud secrets update SECRET_ID --location=LOCATION ^
    --regional-kms-key-name=CMEK_KEY

REST

リクエストのデータを使用する前に、次のように置き換えます。

  • LOCATION: シークレットの Google Cloud ロケーション
  • PROJECT_ID: Google Cloud プロジェクト ID。
  • SECRET_ID: Secret の ID または Secret の完全修飾識別子。
  • KMS_PROJECT_ID: Cloud Key Management Service を実行している Google Cloud プロジェクトの ID。
  • KMS_KEY_LOCATION: Cloud KMS 鍵のロケーション。これは、シークレットと同じロケーションに存在する必要があります。
  • YOUR_KEY_RING: CMEK 鍵を保存した Cloud KMS のキーリングの名前。
  • YOUR_CMEK_KEY: Cloud KMS で選択したキーリング内に作成した特定の顧客管理の暗号鍵(CMEK)。

HTTP メソッドと URL:

PATCH https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID?updateMask=customer_managed_encryption

リクエストの本文(JSON):

{"customer_managed_encryption": {"kms_key_name": "projects/KMS_PROJECT_ID/locations/KMS_KEY_LOCATION/keyRings/YOUR_KEY_RING/cryptoKeys/YOUR_CMEK_KEY"}}"

リクエストを送信するには、次のいずれかのオプションを選択します。

curl

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

curl -X PATCH \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID?updateMask=customer_managed_encryption"

PowerShell

リクエスト本文を request.json という名前のファイルに保存して、次のコマンドを実行します。

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
-Method PATCH `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://secretmanager.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID?updateMask=customer_managed_encryption" | Select-Object -Expand Content

次のような JSON レスポンスが返されます。

{
  "name": "projects/PROJECT_ID/locations/LOCATION/secrets/SECRET_ID",
  "createTime": "2024-03-27T13:30:07.437859Z",
  "etag": "\"16211daf5f29c5\""
  "customerManagedEncryption": {
    "kmsKeyName": "projects/KMS_PROJECT_ID/locations/KMS_KEY_LOCATION/keyRings/secret-manager-cmek/cryptoKeys/my-cmek-key"
  }
}

次のステップ