Google Cloud では、デフォルトで、Google が管理する暗号鍵を使用して、自動的に保存されているデータを暗号化します。データを保護する鍵に関連する具体的なコンプライアンス要件や規制要件がある場合は、顧客管理の暗号鍵(CMEK)を Vertex AI Workbench マネージド ノートブック インスタンスに使用できます。
このページでは、CMEK をマネージド ノートブックで使用する具体的なメリットと制限事項について説明します。また、CMEK を使用するように新しいマネージド ノートブック インスタンスを構成する方法についても説明します。
CMEK の一般的な用途や使用する理由などの詳細については、顧客管理の暗号鍵をご覧ください。
CMEK のメリット
一般に、CMEK は、データの暗号化に使用する鍵を完全に制御する必要がある場合によく利用されます。CMEK を使用すると、Cloud Key Management Service 内で鍵を管理できます。たとえば、Cloud KMS API を使用して、鍵のローテーションや無効化を行うことが可能です。
マネージド ノートブック インスタンスを実行すると、インスタンスは Google が管理するコンピューティング インフラストラクチャで実行されます。マネージド ノートブック インスタンスで CMEK を有効にすると、Vertex AI Workbench は Google が管理する鍵ではなく、指定した鍵を使用してユーザーデータを暗号化します。
CMEK 鍵は、マネージド ノートブック インスタンスに関連付けられたインスタンスの名前やリージョンなどのメタデータを暗号化しません。マネージド ノートブック インスタンスに関連付けられたメタデータは、常に Google のデフォルトの暗号化メカニズムで暗号化されます。
CMEK の制限事項
レイテンシを短縮し、リソースが複数の障害発生ドメインにまたがるサービスに依存しないようにするため、リージョン マネージド ノートブック インスタンスを同じロケーションにあるキーで保護することをおすすめします。
- リージョン マネージド ノートブック インスタンスは、同じロケーションまたはグローバル ロケーションの鍵を使用して暗号化できます。たとえば、リージョン
us-west1内のユーザーデータは、us-west1またはglobalの鍵を使用して暗号化できます。 - マネージド ノートブックに CMEK を構成しても、使用する他の Google Cloud プロダクトに CMEK が自動的に構成されることはありません。他の Google Cloud プロダクトで CMEK を使用してデータを暗号化するには、別途、構成を完了する必要があります。
マネージド ノートブック インスタンスの CMEK を構成する
次のセクションでは、Cloud Key Management Service でキーリングと鍵を作成し、鍵に対する暗号化と復号の権限をサービス アカウントに付与して、CMEK を使用するマネージド ノートブック インスタンスを作成します。
始める前に
職掌分散に対応した設定の使用をおすすめします。マネージド ノートブックに CMEK を構成するには、2 つの別々の Google Cloud プロジェクトを使用できます。
- Cloud KMS プロジェクト: 暗号鍵を管理するためのプロジェクト
- マネージド ノートブック プロジェクト: マネージド ノートブック インスタンスにアクセスし、ユースケースに必要な他の Google Cloud プロダクトを操作するためのプロジェクト
また、単一の Google Cloud プロジェクトを使用することもできます。その場合は、次のすべてのタスクで同じプロジェクトを使用します。
Cloud KMS プロジェクトを設定する
- Google Cloud アカウントにログインします。Google Cloud を初めて使用する場合は、アカウントを作成して、実際のシナリオでの Google プロダクトのパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。
-
Google Cloud Console の [プロジェクト セレクタ] ページで、Google Cloud プロジェクトを選択または作成します。
-
Cloud KMS API を有効にします。
-
Google Cloud Console の [プロジェクト セレクタ] ページで、Google Cloud プロジェクトを選択または作成します。
-
Cloud KMS API を有効にします。